DB2 授权简介讲解.docxVIP

DB2 授权简介?DB2授权控制数据库安全计划的以下方面：用户被授予的权限级别?允许用户运行的命令?允许用户读取和/或修改的数据?允许用户创建、修改和/或删除的数据库对象授权由特权组和高级数据库管理程序（实例级）维护和实用操作组成。在DB2可用的5种权限中，SYSADM、SYSCTRL 和SYSMAINT是实例级权限?。这意味着它们的范围包含实例级命令以及针对这个实例中的所有数据库的命令。这些权限只能分配给组；可以通过DBM CFG文件分配这些权限。针对特定数据库的DBADM和LOAD权限可以分配给用户或用户组。可以使用GRANT命令显式地分配这些权限。以下几节描述如何分配每种权限以及允许拥有此权限的用户执行哪些命令。注意，任何提到组成员关系的地方都假设在操作系统级上已经定义了这些用户和组名。用户可以通过发出以下命令来判断自己拥有哪些权限和数据库级特权：$db2 get authorizations?获得SYSADM权限?DB2中的SYSADM权限就像是UNIX上的根权限或Windows上的Administrator 权限。对一个DB2实例拥有SYSADM权限的用户能够对这个实例、这个实例中的任何数据库以及这些数据库中的任何对象发出任何DB2命令。他们还能够访问数据库中的数据以及对其他用户授予或撤消特权或权限。只允许SYSADM用户更新DBM CFG文件。SYSADM权限由DBM CFG文件中的SYSADM_GROUP参数控制。在Windows上，在创建实例时，这个参数设置为 Administrator（但是，如果发出命令?db2 get dbm cfg?，它看起来是空的）。在 UNIX 上，它设置为创建这个实例的用户的主组。因为只允许SYSADM用户更新DBM CFG文件，所以只有他们能够向其他组授予任何SYS*权限。以下示例演示如何向?db2grp1?组授予 SYSADM 权限：db2 update dbm cfg using SYSADM_GROUP db2grp1?请记住，这一修改直到实例停止并重新启动之后才会生效。还要记住，如果您当前不是作为?db2grp1?组的成员登录的，那么就无权重新启动实例！您必须注销并用正确的组中的 ID 重新登录，或者将自己当前的ID添加进?db2grp1?组中。获得SYSCTRL权限?拥有SYSCTRL权限的用户可以在实例中执行所有管理和维护命令。但是，与SYSADM用户不同，他们不能访问数据库中的任何数据，除非他们被授予了访问数据所需的特权。SYSCTRL 用户可以对实例中的任何数据库执行的命令示例如下：?db2start/db2stopdb2 create/drop databasedb2 create/drop tablespacedb2 backup/restore/rollforward databasedb2 runstats （针对任何表）db2 update db cfg for database dbname?拥有 SYSADM 权限的用户可以使用以下命令将 SYSCTRL 分配给一个组：db2 update dbm cfg using SYSCTRL_GROUP group name?获得SYSMAINT权限?拥有SYSMAINT权限的用户可以发出的命令是拥有SYSCTRL权限的用户可以发出的命令的子集。SYSMAINT 用户只能执行与维护相关的任务，比如：db2start/db2stopdb2 backup/restore/rollforward databasedb2 runstats （针对任何表）db2 update db cfg for database dbname?注意，拥有SYSMAINT权限的用户不能创建或删除数据库或表空间。他们也不能访问数据库中的任何数据，除非他们被显式地授予访问数据所需的特权。如果您拥有 SYSADM 权限，那么可以使用以下命令将 SYSMAINT 权限分配给一个组：db2 update dbm cfg using SYSMAINT_GROUP group name?获得DBADM权限?DBADM 权限是一个数据库级权限，而不是实例级权限。DBADM用户对一个数据库有几乎完全的控制能力。DBADM用户不能执行某些维护或管理任务，比如：drop databasedrop/create tablespacebackup/restore databaseupdate db cfg for database db name?但是，他们可以执行以下任务：db2 create/drop tabledb2 grant/revoke （任何特权）db2 runstats （任何表）?DBADM用户还被自动地授予对数据库对象及其内容的所有特权。因