DB2 安全性模型概述

核心提示： 7.DATAACCESS（数据访问权限）DATAACCESS 权限级别提供下列特权和权限，它只能由拥有 SECADM 权限的用户授予，DB2 安全性模型概述(6)，不能将 DATAACCESS 权限授予 PUBLIC，它主要包含如下权限：LOAD 权限对所有表、视图、MQT 和昵称的 SELEC

7.DATAACCESS（数据访问权限）

DATAACCESS 权限级别提供下列特权和权限。它只能由拥有 SECADM 权限的用户授予。不能将 DATAACCESS 权限授予 PUBLIC。

它主要包含如下权限：

LOAD 权限

对所有表、视图、MQT 和昵称的 SELECT、INSERT、UPDATE 和 DELETE 特权

对系统目录表及视图的 SELECT 特权

对所有例程（除系统定义的审计例程）的 EXECUTE 特权

对所有程序包的 EXECUTE 的特权

8.数据库权限（非管理）

要执行诸如创建表或例程，或者用于将数据装入表等的活动，需要特定数据库权限。例如，使用 load 实用程序将数据装入到表中需要 LOAD 数据库权限（用户还必须具有对表的 INSERT 特权）。

图 2. 展示了数据库级别权限的管理范围及层次关系

查看原图（大图）

特权（对象级别权限）

对象级别权限控制对特定数据库对象包括表、视图、索引、模式、程序包的访问权限。对象级别的权限主要包括 CONTROL, DELETE, INSERT, SELECT, UPDATE, ALTER, INDEX, REFERENCES, BIND, EXECUTE, ALTERIN, CREATEIN, DROPIN 等权限。同时，我们也可以通过 grant 及 revoke 命令来对数据库对象进行授权及撤销授权。

基于内容的权限

LBAC 凭证属于一种特殊的特权，它提供了在表的行或列级限制读 / 写特权的能力。

基于标号的访问控制（LBAC）使安全管理员能够准确地确定对于各行各列具有写访问权的用户和具有读访问权的用户。安全管理员通过创建安全策略来配置 LBAC 系统。安全策略描述的是用来确定哪些用户能够访问哪些数据的条件。对于任何一个表，只能使用一个安全策略来保护它，但不同的表可以由不同的安全策略保护。