您如何处理 Oracle 中缺少 Schema 级别的权限?Oracle 的安全架构适用于只需要对象级权限的应用程序,也适用于几乎不需要限制的 DBA。然而,对于在多个模式中使用前端应用程序和 PL/SQL 进行开发的程序员来说,架构中似乎存在一个巨大的漏洞。以下是我的一些选项及其缺点:
让每个程序员在自己的模式中进行开发。DBA 将向需要它们的程序员授予对象级特权。任何包开发都必须由 DBA 完成。主要的缺点是程序员会将数据库当作一个比特桶来使用,从而损害数据库的性能。我希望程序员在数据库中进行开发,但是这种方法会大大阻碍它。
为每个程序员提供他们需要在其中进行开发的十几个模式的用户名/密码。授予这些应用程序模式权限以创建过程、表等。这种方法的一些缺点是程序员必须维护多个登录名,并且很少以自己的身份登录。跨模式开发也很困难。
授予程序员对他们需要为其进行开发的每个模式的代理身份验证权限。这使他们能够以自己的身份登录,而无需授予他们代理权限以外的其他权限。缺点包括程序员必须为他们代理的每个模式维护单独的连接,跨模式开发更加麻烦,因为连接必须不断更改,并且使用通过身份验证的公共数据库链接的包不会在代理连接内编译。
给每个程序员 DBA 权限。– 这里的缺点是安全性。任何模式程序员都不能被排除在任何模式之外,任何程序员都可以冒充任何其他程序员 (DBA)。
似乎缺少授予每个程序员 SELECT/INSERT/CREATE/etc 的选项。他们需要在其中进行开发的架构的权限。他们以自己的身份登录以使用一个连接完成工作。他们有权访问的架构中的新对象立即可用。
我错过了什么吗?您如何处理进行 PL/SQL 开发的应用程序程序员?
早在我在 Oracle 商店工作的日子里,我们有一个特定的“开发”(开发)服务器,它的安全限制与“生产”(生产)服务器不同。开发人员可以做他们需要的任何事情,然后我们将必要的脚本交给 DBA 以应用于生产服务器。
对于我们的关键系统(SCT Banner,用于跟踪班级和学生,以及 Oracle Financials),还有“测试”和“种子”服务器。测试是在东西从开发迁移到产品之前进行用户验收测试;“种子”是软件的库存安装,所以如果我们发现一个错误,我们可以验证它是我们引入的还是来自 SCT 或 Oracle 的软件。
使用角色来关联对象集合,然后授予对角色的访问权限
GRANT语句允许 DBA :
由于可以将对象权限授予角色,因此授予角色访问模式中所有表的权限相对容易:
这与
GRANT CREATE TABLE
由适当的模式用户发布给角色相结合,意味着开发人员可以选择和创建表。这并不完美,因为创建的表需要再次运行脚本,但WITH GRANT OPTION
建议每个开发人员随后可以将他们创建的表的访问权限授予适当的角色。这表明您可以创建可以执行适当授予过程的 DDL 级别触发器,尽管显然需要进行大量测试,但应该可以使 create table 语句自动授予适当角色适当的权限。
编辑 -
根据GRANT,
CREATE TABLE
特权:因此,通过让他们从正确的用户创建表、更改表等,他们应该能够访问该用户的模式,就好像他们是适当的用户一样。