DB2数据库安全性全面介绍

核心提示： 特定用户标识、所有用户自动归属的特定组（PUBLIC）或多个组都可以被授予（或被撤消）每种特权，图 3 是 DB2 提供的一些不同特权的示例，DB2数据库安全性全面介绍(7)，（注意：Table（表）和 View（视图）组中，ALTER、INDEX、REFERENCES 和 UPDATE

特定用户标识、所有用户自动归属的特定组（PUBLIC）或多个组都可以被授予（或被撤消）每种特权。图 3 是 DB2 提供的一些不同特权的示例。（注意：Table（表）和 View（视图）组中，ALTER、INDEX、REFERENCES 和 UPDATE Column 特权只适用于表。）如想要了解有关这些特权的深入讨论，请参阅 DB2 Administration Guide。

对所有种类的操作和对象的访问都由特权控制。您必须先拥有做某事的特权，DB2 才会允许您做这件事。

访问控制方法

现在您懂得了 DB2 如何管理验证和授权，让我们看一下 DB2 为了更强大的访问控制而综合这些选项所提供的框架。访问控制方法用于创建信息内容的子集，从而用户可以只查看或存取与其需要相关的数据。您可以在 DB2 中使用许多不同的访问控制方法。访问控制是为您在数据库中所进行的一切操作而存在的。

请考虑一下表 1 中视图的行。您也许希望公司里的所有用户都有权访问 L_Name、F_Name、Phone、email 和 Title 这些列。但是，为了尽可能降低垃圾邮件的风险，您也许希望通过 Web 访问公司目录的用户只能看到 L_Name、F_Name 和 Phone 这几列。最后，人力资源部的雇员应该有权访问这张表中的所有行。DB2 访问控制提供对于在 DB2 中保护您的数据和提供对数据的行级别访问非常重要的框架。

使用数据包的访问控制。数据包是与一条或多条 SQL 语句有关的信息集合，这是 DB2 内 SQL 的基本访问控制点。数据包中包括诸如优化器生成的访问计划和授权模型等信息。向数据库引擎发出的任何语句都会和特定数据包有关。

在创建数据包的时候，它就被绑定到具有特定特权的数据库。创建数据包的人一定有执行数据包中所有静态 SQL 语句所需要的特权。运行数据包的用户也一定有这个数据包的 EXECUTE 特权，但是他们不一定有执行数据包中包含的所有静态语句的一对一的特权。例如，没有 CREATETAB 特权，用户就不能在数据库中创建表。但是，有特权运行包含静态 CREATE TABLE 语句的数据包的用户可以以这种方式创建表。数据包在控制用户对数据库对象的访问权方面起了关键作用。