Rollen zuweisen
Das Zuweisen einer Rolle ähnelt dem Erteilen einer Berechtigung.Eine oder mehrere Rollen können einem oder mehreren Benutzern zugewiesen werden, einschließlich des Benutzer PUBLIC, mit einer GRANT-Anweisung.
%22%20gradientUnits%3D%22userSpaceOnUse%22%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20offset%3D%220%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20offset%3D%22.27%22%2F%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%221%22%2F%3E%3C%2FlinearGradient%3E%3CradialGradient%20id%3D%22IDa%22%20cx%3D%22226.87%22%20cy%3D%22227.78%22%20r%3D%22226.77%22%20gradientTransform%3D%22matrix(1%200%200%20.99928%204.5%20.16398)%22%20gradientUnits%3D%22userSpaceOnUse%22%20spreadMethod%3D%22reflect%22%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%22-99%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20style%3D%22stop-color%3A%23d6d6d6%3Bstop-opacity%3A.80992%22%20offset%3D%22-25.96%22%2F%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20style%3D%22stop-color%3A%23640401%22%20offset%3D%221%22%2F%3E%3C%2FradialGradient%3E%3Cfilter%20id%3D%22IDc%22%20x%3D%22-.073393%22%20y%3D%22-.073446%22%20width%3D%221.1468%22%20height%3D%221.1469%22%20style%3D%22color-interpolation-filters%3AsRGB%22%3E%3CfeGaussianBlur%20stdDeviation%3D%2213.661255%22%2F%3E%3C%2Ffilter%3E%3C%2Fdefs%3E%3Cg%20transform%3D%22translate(28.187%2031.614)%22%3E%3Cpath%20d%3D%22m144.36%20418.24c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDa)%3Bfilter%3Aurl(%23IDc)%3Bmix-blend-mode%3Anormal%3Bopacity%3A.61733%3Bstroke-width%3A.99975%3Bstroke%3A%23000000%22%2F%3E%3Cpath%20d%3D%22m139.76%20417.07c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDb)%3Bstroke-width%3A.32475%3Bstroke%3A%23909090%22%2F%3E%3C%2Fg%3E%3C%2Fsvg%3E%0A){kind=small}
- Deutschkeyboard_arrow_down
- languageAnglais
- languageFrançais
- languageРусский
Die WITH ADMIN OPTION-Klausel
Die optionale WITH ADMIN OPTION-Klausel ermöglicht es den in der Benutzerliste angegebenen Benutzern, anderen Benutzern die angegebene(n) Rolle(n) zu erteilen.
|
Caution
|
Es ist möglich, diese Option |
Bei kumulativen Rollen kann ein Benutzer die WITH ADMIN OPTION einer sekundären Rolle nur dann ausüben, wenn allen Zwischenrollen auch WITH ADMIN OPTION gewährt wird.Das heißt, GRANT ROLEA TO ROLE ROLEB WITH ADMIN OPTION, GRANT ROLEB TO ROLE ROLEC, GRANT ROLEC TO USER USER1 WITH ADMIN OPTION erlaubt USER1 nur, ROLEC anderen Benutzern oder Rollen zu gewähren, während GRANT ROLEB TO ROLE ROLEC WITH ADMIN OPTION es USER1 ermöglicht ROLEA, ROLEB und ROLEC anderen Benutzern zu gewähren.
docnext count = 14
Beispiele für Rollenzuweisungen
-
Dem Benutzer
IVANdie RollenDIRECTORundMANAGERzuweisen:GRANT DIRECTOR, MANAGER TO USER IVAN; -
Zuweisen der Rolle
MANAGERan den BenutzerALEXmit der Berechtigung, diese Rolle anderen Benutzern zuzuweisen:GRANT MANAGER TO USER ALEX WITH ADMIN OPTION; -
Zuweisen der Rolle
DIRECTORdem BenutzerALEXals Standardrolle:GRANT DEFAULT DIRECTOR TO USER ALEX; -
Die Rolle
MANAGERder RolleDIRECTORzuweisen:GRANT MANAGER TO ROLE DIRECTOR;
Siehe auch
Die WITH GRANT OPTION-Klausel
Die optionale WITH GRANT OPTION-Klausel ermöglicht es den in der Benutzerliste angegebenen Benutzern, anderen Benutzern die in der Berechtigungsliste angegebenen Berechtigungen zu erteilen.
|
Caution
|
Diese Option kann dem Benutzer |
Die GANTED BY-Klausel
Wenn Berechtigungen in einer Datenbank gewährt werden, wird standardmäßig der aktuelle Benutzer als Erteilender aufgezeichnet.Die GRANTED BY-Klausel ermöglicht es dem aktuellen Benutzer, diese Privilegien als anderen Benutzer zu erteilen.
Wenn die REVOKE-Anweisung verwendet wird, schlägt sie fehl, wenn der aktuelle Benutzer nicht der Benutzer ist, der in der GRANTED BY-Klausel genannt wurde.
