角色与用户管理
KaiwuDB 开发者中心支持创建、删除角色或用户,为角色或用户添加成员、删除成员、赋予权限、撤销权限等操作。
创建角色或用户
前提条件
- 非三权分立模式下,用户拥有 CREATEROLE 权限或者是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是拥有 CREATEROLE 权限的普通用户或者是
sysadmin
角色的成员。默认情况下,sysroot
用户属于sysadmin
角色。
如需创建角色或用户,遵循以下步骤。
在数据库导航区,右键单击角色与用户,然后选择新建角色或用户。
在创建角色或用户窗口,设置名称,选择是否勾选用户。如果不勾选,创建角色,勾选后,创建用户。根据需要设置口令到期时间、口令重用时间限制、口令重用次数限制、身份认证最大连接次数和密码加密算法。其中,
口令到期时间设置的时间支持 timestamp 格式,也支持精确到纳秒级别,到达指定日期或时间后,密码失效。
口令重用时间限制仅支持按天设置,设置为 DEFAULT 可移除时间限制。
口令重用次数限制表示用户不能重复使用最近 n 次的历史密码。设置为 DEFAULT 可移除历史次数限制。
身份认证最大连接次数默认为 5 次,用户连续登录失败次数达到设置值后,数据库将锁定该用户 15 分钟,在此期间,用户无法登录数据库,需要等待锁定时间结束或者管理员手动解锁后才能登录。
创建角色
创建用户
在系统自动弹出的用户属性页面,点击右下方的保存按钮。
根据需要为用户或角色勾选相应的权限,然后单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误,然后单击执行。
用户管理
前提条件
- 非三权分立模式下,用户具备 CREATEROLE 权限或者是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是拥有 CREATEROLE 权限的普通用户或者是
sysadmin
角色的成员。默认情况下,sysroot
用户属于sysadmin
角色。
步骤
如需修改用户密码、口令到期时间、口令重用时间限制、口令重用次数限制、身份认证最大连接次数和密码加密算法,遵循以下步骤。
在数据库导航区,右键单击需要设置的用户,然后选择角色/用户管理 > 用户管理。
在角色或用户管理窗口,根据需要修改用户密码、口令到期时间、口令重用时间限制、口令重用次数限制、身份认证最大连接次数和密码加密算法,然后单击确定。
启用或禁用角色或用户
说明
KaiwuDB 开发者中心不支持启用或禁用以下内置角色:
- 非三权分立模式:
admin
、root
角色 - 三权分立模式:
sysadmin
、sysroot
、secadmin
、secroot
、auditadmin
、auditroot
角色
前提条件
- 非三权分立模式下,用户具备 CREATEROLE 权限或者是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是拥有 CREATEROLE 权限的普通用户或者是
sysadmin
角色的成员。默认情况下,sysroot
用户属于sysadmin
角色。
步骤
如需启用或禁用角色或用户,遵循以下步骤。
在数据库导航区,右键单击需要设置的角色或用户,然后选择角色/用户管理 > 启用/禁用。
在新弹出的窗口,确认启用或禁用该角色或用户。
删除角色或用户
前提条件
- 非三权分立模式下,用户具备 CREATEROLE 权限或者是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是拥有 CREATEROLE 权限的普通用户或者是
sysadmin
角色的成员。默认情况下,sysroot
用户属于sysadmin
角色。
步骤
如需删除角色或用户,遵循以下步骤。
在数据库导航区,右键单击需要删除的角色或用户,然后单击删除。
在删除对象窗口,单击是。
成员管理
添加成员
KaiwuDB 开发者中心支持为角色或用户添加成员。角色或用户的所有权限都被其成员继承。如需为管理员角色添加成员,用户必须是具有 WITH ADMIN OPTION
权限的管理员角色。
前提条件
- 非三权分立模式下,用户是角色的管理员或者
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是角色的管理员、
secadmin
角色的成员或者是sysadmin
角色的成员。默认情况下,secroot
用户属于secadmin
角色,sysroot
用户属于sysadmin
角色。 - 如需为管理员角色添加成员,用户必须是具有
WITH ADMIN OPTION
权限的管理员角色。
步骤
如需为用户或角色添加成员,遵循以下步骤。
在数据库导航区,双击需要添加成员的角色或用户。
在成员页面,右键单击需要添加成员的角色或用户,然后选择新建成员。
从下拉菜单中选择需要添加的角色或用户。
选择是否授予管理员权限。
- 非三权分立模式下,获得管理员权限的成员可以授予或撤销指定角色的成员资格。
