GBase 8a
其他
文章
精选

用户权限体系分为哪几个层级(全局、数据库、表、列)?授权时,WITH GRANT OPTION选项的作用是什么?

山佳
发表于2026-03-27 10:02:0125次浏览3个评论

GBase 8a MPP Cluster 的用户权限体系分为 五个层级,并支持在授权时使用 WITH GRANT OPTION 选项来实现权限的传递。

一、权限体系的五个层级

权限控制遵循 “范围从大到小,权限从粗到细” 的原则,形成一个清晰的层级结构。在多VC(虚拟集群) 环境下,该层级结构在VC内部同样适用。

各层级详解

层级语法表示授权示例作用范围
1. 全局级*.*GRANT ALL ON *.* TO user1;整个集群或VC的所有数据库对象。
2. 数据库级db_name.*GRANT SELECT ON sales.* TO user1;指定数据库内的所有表、视图、存储过程。
3. 表级db_name.table_nameGRANT INSERT, UPDATE ON hr.employees TO user1;指定的所有列。
4. 列级db_name.table_name(column_list)GRANT SELECT(id, name) ON emp.info TO user1;指定表的特定列
5. 过程级db_name.procedure_nameGRANT EXECUTE ON finance.calc_bonus TO user1;指定的存储过程或函数

重要说明

  • VC前缀:在多VC环境下,授权时需在对象前指定VC名,格式为 vc_name.db_name.object。例如:GRANT ALL ON vc2.sales.* TO user1;

     

  • 权限继承:高级别权限隐含低级别权限。例如,拥有数据库级的 ALL 权限,意味着拥有该库下所有表的 ALL 权限。

二、WITH GRANT OPTION 选项的作用

WITH GRANT OPTION 是授权语句中的一个关键选项,它决定了被授权者能否将自己所获得的权限再次授予其他用户或角色

选项作用影响使用场景与风险
不使用 WITH GRANT OPTION被授权者只能使用该权限,不能将其转授给他人。权限控制链终止于此用户。默认、最安全的方式。适用于普通业务用户,便于集中权限管理。
使用 WITH GRANT OPTION被授权者不仅可以使用该权限,还可以将其再次授予(GRANT)收回(REVOKE) 给其他用户/角色。创建了一个权限传播链,该用户成为权限的二次分发点。需谨慎使用。适用于需要分权管理的场景,如部门管理员。风险在于可能导致权限扩散失控,难以追溯。

授权示例对比

-- 1. 普通授权:user1不能将权限转授他人
GRANT SELECT ON db1.t1 TO user1;

-- 2. 带GRANT OPTION的授权:user1可以将SELECT权限授予user2
GRANT SELECT ON db1.t1 TO user1 WITH GRANT OPTION;

-- 随后,user1可以执行:
GRANT SELECT ON db1.t1 TO user2; -- 这是被允许的
  1. 在权限列表中,GRANT OPTION 被列为一项独立的权限。
  2. 在“特别说明”部分明确指出:ALL 权限是除 GRANT OPTION 之外的所有简单权限的集合。这意味着,即使授予 ALL 权限,如果不显式指定 WITH GRANT OPTION,用户依然不能进行授权操作

三、总结与最佳实践

  1. 权限层级选择
    • 遵循 “最小权限原则” ,根据业务需求在合适的层级授权。
    • 例如,如果只需要访问表的某几列,应使用列级授权,而非表级或数据库级。
  2. WITH GRANT OPTION 使用建议
    • 严格控制:仅授予值得信任的、有权限管理职责的用户(如应用OWNER或团队DBA)。
    • 避免滥用:避免在给普通应用账号授权时使用,以防权限体系混乱。
    • 定期审计:通过查询 gbase 系统库中的权限表(如 tables_priv, columns_priv)或使用 SHOW GRANTS FOR user 命令,定期审查带有 GRANT OPTION 的授权,确保权限可控。

通过理解这五个权限层级和 WITH GRANT OPTION 的作用,您可以构建出既灵活又安全的细粒度权限管理体系,满足复杂业务场景下的数据访问控制需求。

评论

登录后才可以发表评论
用户头像
山佳发表于 2个月前
1111
用户头像
柒柒天晴发表于 2个月前
学习下
流泪猫猫头发表于 3小时前
学习了。

热门帖子