DB2数据库安全性全面介绍

核心提示： 例如，图 2 展示输入命令运行的结果，DB2数据库安全性全面介绍(6)，该命令要求用户具有特定的授权特权， DB2 安全性机制阻止 TESTING 用户标识，静态 SQL 不适用于组成员关系（除 PUBLIC 组之外），静态 SQL 在执行之前就为 DB2 所知，因为它知道这个用户没有得到

例如，图 2 展示输入命令运行的结果，该命令要求用户具有特定的授权特权。

DB2 安全性机制阻止 TESTING 用户标识，因为它知道这个用户没有得到执行这样的命令的授权。在这种情况下，TESTING 显然不是 SYSADM，因为该权限级别是执行如图 2 中所示的命令所需要的。

在 DB2 中，您通过分别成为 SYSADM_GROUP、SYSCTRL_GROUP 和 SYSMAINT_GROUP 数据库管理器配置参数指定的组的成员获得 SYSADM、SYSCTRL 和 SYSMAINT 权限。

如想获得所有授予属于 DB2 预定义授权组的用户的授权特权的完整列表，请参考 DB2 Administration Guide。

特权。特权（privilege）定义对授权名的单一许可，从而使用户能够修改或访问数据库资源。特权存储于数据库目录中。虽然权限组预定义了一组可以隐性授予组成员的特权，但是特权是单独的许可。

图 3：DB2 中可用的样本特权

DB2 可以利用由操作系统安全功能维护的用户组。组允许数据库管理员给组指派特权，这样帮助降低数据库系统持所有权的总成本。

例如，如果您要把创建表（CREATETAB）和连接数据库（CONNECT）的特权为 50 个用户开放，那么创建组并给它添加特权要比显式给每个单独的用户授予每种特权更容易。每当您需要添加或撤消特权时，您只要对组操作一次，对组的所有成员都会生效。

通常，动态 SQL 和非数据库对象授权（例如，实例级命令和实用程序）适用于组成员关系。动态 SQL 是非预先安排或即时生成的 SQL。静态 SQL 不适用于组成员关系（除 PUBLIC 组之外）。静态 SQL 在执行之前就为 DB2 所知，而且 DB2 优化器已经生成了 SQL 访问计划并把它作为数据包存储在目录中。