- 三权分立模式下,
- 具有
WITH ADMIN OPTION
权限的系统管理员用户可以将一个没有业务权限的普通用户加入系统管理员角色作为其成员。系统管理员可以对系统管理员角色成员授予或撤回没有业务权限的普通用户角色或对任意普通用户角色赋予或撤回任意普通用户角色。 - 具有
WITH ADMIN OPTION
权限的安全管理员用户可以将一个没有业务权限的普通用户加入安全管理员角色或审计管理员角色作为其成员。安全管理员可以对安全管理员角色成员、审计管理员角色成员授予或撤回没有业务权限的普通用户角色。 - 具有
WITH ADMIN OPTION
权限的普通用户可以将一个没有业务权限的普通用户加入普通角色作为其成员。
- 具有
单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误,然后单击执行。
删除成员
说明
- 非三权分立模式下,KaiwuDB 不支持将
root
用户从admin
角色中删除。 - 三权分立模式下,KaiwuDB 不支持将
sysroot
、secroot
、auditroot
用户分别从sysadmin
、secadmin
、auditadmin
角色中删除。
前提条件
- 非三权分立模式下,用户是角色的管理员或者
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是角色的管理员、
secadmin
角色的成员或者是sysadmin
角色的成员。默认情况下,secroot
用户属于secadmin
角色,sysroot
用户属于sysadmin
角色。 - 如需删除管理员角色成员,用户必须是具有
WITH ADMIN OPTION
权限的管理员角色。
步骤
如需为用户或角色删除成员,遵循以下步骤。
在数据库导航区,双击需要删除成员的角色或用户。
在成员页面,右键单击需要删除的成员,然后选择删除。
单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误,然后单击执行。
权限管理
为角色或用户授权
前提条件
- 非三权分立模式下,用户是
admin
角色的成员或者拥有目标对象 GRANT 和相应的权限。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是
sysadmin
角色的成员或者是拥有目标对象 GRANT 和相应权限的普通成员。默认情况下,sysroot
用户属于sysadmin
角色。
步骤
如需为用户或角色授权,遵循以下步骤。
在数据库导航区,双击需要授权的角色或用户。
在权限页签,选择要授权给角色或用户的模式、表或关系视图。
勾选相关权限,然后单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误,然后单击执行。
撤销角色或用户的权限
前提条件
- 非三权分立模式下,用户是
admin
角色的成员或者拥有目标对象 GRANT 和相应的权限。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是
sysadmin
角色的成员或者是拥有目标对象 GRANT 和相应权限的普通成员。默认情况下,sysroot
用户属于sysadmin
角色。
步骤
如需撤销用户或角色的授权,遵循以下步骤。
在数据库导航区,双击需要撤销授权的角色或用户。
在权限页签,选择需要撤销用户授权的的模式、表或视图。
取消勾选相关权限,然后单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误,然后单击执行。
标记管理
应用标记即将标记应用于主体和客体,从而根据主体和客体标记的密级和范围来实现以下强制访问策略。
说明
- 标记不能应用于 ·
admin
管理员、系统管理员、安全管理员和审计管理员等用户主体,只能应用于新创建的普通用户。 - 将多个标记应用于主体时,多个标记必须具备相同的密级,且范围值采取并集。
应用标记
前提条件
- 非三权分立模式下,用户是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是
secadmin
角色的成员。默认情况下,secroot
用户属于secadmin
角色。
步骤
如需为指定用户或角色应用标记,遵循以下步骤。
在数据库导航区,双击待应用标记的用户或角色,单击标记页签。
选择需要应用的标记,单击页面右下方的保存按钮。
在执行修改窗口,确认 SQL 语句无误后,单击执行
撤销标记
前提条件
- 非三权分立模式下,用户是
admin
角色的成员。默认情况下,root
用户属于admin
角色。 - 三权分立模式下,用户是
secadmin
角色的成员。默认情况下,secroot
用户属于secadmin
角色。
步骤
如需撤销用户或角色的标记,遵循以下步骤。
- 在数据库导航区,双击待撤销标记的用户或角色,单击标记页签。
- 取消勾选相应的标记,单击页面右下方的保存按钮。
- 在执行修改窗口,确认 SQL 语句无误,然后单击执行。