Die GRANTED BY (und AS)-Klausel kann nur vom Datenbankbesitzer und anderen Administratoren verwendet werden.Der Objektbesitzer kann GRANTED BY nur verwenden, wenn er auch über Administratorrechte verfügt.
Alternative Syntax mit AS username
Die nicht standardmäßige AS-Klausel wird als Synonym der GRANTED BY-Klausel unterstützt, um die Migration von anderen Datenbanksystemen zu vereinfachen.
Berechtigungen für Tabellen und Ansichten (Views)
Für Tabellen und Views ist es im Gegensatz zu anderen Metadatenobjekten möglich, mehrere Privilegien gleichzeitig zu erteilen.
Liste der Berechtigungen für Tabellen
SELECT-
Erlaubt dem Benutzer oder Objekt, Daten aus der Tabelle oder Ansicht auszuwählen
INSERT-
Erlaubt dem Benutzer oder Objekt, Zeilen in die Tabelle oder Ansicht einzufügen
DELETE-
Ermöglicht dem Benutzer oder Objekt das Löschen von Zeilen aus der Tabelle oder Ansicht or
UPDATE-
Erlaubt dem Benutzer oder Objekt, Zeilen in der Tabelle oder Ansicht zu aktualisieren, optional auf bestimmte Spalten beschränkt specific
REFERENCES-
Erlaubt dem Benutzer oder Objekt, die Tabelle über einen Fremdschlüssel zu referenzieren, optional beschränkt auf die angegebenen Spalten.Wenn der primäre oder eindeutige Schlüssel, auf den der Fremdschlüssel der anderen Tabelle verweist, zusammengesetzt ist, müssen alle Spalten des Schlüssels angegeben werden.
ALL [PRIVILEGES]-
Kombiniert die Privilegien
SELECT,INSERT,UPDATE,DELETEundREFERENCESin einem einzigen Paket
Beispiele für GRANT <privilege> auf Tabellen
-
SELECT- undINSERT-Berechtigungen für BenutzerALEX:GRANT SELECT, INSERT ON TABLE SALES TO USER ALEX; -
Das
SELECT-Privileg für die RollenMANAGERsowieENGINEERund für den BenutzerIVAN:GRANT SELECT ON TABLE CUSTOMER TO ROLE MANAGER, ROLE ENGINEER, USER IVAN; -
Alle Berechtigungen für die Rolle "ADMINISTRATOR", zusammen mit der Berechtigung, anderen dieselben Berechtigungen zu erteilen:
GRANT ALL ON TABLE CUSTOMER TO ROLE ADMINISTRATOR WITH GRANT OPTION; -
Die
SELECT- sowieREFERENCES-Privilegien in der SpalteNAMEfür alle Benutzer und Objekte:GRANT SELECT, REFERENCES (NAME) ON TABLE COUNTRY TO PUBLIC; -
Das
SELECT-Privileg wird dem BenutzerIVANvom BenutzerALEXgewährt:GRANT SELECT ON TABLE EMPLOYEE TO USER IVAN GRANTED BY ALEX; -
Gewähren der Berechtigung
UPDATEfür die SpaltenFIRST_NAME,LAST_NAME:GRANT UPDATE (FIRST_NAME, LAST_NAME) ON TABLE EMPLOYEE TO USER IVAN; -
Gewähren der
INSERT-Berechtigung für die gespeicherte ProzedurADD_EMP_PROJ:GRANT INSERT ON EMPLOYEE_PROJECT TO PROCEDURE ADD_EMP_PROJ;
Die EXECUTE-Berechtigung
Das Privileg EXECUTE gilt für gespeicherte Prozeduren, gespeicherte Funktionen (einschließlich UDFs) und Pakete.Es ermöglicht dem Empfänger, das angegebene Objekt auszuführen und gegebenenfalls seine Ausgabe abzurufen.
Im Fall von auswählbaren gespeicherten Prozeduren verhält es sich insofern wie ein SELECT-Privileg, insofern diese Art von gespeicherter Prozedur als Reaktion auf eine SELECT-Anweisung ausgeführt wird.
|
Note
|
Bei Paketen kann das `EXECUTE'-Privileg nur für das gesamte Paket vergeben werden, nicht für einzelne Unterprogramme. |
Beispiele für die Gewährung des EXECUTE-Privilegs
-
Einer Rolle das Privileg
EXECUTEfür eine gespeicherte Prozedur gewähren:GRANT EXECUTE ON PROCEDURE ADD_EMP_PROJ TO ROLE MANAGER; -
Einer Rolle das Privileg
EXECUTEfür eine gespeicherte Funktion gewähren:GRANT EXECUTE ON FUNCTION GET_BEGIN_DATE TO ROLE MANAGER; -
Gewähren des
EXECUTE-Privilegs für ein Paket an den BenutzerPUBLIC:GRANT EXECUTE ON PACKAGE APP_VAR TO USER PUBLIC; -
Erteilen des
EXECUTE-Privilegs für eine Funktion an ein Paket:GRANT EXECUTE ON FUNCTION GET_BEGIN_DATE TO PACKAGE APP_VAR;
Das USAGE-Privileg
Um andere Metadatenobjekte als Tabellen, Ansichten, gespeicherte Prozeduren oder Funktionen, Trigger und Pakete verwenden zu können, ist es notwendig, dem Benutzer (oder Datenbankobjekten wie Trigger, Prozedur oder Funktion) das USAGE-Privileg für diese Objekte zu gewähren.
