%22%20gradientUnits%3D%22userSpaceOnUse%22%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20offset%3D%220%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20offset%3D%22.27%22%2F%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%221%22%2F%3E%3C%2FlinearGradient%3E%3CradialGradient%20id%3D%22IDa%22%20cx%3D%22226.87%22%20cy%3D%22227.78%22%20r%3D%22226.77%22%20gradientTransform%3D%22matrix(1%200%200%20.99928%204.5%20.16398)%22%20gradientUnits%3D%22userSpaceOnUse%22%20spreadMethod%3D%22reflect%22%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%22-99%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20style%3D%22stop-color%3A%23d6d6d6%3Bstop-opacity%3A.80992%22%20offset%3D%22-25.96%22%2F%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20style%3D%22stop-color%3A%23640401%22%20offset%3D%221%22%2F%3E%3C%2FradialGradient%3E%3Cfilter%20id%3D%22IDc%22%20x%3D%22-.073393%22%20y%3D%22-.073446%22%20width%3D%221.1468%22%20height%3D%221.1469%22%20style%3D%22color-interpolation-filters%3AsRGB%22%3E%3CfeGaussianBlur%20stdDeviation%3D%2213.661255%22%2F%3E%3C%2Ffilter%3E%3C%2Fdefs%3E%3Cg%20transform%3D%22translate(28.187%2031.614)%22%3E%3Cpath%20d%3D%22m144.36%20418.24c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDa)%3Bfilter%3Aurl(%23IDc)%3Bmix-blend-mode%3Anormal%3Bopacity%3A.61733%3Bstroke-width%3A.99975%3Bstroke%3A%23000000%22%2F%3E%3Cpath%20d%3D%22m139.76%20417.07c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDb)%3Bstroke-width%3A.32475%3Bstroke%3A%23909090%22%2F%3E%3C%2Fg%3E%3C%2Fsvg%3E%0A){kind=small}
Opérateurs pour l'octroi de privilèges et l'attribution de rôles
GRANT CREATE DATABASE TO USER Superuser;ALTER DATABASE pour la base de données courante.GRANT ALTER DATABASE TO USER Joe;GRANT DROP DATABASE TO USER Fedor;La prise en charge des privilèges système dans le noyau rend très pratique l’octroi de privilèges supplémentaires aux utilisateurs qui disposent déjà de certains privilèges système. À cette fin, il est possible d’utiliser un ou plusieurs privilèges système en tant que bénéficiaire.
L’instruction suivante attribue tous les privilèges de la vue PLG$SRP_VIEW utilisée dans le plugin de gestion des utilisateurs SRP au privilège système USER_MANAGEMENT.
GRANT ALL ON PLG$SRP_VIEW TO SYSTEM PRIVILEGE USER_MANAGEMENTUne description des privilèges du système est disponible à l’adresse suivante CREATE ROLE
GRANT <role_granted>
TO <role_grantee_list>
[WITH ADMIN OPTION]
[{GRANTED BY | AS} [USER] grantor]
<role_granted> ::= [DEFAULT] role_name [, [DEFAULT] role_name ...]
<role_grantee_list> ::=
<role_grantee> [, <role_grantee> ...]
<role_grantee> ::=
[USER] username
| [ROLE] grantee_role_name
L’opérateur GRANT peut être utilisé pour attribuer des rôles à une liste d’utilisateurs ou de rôles, dans ce cas la clause GRANT est suivie d’une liste de rôles à attribuer à la liste d’utilisateurs ou de rôles spécifiée après la clause TO.
DEFAULTSi le mot-clé DEFAULT est utilisé, le(s) rôle(s) sera(ont) utilisé(s) par l’utilisateur ou le rôle à chaque fois, même s’il n’a pas été spécifié explicitement. Lors de la connexion, l’utilisateur recevra les privilèges de tous les rôles qui lui ont été attribués en utilisant le mot-clé DEFAULT. Si l’utilisateur spécifie son rôle lors de la connexion, il recevra les privilèges de ce rôle (s’il lui a été attribué) et les privilèges de tous les rôles qui lui ont été attribués en utilisant le mot-clé DEFAULT.
WITH ADMIN OPTIONLa clause facultative WITH ADMIN OPTION permet aux utilisateurs spécifiés dans la liste des utilisateurs de transférer leurs rôles à un autre utilisateur ou à un autre rôle. L’autorité du rôle ne peut être transférée de manière cumulative que si chaque rôle de la séquence de rôles est attribué en utilisant WITH ADMIN OPTION.
-- Attribution des rôles de DIRECTEUR et de MANAGER à l'utilisateur IVAN
GRANT DIRECTOR, MANAGER TO USER IVAN;
-- Attribution du rôle ADMIN à l'utilisateur ALEX
-- avec la possibilité d'assigner celui-ci à d'autres utilisateurs
GRANT MANAGER TO USER ALEX WITH ADMIN OPTION;DEFAULT.-- Attribution du rôle de MANAGER à l'utilisateur JOHN
-- Les privilèges du rôle seront automatiquement attribués à l'utilisateur
-- à chaque fois qu'il s'identifiera. Dans ce cas, le rôle agit comme un groupe.
