ГЛАВА 1
Технологии администрирования баз данных
Технологии администрирования баз данных
1.5
Права на доступ к объектам базы данных
Права на доступ к объектам базы данных
Следующий уровень безопасности — это разрешения на уровне объектов БД. Существует несколько видов разрешений на объекты БД.
Во-первых, это разрешения на операции SELECT, UDATE, INSERT и DELETE (операции выборки, изменения, вставки и удаления). Эти разрешения применимы только для таблиц и представлений.
Для хранимых процедур и определенных пользователями функций существует разрешение на выполнение (EXECUTE). Если в отношении некоторой процедуры или функции для пользователя предоставлено такое разрешение, то он может ее выполнять, иначе — нет.
Наконец, существует разрешение на декларативную целостность (Declarative Referential Integrity — DRI). Такие разрешения допускаются для таблиц, представлений и пользовательских функций. Если пользователь имеет разрешение на DRI для некоторой таблицы, это означает, что он может создавать в других таблицах связи, ссылающиеся на ту таблицу, для которой пользователь имеет это разрешение.
Кроме того, при создании представления можно указать, что это представление привязано к схеме данных. Это позволяет отслеживать попытки изменения объектов, на основе которых строится представление или функция. Например, если представление строится на основе таблицы Students и используется привязка этого представления к схеме, то будет невозможно удалить таблицу Students, пока такая привязка существует. Также будет невозможно изменить ту часть таблицы (столбцы), которая присутствует в описании представления. Для того чтобы осуществить привязку представления или функции к схеме, необходимо, чтобы на все ссылающиеся объекты для пользователя, создающего или изменяющего данное представление или функцию, имелись разрешения типа DRI.
Во-первых, это разрешения на операции SELECT, UDATE, INSERT и DELETE (операции выборки, изменения, вставки и удаления). Эти разрешения применимы только для таблиц и представлений.
Для хранимых процедур и определенных пользователями функций существует разрешение на выполнение (EXECUTE). Если в отношении некоторой процедуры или функции для пользователя предоставлено такое разрешение, то он может ее выполнять, иначе — нет.
Наконец, существует разрешение на декларативную целостность (Declarative Referential Integrity — DRI). Такие разрешения допускаются для таблиц, представлений и пользовательских функций. Если пользователь имеет разрешение на DRI для некоторой таблицы, это означает, что он может создавать в других таблицах связи, ссылающиеся на ту таблицу, для которой пользователь имеет это разрешение.
Кроме того, при создании представления можно указать, что это представление привязано к схеме данных. Это позволяет отслеживать попытки изменения объектов, на основе которых строится представление или функция. Например, если представление строится на основе таблицы Students и используется привязка этого представления к схеме, то будет невозможно удалить таблицу Students, пока такая привязка существует. Также будет невозможно изменить ту часть таблицы (столбцы), которая присутствует в описании представления. Для того чтобы осуществить привязку представления или функции к схеме, необходимо, чтобы на все ссылающиеся объекты для пользователя, создающего или изменяющего данное представление или функцию, имелись разрешения типа DRI.
Разрешения типа DRI для представлений и пользовательских функций имеют такой же смысл, как и для таблиц, за исключением того, что они не дают возможности устанавливать связи, поскольку ни с представлениями, ни с функциями нельзя установить связь посредством внешнего ключа. Таким образом, для представлений и пользовательских функций разрешения типа DRI позволяют привязывать к схеме объекты, которые основываются на данных представлениях или функциях.
В MS SQL Server существует три состояния возможности доступа: разрешение (GRANT), неявное отклонение доступа (REVOKE) и запрет (DENY).
Оператор GRANT имеет следующий синтаксис:
Оператор GRANT имеет следующий синтаксис:
GRANT {<список действий> | ALL PRIVILEGES} ON <имя_объекта> TO {<имя_пользователя> | PUBLIC} [WITH GRANT OPTION]Список действий определяет набор действий из общедопустимого перечня действий над объектом данного типа:
- опция ALL PRIVILEGES указывает, что разрешены все действия из допустимых для объектов данного типа;
- <Имя_объекта> задает имя конкретного объекта: таблицы, представления, хранимой процедуры, триггера;
- <Имя_пользователя> или PUBLIC определяет, кому предоставляются данные привилегии;
- опция WITH GRANT OPTION является необязательной. Она определяет режим, при котором передаются не только права на указанные действия, но и право передавать (делегировать) эти права другим пользователям. Передавать права в этом случае пользователь может только в рамках разрешенных ему действий.
REVOKE {<список операций> | ALL PRIVILEGES} ON <имя_объекта> FROM {<список пользователей> | PUBLIC} {CASCADE | RESTRICT}Опции CASCADE или RESTRICT определяют, каким образом должна производиться отмена привилегий. Опция CASCADE отменяет привилегии не только того пользователя, который непосредственно упоминался в операторе GRANT при предоставлении ему привилегий, но и всем пользователям, которым были присвоены привилегии данным пользователем с использованием данной ему опции WITH GRANT OPTION.
С разрешением и запретом все интуитивно понятно: происходит либо предоставление некоторых прав пользователю, либо выставление запретов. Что касается неявного отклонения доступа, можно считать, что это удаление ранее предоставленного разрешения или запрета для данного пользователя. Если бы не было возможности неявного отклонения доступа, то для некоторого конкретного пользователя можно было бы либо дать разрешение, либо выставить запрет на некоторый конкретный объект БД. С помощью же неявного отклонения доступа можно убрать как явное разрешение, так и явное отклонение доступа, т. е. установить неопределенность. Такое состояние называется неявным отклонением доступа. Дело в том, что здесь применяется политика, в соответствии с которой запрещается все, что явно не разрешено, т. е. если у пользователя не будет ни запрета, ни разрешения на некоторую операцию, то он не сможет ее выполнить.