Da Firebird gespeicherte Prozeduren und Funktionen, Trigger und Paketroutinen mit den Rechten des Aufrufers ausführt, ist es notwendig, dass entweder der Benutzer oder die Routine selbst das USAGE-Privileg besitzt.
|
Note
|
In Firebird 3.0 und Firebird 4.0 ist das Privileg |
|
Note
|
Für Sequenzen (Generatoren) gewährt das Privileg |
Beispiele für die Gewährung des USAGE-Privilegs
-
Einer Rolle das Privileg
USAGEfür eine Sequenz gewähren:GRANT USAGE ON SEQUENCE GEN_AGE TO ROLE MANAGER; -
Gewähren des
USAGE-Privilegs für eine Sequenz an einen Trigger:GRANT USAGE ON SEQUENCE GEN_AGE TO TRIGGER TR_AGE_BI; -
Gewähren des Privilegs
USAGEfür eine Ausnahme für ein Paket:GRANT USAGE ON EXCEPTION TO PACKAGE PKG_BILL;
DDL Privileges
Standardmäßig können nur Administratoren neue Metadatenobjekte erstellen;Das Ändern oder Löschen dieser Objekte ist auf den Eigentümer des Objekts (seinen Ersteller) und Administratoren beschränkt.DDL-Berechtigungen können verwendet werden, um anderen Benutzern Berechtigungen für diese Vorgänge zu erteilen.
Verfügbare DDL-Berechtigungen
CREATE-
Ermöglicht die Erstellung eines Objekts des angegebenen Typs
ALTER ANY-
Ermöglicht die Änderung jedes Objekts des angegebenen Typs
DROP ANY-
Ermöglicht das Löschen jedes Objekts des angegebenen Typs
ALL [PRIVILEGES]-
Kombiniert die Berechtigungen
CREATE,ALTER ANYundDROP ANYfür den angegebenen Typ
|
Note
|
Es gibt keine separaten DDL-Berechtigungen für Trigger und Indizes.Die erforderlichen Berechtigungen werden von der Tabelle oder Sicht geerbt.Das Erstellen, Ändern oder Löschen eines Triggers oder Index erfordert das Privileg |
Beispiele für die Gewährung von DDL-Berechtigungen
-
Erlaube dem Benutzer
JOE, Tabellen zu erstellenGRANT CREATE TABLE TO USER Joe; -
Erlaube dem Benutzer
JOE, jede Prozedur zu ändernGRANT ALTER ANY PROCEDURE TO USER Joe;
Datenbank-DDL-Berechtigungen
Die Syntax für die Vergabe von Berechtigungen zum Erstellen, Ändern oder Löschen einer Datenbank weicht von der normalen Syntax für die Vergabe von DDL-Berechtigungen für andere Objekttypen ab.
Verfügbare Datenbank-DDL-Berechtigungen
CREATE-
Ermöglicht die Erstellung einer Datenbank
ALTER-
Ermöglicht die Änderung der aktuellen Datenbank
DROP-
Ermöglicht das Löschen der aktuellen Datenbank
ALL [PRIVILEGES]-
Kombiniert die Berechtigungen
ALTERundDROP.ALLbeinhaltet nicht dasCREATE-Privileg.
Die Berechtigungen ALTER DATABASE und DROP DATABASE gelten nur für die aktuelle Datenbank, während die DDL-Berechtigungen ALTER ANY und DROP ANY für andere Objekttypen für alle Objekte des angegebenen Typs in der aktuellen Datenbank gelten.Die Berechtigung zum Ändern oder Löschen der aktuellen Datenbank kann nur von Administratoren erteilt werden.
Das Privileg CREATE DATABASE ist ein besonderes Privileg, da es in der Sicherheitsdatenbank gespeichert wird.Eine Liste von Benutzern mit dem Privileg CREATE DATABASE ist in der virtuellen Tabelle SEC$DB_CREATORS verfügbar.Nur Administratoren in der Sicherheitsdatenbank kann die Berechtigung zum Anlegen einer neuen Datenbank erteilen.
|
Note
|
|
Beispiele für die Gewährung von Datenbank-DDL-Berechtigungen
-
Gewähren von
SUPERUSERdie Berechtigung zum Erstellen von Datenbanken:GRANT CREATE DATABASE TO USER Superuser; -
Gewähren Sie
JOEdas Recht,ALTER DATABASEfür die aktuelle Datenbank auszuführen:GRANT ALTER DATABASE TO USER Joe; -
Gewähren Sie
FEDORdas Recht, die aktuelle Datenbank zu löschen:GRANT DROP DATABASE TO USER Fedor;