GRANT DEFAULT MANAGER TO USER JOHN;
-- L'utilisateur JOHN se verra désormais accorder automatiquement des privilèges lors de la connexion.
-- MANAGER (voir opérateur précédent) et DIRECTEUR
GRANT DEFAULT DIRECTOR TO USER JOHN;-- Affectation du rôle de MANAGER au rôle de DIRECTEUR
-- avec la possibilité de transférer le rôle de MANAGER à d'autres utilisateurs ou rôles
GRANT MANAGER TO ROLE DIRECTOR WITH ADMIN OPTION;
-- Affectation du rôle de COMPTABLE au rôle de DIRECTEUR
-- lorsque vous vous connectez avec le rôle de DIRECTEUR, l'autorité du rôle de COMPTABLE
-- sera également accordé
GRANT DEFAULT ACCOUNTANT TO ROLE DIRECTOR;
-- L'utilisateur PETROV reçoit automatiquement l'autorité du rôle de DIRECTEUR.
-- Ces pouvoirs comprendront également l'autorité du rôle de l'ACCOUNTANT.
-- Pour obtenir l'autorité pour le rôle de MANAGER
-- vous devez spécifier ce rôle lors de la connexion ou plus tard avec l'opérateur SET ROLE
GRANT DEFAULT ROLE DIRECTOR TO USER PETROV;PUBLICEn SQL, il existe un utilisateur spécial PUBLIC qui représente tous les utilisateurs. Si une opération est autorisée à l’utilisateur PUBLIC, alors tout utilisateur authentifié peut effectuer cette opération sur l’objet spécifié.
|
Important
|
Si les privilèges sont attribués à l’utilisateur |
WITH GRANT OPTIONLa clause facultative WITH GRANT OPTION permet aux utilisateurs spécifiés dans la liste des utilisateurs d’accorder à d’autres utilisateurs les privilèges spécifiés dans la liste des privilèges.
GRANTED BYLorsqu’on accorde des droits dans une base de données, l’utilisateur actuel est généralement enregistré comme la personne qui accorde les droits. En utilisant la clause GRANTED BY, il est possible d’accorder des droits au nom d’un autre utilisateur. L’utilisation de l’instruction REVOKE après GRANTED BY ne supprimera les droits que s’ils ont été enregistrés par l’utilisateur qui les a supprimés. Pour faciliter la migration depuis d’autres SGBD relationnels, l’instruction non standard AS est prise en charge comme synonyme de l’instruction GRANTED BY.
La clause "accordé par" peut être utilisée :
Le propriétaire de la base de données ;
`SYSDBA' ;
Tout utilisateur ayant des droits sur le rôle RDB$ADMIN et l’ayant spécifié lors de la connexion à la base de données ;
Lors de l’utilisation du drapeau AUTO ADMIN MAPPING — tout administrateur Windows (tant que le serveur utilise l’authentification de confiance), même sans spécifier un rôle.
Même le propriétaire du rôle ne peut pas utiliser `GRANTED BY' à moins qu’il ne soit dans la liste ci-dessus.
Contrairement aux autres objets de métadonnées, les tables et les vues peuvent utiliser plusieurs privilèges.
SELECTPermet de sélectionner des données (SELECT) dans une table ou une vue.
INSERTPermet d’ajouter une entrée (INSERT) dans une table ou une vue.
UPDATEPermet de modifier les entrées (UPDATE) dans une table ou une vue. Vous pouvez spécifier des restrictions afin que seules les colonnes spécifiées puissent être modifiées.
DELETEPermet de supprimer des enregistrements (DELETE) d’une table ou d’une vue.
REFERENCESDoit être spécifié pour les colonnes sur lesquelles la clé primaire d’une table est construite si elle est référencée par la clé externe d’une autre table.
ALLCombine les privilèges SELECT, INSERT, UPDATE, DELETE et REFERENCES.
-- privilèges SELECT, INSERT à l'utilisateur ALEX
GRANT SELECT, INSERT ON TABLE SALES
TO USER ALEX;
-- Privilège SELECT pour les utilisateurs MANAGER, ENGINEER et IVAN
GRANT SELECT ON TABLE CUSTOMER
TO ROLE MANAGER, ROLE ENGINEER, USER IVAN;
-- Tous les privilèges du rôle d'ADMINISTRATEUR
-- avec la possibilité de déléguer leurs pouvoirs
GRANT ALL ON TABLE CUSTOMER
TO ROLE ADMINISTRATOR WITH GRANT OPTION;
-- privilèges SELECT et REFRENCE pour la colonne NOM pour tous les utilisateurs
GRANT SELECT, REFERENCES (NAME) ON TABLE COUNTRY
TO PUBLIC;
-- Accorder le privilège SELECT à l'utilisateur IVAN au nom de l'utilisateur ALEX
GRANT SELECT ON TABLE EMPLOYEE
TO USER IVAN GRANTED BY ALEX;
-- Privilège UPDATE pour les colonnes FIRST_NAME, LAST_NAME
GRANT UPDATE (FIRST_NAME, LAST_NAME) ON TABLE EMPLOYEE
TO USER IVAN;
-- Privilège INSERT pour la procédure stockée ADD_EMP_PROJ
GRANT INSERT ON EMPLOYEE_PROJECT
TO PROCEDURE ADD_EMP_PROJ;Le privilège EXECUTE (exécuter) s’applique aux procédures stockées, aux fonctions stockées, aux packages et aux fonctions externes héritées (UDF) définies comme DECLARE EXTERNAL FUNCTION.