Для одного и того же объекта на одну и ту же операцию пользователь может иметь сразу несколько разрешений (или запретов), т. е. непосредственно пользователю, конечно, может быть выдано только одно разрешение. Однако пользователь может входить в множество различных ролей БД. Например, для БД института можно рассмотреть роли «Преподаватели», «Студенты», «Сотрудники деканата», «Сотрудники профсоюза», «Лаборанты», «Системные администраторы». Один пользователь может входить сразу в несколько ролей. Для некоторого объекта на одну операцию (например, операцию удаления) могут быть выставлены и запреты, и разрешения. Кроме того, они могут быть выставлены еще дополнительно непосредственно для каждого пользователя.
Таким образом, каждый пользователь БД может иметь разрешения, предоставленные непосредственно ему или посредством вхождения в роли. Причем может получиться, что эти разрешения и запреты будут противоречить друг другу. Например, операция удаления будет запрещена для роли «Студенты», но разрешена для роли «Лаборанты». Если учесть, что некоторый пользователь может входить в обе роли, как будет определяться возможность или невозможность выполнить ту или иную операцию в таких случаях? Наиболее весомым считается запрет из тех соображений, что главное — не допустить (по ошибке) несанкционированного доступа к данным. Если же кто-либо из пользователей недополучит каких-либо прав, то он обратится к администратору и тот предоставит ему необходимые права, т. е. считается, что лучше недодать прав, чем дать их слишком много. В этом и состоит разница между REVOKE и DENY: если пользователю одновременно даны разрешение (GRANT) и запрет (DENY), то результатом будет запрет, а если же дополнительно к разрешению дано неявное отклонение доступа, то результатом будет разрешение.
Интерпретация двойных назначений разрешений приведена в табл. 1.4. Из анализа данных, приведенных в таблице, можно сделать вывод, что будет происходить при наличии разных разрешений.
Для одного и того же объекта на одну и ту же операцию пользователь может иметь сразу несколько разрешений (или запретов), т. е. непосредственно пользователю, конечно, может быть выдано только одно разрешение. Однако пользователь может входить в множество различных ролей БД. Например, для БД института можно рассмотреть роли «Преподаватели», «Студенты», «Сотрудники деканата», «Сотрудники профсоюза», «Лаборанты», «Системные администраторы». Один пользователь может входить сразу в несколько ролей. Для некоторого объекта на одну операцию (например, операцию удаления) могут быть выставлены и запреты, и разрешения. Кроме того, они могут быть выставлены еще дополнительно непосредственно для каждого пользователя.
Таким образом, каждый пользователь БД может иметь разрешения, предоставленные непосредственно ему или посредством вхождения в роли. Причем может получиться, что эти разрешения и запреты будут противоречить друг другу. Например, операция удаления будет запрещена для роли «Студенты», но разрешена для роли «Лаборанты». Если учесть, что некоторый пользователь может входить в обе роли, как будет определяться возможность или невозможность выполнить ту или иную операцию в таких случаях? Наиболее весомым считается запрет из тех соображений, что главное — не допустить (по ошибке) несанкционированного доступа к данным. Если же кто-либо из пользователей недополучит каких-либо прав, то он обратится к администратору и тот предоставит ему необходимые права, т. е. считается, что лучше недодать прав, чем дать их слишком много. В этом и состоит разница между REVOKE и DENY: если пользователю одновременно даны разрешение (GRANT) и запрет (DENY), то результатом будет запрет, а если же дополнительно к разрешению дано неявное отклонение доступа, то результатом будет разрешение.
Интерпретация двойных назначений разрешений приведена в табл. 1.4. Из анализа данных, приведенных в таблице, можно сделать вывод, что будет происходить при наличии разных разрешений.
Таблица 1.4. Интерпретация двойных назначений разрешений
Выдать разрешения на объект БД может либо владелец объекта, либо владелец БД, либо любой другой пользователь, которому уже предоставлены эти права с дополнительной опцией, позволяющей выдавать это разрешение кому-либо еще.
Владельцем объекта БД является пользователь, который его создал. В принципе, можно передавать владение объектом БД другому пользователю, но это используется нечасто.
Назначение прав пользователям БД, так же как и большинство функций администрирования, может быть выполнено с использованием графического интерфейса Enterprise Manager. Для этого необходимо установить курсор на конкретного пользователя или на пользовательскую роль в БД, если нужно предоставить одинаковые права всем членам данной роли, и нажать кнопку Permissions.
В открывшемся окне нужно установить «галочки» в соответствующие графы разрешений. Каждая графа отвечает за разрешение определенных действий над определенным объектом (рис. 1.6).
Назначение прав пользователям БД, так же как и большинство функций администрирования, может быть выполнено с использованием графического интерфейса Enterprise Manager. Для этого необходимо установить курсор на конкретного пользователя или на пользовательскую роль в БД, если нужно предоставить одинаковые права всем членам данной роли, и нажать кнопку Permissions.
В открывшемся окне нужно установить «галочки» в соответствующие графы разрешений. Каждая графа отвечает за разрешение определенных действий над определенным объектом (рис. 1.6).
Рис. 1.6. Интерфейс предоставления прав пользователям
Перечень доступных операций зависит от типа объекта. Если требуется еще более тонко дифференцировать права доступа, то можно воспользоваться кнопкой Columns и установить права на работу с отдельными атрибутами.
