云数据库 GAUSSDB-GRANT:注意事项

时间:2024-11-02 18:50:36

注意事项

  • 不允许将ANY权限授予PUBLIC,也不允许从PUBLIC回收ANY权限。
  • ANY权限属于数据库内的权限,只对授予该权限的数据库内的对象有效,例如SELECT ANY TABLE只允许用户查看当前数据库内的所有用户表数据,对其他数据库内的用户表无查看权限。
  • ANY权限与原有的权限相互无影响。
  • 如果用户被授予CREATE ANY TABLE权限,在同名schema下创建表的属主是该schema的属主,用户对表进行其他操作时,需要授予相应的操作权限。与此类似的还有CREATE ANY FUNCTION、CREATE ANY PACKAGE、CREATE ANY TYPE、CREATE ANY SEQUENCE和CREATE ANY INDEX,在同名模式下创建的对象的属主是同名模式的属主;而对于CREATE ANY TRIGGER和CREATE ANY SYNONYM,在同名模式下创建的对象的属主为创建者。
  • 需要谨慎授予用户CREATE ANY FUNCTION或CREATE ANY PACKAGE的权限,以免其他用户利用DEFINER类型的函数或PACKAGE进行权限提升。
  • 通过GRANT授予用于使用表的权限时,如果用户使用不当,可能通过ALTER语法在表的默认值、约束增加表达式,通过创建索引在INDEX上增加表达式等操作,导致权限被利用的风险。
  • 通过GRANT授予用户使用TRIGGER的权限时,如果用户使用不当,可能通过WHEN条件创建表达式,当触发器被触发时,存在权限被利用的风险。
  • 给用户赋权时,需要特别注意定义者函数/PACKAGE,定义者函数/PACKAGE会使用函数/PACKAGE的owner权限执行,若赋权不当(包括GRANT ROLE TO ROLE),则存在权限被利用风险。
support.huaweicloud.com/centralized-devg-v3-gaussdb/gaussdb-12-0614.html