在我的情况下将 Trustworthy 设置为 ON 的原因是数据库的 DB Owner 必须有权访问不同的数据库才能读取数据
那不是真的。
如何在不建立可信赖的情况下实现相同的目标?
幸运的是,这非常简单,几乎没有不便? 感谢模块签名。您需要做的就是:
在包含从另一个数据库读取的代码的数据库中创建一个证书
使用证书对从其他数据库读取的代码(过程、函数、触发器)进行签名
将证书(无需复制私钥)复制到正在读取的数据库
在从证书读取的数据库中创建一个用户
授予读取数据库中的新用户所需的任何权限
而已!当然,这确实假设您没有在您的 proc / function / trigger 定义中使用WITH EXECUTE AS ...,因为这确实使事情变得有点复杂(我将很快在您的相关问题中解决这个问题)。但是,这个假设应该没问题,因为说明需要它的原因(为了在另一个 DB 上具有读取访问权限)在这一点上不是问题,因为模块签名会处理这个问题。
请参阅下面的演示,它大量借鉴了您在相关问题中发布的复制代码(为了保持一致性)
最初设定
/* -- Clean Up
USE [master];
DROP DATABASE SourceDatabase;
DROP DATABASE TargetDatabase;
DROP LOGIN SourceDatabaseOwner;
DROP LOGIN TargetDatabaseOwner;
DROP LOGIN ServiceAccount;
*/
-- Create logins
CREATE LOGIN SourceDatabaseOwner WITH PASSWORD = 'Pa$$w0rd';
CREATE LOGIN TargetDatabaseOwner WITH PASSWORD = 'Pa$$w0rd';
CREATE LOGIN ServiceAccount WITH PASSWORD = 'Pa$$w0rd';
-- Create databases
CREATE DATABASE SourceDatabase;
CREATE DATABASE TargetDatabase;
-- Do NOT Set up trustworthy
-- Setup database owners
-- ( sp_changedbowner is deprecated )
ALTER AUTHORIZATION
ON DATABASE::[SourceDatabase]
TO [SourceDatabaseOwner];
ALTER AUTHORIZATION
ON DATABASE::[TargetDatabase]
TO [TargetDatabaseOwner];
-- Add ServiceAccount to source database
USE SourceDatabase
CREATE USER ServiceAccount FOR LOGIN ServiceAccount;
GO
-- Create table with data
USE TargetDatabase;
GO
CREATE TABLE dbo.InterestingData (
Id INT IDENTITY PRIMARY KEY,
Content NVARCHAR(255)
);
INSERT INTO dbo.InterestingData (Content) VALUES ('Foo'), ('Bar');
GO
-- Create stored procedure executing as CALLER and accessing target database
USE SourceDatabase;
GO
CREATE OR ALTER PROCEDURE dbo.GetData
--with execute as 'ServiceAccount' -- Do NOT use this option
AS
BEGIN
SELECT SESSION_USER AS [CurrentUser];
SELECT Id, Content
FROM TargetDatabase.dbo.InterestingData;
END;
GO
GRANT EXECUTE ON dbo.GetData TO [ServiceAccount];
GO
测试
-- Execution does not work under service account
-- The server principal "ServiceAccount" is not able to access the database
-- "TargetDatabase" under the current security context.
USE [SourceDatabase];
EXECUTE AS LOGIN = N'ServiceAccount';
EXEC dbo.GetData;
GO
REVERT;
GO
设置模块签名
USE [SourceDatabase];
-- Create certificate
CREATE CERTIFICATE [SignProcedureCert]
ENCRYPTION BY PASSWORD = 'Pa$$w0rd'
WITH SUBJECT = 'Certificate for signing stored procedures';
GO
-- Sign the procedure
ADD SIGNATURE TO dbo.GetData
BY CERTIFICATE SignProcedureCert
WITH PASSWORD = 'Pa$$w0rd';
GO
-----------------
-- Copy certificate to target DB
-- ( CERTENCODED in SQL Server 2012+ )
DECLARE @Cert NVARCHAR(4000);
SET @Cert = CONVERT(NVARCHAR(4000), CERTENCODED(CERT_ID(N'SignProcedureCert')), 1);
EXEC (N'USE [TargetDatabase];
CREATE CERTIFICATE [SignProcedureCert] FROM BINARY = ' + @Cert);
-- Create certificate-based User to allow access to DB
USE [TargetDatabase];
CREATE USER [SignProcedureCert] FROM CERTIFICATE [SignProcedureCert];
-- Allow access to target object in target DB
USE [TargetDatabase];
GRANT SELECT ON SCHEMA::dbo TO [SignProcedureCert];
再次测试
USE [SourceDatabase];
EXECUTE AS LOGIN = N'ServiceAccount';
EXEC dbo.GetData;
-- Success!!
GO
REVERT;
GO
那是真实的。
那不是真的。
幸运的是,这非常简单,几乎没有不便? 感谢模块签名。您需要做的就是:
而已!当然,这确实假设您没有在您的 proc / function / trigger 定义中使用
WITH EXECUTE AS ...,因为这确实使事情变得有点复杂(我将很快在您的相关问题中解决这个问题)。但是,这个假设应该没问题,因为说明需要它的原因(为了在另一个 DB 上具有读取访问权限)在这一点上不是问题,因为模块签名会处理这个问题。请参阅下面的演示,它大量借鉴了您在相关问题中发布的复制代码(为了保持一致性)
最初设定
测试
设置模块签名
再次测试
有关模块签名的更多信息,请参阅我的网站:
https ://ModuleSigning.Info/