华为云首页用户手册

云数据库 GaussDB-GRANT:注意事项

时间：2023-11-01 16:18:34

云数据库 GaussDB

注意事项

不允许将ANY权限授予PUBLIC，也不允许从PUBLIC回收ANY权限。
ANY权限属于数据库内的权限，只对授予该权限的数据库内的对象有效，例如SELECT ANY TABLE只允许用户查看当前数据库内的所有用户表数据，对其他数据库内的用户表无查看权限。
即使用户被授予ANY权限，也不能对私有用户下的对象进行访问操作（INSERT、DELETE、UPDATE、SELECT）。
ANY权限与原有的权限相互无影响。
如果用户被授予CREATE ANY TABLE权限，在同名schema下创建表的属主是该schema的属主，用户对表进行其他操作时，需要授予相应的操作权限。与此类似的还有CREATE ANY FUNCTION、CREATE ANY PACKAGE、CREATE ANY TYPE、CREATE ANY SEQUENCE和CREATE ANY INDEX，在同名模式下创建的对象的属主是同名模式的属主；而对于CREATE ANY TRIGGER和CREATE ANY SYNONYM，在同名模式下创建的对象的属主为创建者。
需要谨慎授予用户CREATE ANY FUNCTION或CREATE ANY PACKAGE的权限，以免其他用户利用DEFINER类型的函数或PACKAGE进行权限提升。
通过GRANT授予用于使用表的权限时，如果用户使用不当，可能通过ALTER语法在表的默认值、约束增加表达式，通过创建索引在INDEX上增加表达式等操作，导致权限被利用的风险。
通过GRANT授予用户使用TRIGGER的权限时，如果用户使用不当，可能通过WHEN条件创建表达式，当触发器被触发时，存在权限被利用的风险。
给用户赋权时，需要特别注意定义者函数/PACKAGE，定义者函数/PACKAGE会使用函数/PACKAGE的owner权限执行，若赋权不当（包括GRANT ROLE TO ROLE），则存在权限被利用风险。