GBase 8t 安全特性之自主访问控制（一）概述

（一）概述

自主访问控制（DAC）是使用权限和角色来保护 SQL 对象的访问控制机制。使用 DAC 保护的数据库中的对象包括数据库、表、表中的列、分片、视图、用户定义的类型、例程和语言。通过将访问这些对象的权限授予用户，实现有效的访问控制。没有必需权限的用户将不能执行访问这些对象的查询。

权限-角色-用户三者之间的基本关系如何呢？通过将一系列权限分组形成角色，并将这些角色赋予用户，将基于权限的访问控制扩展成基于角色的访问控制。用户提交的大多数 SQL 查询都与一个或多个 SQL 对象相互作用。数据库管理员（DBA）授予用户的针对这些对象的权限，决定该用户能否执行需要的操作。用户权限包括明确授予用户的权限、从用户当前角色派生的权限，以及属于 PUBLIC 的权限。PUBLIC 是表示数据库系统中所有用户的关键字。

在防止未经授权的用户访问敏感数据的过程中，数据库管理员（DBA）发挥关键作用。请注意，DBA 与数据库系统管理员（DBSA）不一样。DBSA 负责执行 GBase 8t 数据库服务器维护，而 DBA 负责创建和维护数据库。