Pour les procédures stockées, le privilège EXECUTE permet non seulement d’exécuter des procédures stockées mais aussi de sélectionner des données dans des procédures sélectives (à l’aide de l’opérateur SELECT).
|
Note
|
Ce privilège ne peut être attribué qu’à l’ensemble du paquet, et non à des sous-programmes individuels. |
-- Privilège EXECUTE sur une procédure stockée
GRANT EXECUTE ON PROCEDURE ADD_EMP_PROJ
TO ROLE MANAGER;
-- Privilège EXECUTE sur une fonction stockée
GRANT EXECUTE ON FUNCTION GET_BEGIN_DATE TO ROLE MANAGER;
-- privilège EXECUTE par paquet
GRANT EXECUTE ON PACKAGE APP_VAR TO PUBLIC;
-- privilège EXECUTE sur une fonction donnée à un package
GRANT EXECUTE ON FUNCTION GET_BEGIN_DATE
TO PACKAGE APP_VAR;Pour utiliser des objets de métadonnées autres que des tables, des vues, des procédures et fonctions stockées, des déclencheurs et des paquets dans des requêtes utilisateur, l’utilisateur doit se voir attribuer le privilège USAGE pour ces objets. Étant donné que les procédures et fonctions stockées, les déclencheurs et les routines de paquets dans Firebird sont exécutés avec des privilèges d’utilisateur appelant, il peut être nécessaire d’attribuer le privilège USAGE à ceux-ci également lors de l’utilisation de tels objets de métadonnées dans ceux-ci.
|
Note
|
Dans Firebird 3, le privilège |
|
Note
|
Le privilège |
-- privilège USAGE sur la cohérence du rôle délivré
GRANT USAGE ON SEQUENCE GEN_AGE TO ROLE MANAGER;
-- privilège USAGE sur la séquence émise au déclencheur
GRANT USAGE ON SEQUENCE GEN_AGE TO TRIGGER TR_AGE_BI;
-- privilège d'exemption USAGE accordé à un paquet
GRANT USAGE ON EXCEPTION E_ACCESS_DENIED
TO PACKAGE PKG_BILL;Par défaut, seuls les Administrateurs peuvent créer de nouveaux objets de métadonnées, et les administrateurs et propriétaires de ces objets peuvent les modifier et les supprimer. L’octroi de privilèges pour créer, modifier ou supprimer des objets d’un type particulier permet d’étendre cette liste.
CREATEPermet la création d’un objet du type de métadonnées spécifié.
ALTER ANYPermet de modifier tout objet du type de métadonnées spécifié.
DROP ANYPermet de supprimer tout objet du type de métadonnées spécifié.
ALLCombine les privilèges CREATE, ALTER et DROP sur le type d’objet spécifié.
|
Note
|
Les métadonnées des déclencheurs et des index héritent des privilèges des tables qui les possèdent. |
-- Autoriser l'utilisateur Joe à créer des tables
GRANT CREATE TABLE TO Joe;
-- Permettre à l'utilisateur Joe de modifier toutes les procédures
GRANT ALTER ANY PROCEDURE TO Joe;L’instruction d’attribution de privilèges pour la création, la suppression et la modification d’une base de données a une forme légèrement différente de l’instruction d’attribution de privilèges DDL pour les autres objets de métadonnées.
CREATEPermet la création d’une base de données.
ALTERPermet de modifier la base de données actuelle.
DROPPermet de supprimer la base de données actuelle.
ALLCombine les privilèges ALTER et DROP par base de données.
Le privilège CREATE DATABASE est un type de privilège spécial car il est stocké dans la base de données de sécurité. La liste des utilisateurs disposant du privilège CREATE DATABASE peut être consultée dans la table virtuelle SEC$DB_CREATORS. Seuls les Administrateurs de la base de données de sécurité peuvent accorder le privilège de créer une nouvelle base de données.
Les privilèges ALTER DATABASE et DROP DATABASE s’appliquent uniquement à la base de données actuelle, tandis que les privilèges DDL ALTER ANY et DROP ANY sur d’autres objets de métadonnées s’appliquent à tous les objets du type spécifié dans la base de données actuelle. Seuls les Administrateurs peuvent accorder des privilèges pour modifier et supprimer la base de données actuelle.