SQL servera lietojums ir datu glabāšana, izgūšana un manipulēšana ar tiem. Viena no galvenajām SQL Server iezīmēm ir tā spēja piešķirt un pārvaldīt atļaujas dažādiem lietotājiem un grupām. SQL Server lomas ir spēcīgs rīks, kas ļauj datu bāzes administratoriem piešķirt atļauju kopu lietotāju grupai ar līdzīgām vajadzībām.
Šajā rakstā ir sniegti norādījumi par to, kā izmantot SQL Server lomas, tostarp pārskats par dažādajiem pieejamo lomu veidiem, piemēri, kā šīs lomas piešķirt lietotājiem, un padomi par šo lomu pārvaldību.
Kas ir SQL lomas?
Lomas ļauj DBA efektīvāk pārvaldīt atļaujas. Vispirms mums ir jāizveido lomas. Pēc tam mēs piešķiram lomām atļaujas un attiecīgi pievienojam lomām pieteikumvārdus.
SQL Server atbalsta galvenokārt divu veidu lomas:
- Fiksētās servera lomas: Šīm lomām jau ir iepriekš noteikta atļauju kopa.
- Lietotāja definētas servera lomas: Šīs lomas var mainīt, lai tās atbilstu jūsu organizācijas prasībām.
SQL servera lomu veidi
SQL Server nodrošina vairākas iebūvētas lomas, kuras var izmantot, lai lietotājiem piešķirtu atļaujas. Tālāk ir norādītas dažas no visizplatītākajām lomām un tām atbilstošās atļaujas.
- bulkadmin: Bulkadmin fiksētā servera lomas dalībnieki var palaist paziņojumu “BULK INSERT”.
- sysadmin: Šai lomai ir visaugstākais atļauju līmenis, un tā var veikt jebkuru darbību SQL Server instancē, tostarp datu bāzu un pieteikšanās datu izveidi, modificēšanu un dzēšanu.
- servera administrators: Šī loma var konfigurēt servera līmeņa iestatījumus, piemēram, atmiņas piešķiršanu un tīkla protokolus, taču tā nevar modificēt datu bāzes.
- securityadmin: Šī loma var pārvaldīt pieteikumvārdus un to atļaujas, tostarp izveidot un mainīt pieteikumvārdus, lomas un paroles.
- procesa administrators: Procesa administratora fiksētā servera loma piešķir saviem dalībniekiem iespēju izbeigt vai apturēt procesus, kas pašlaik tiek izpildīti SQL Server datu bāzes dzinēja instancē.
- dbcreator : tam ir atļaujas izveidot, modificēt un noņemt datu bāzes, taču tai nav tiesību veikt citus administratīvos pienākumus.
- diska administrators: Šī loma var pārvaldīt diska failus, piemēram, izveidot un dzēst failus un pievienot vai noņemt diskus.
- datu lasītājs: Datu lasītāja lomai ir iespēja piekļūt un lasīt visu informāciju, kas tiek glabāta datu bāzes lietotāju tabulās.
- datu rakstītājs: Datu rakstītāja lomai ir tiesības ievietot, atjaunināt un dzēst datus no visām lietotāju tabulām datu bāzē.
- ddladmin: Šī loma var izveidot, modificēt un nomest DDL aktivizētājus un objektus (skatus, tabulas un saglabātās procedūras).
- publiski: Pēc noklusējuma visi SQL Server lietotāji, grupas un lomas tiek automātiski iekļautas publiskā fiksētā servera lomā.
Lietotāja definētas servera lomas izveide, izmantojot GUI
Lietotāja definētu servera lomu SQL Server var izveidot, izmantojot GUI, izmantojot SQL Server Management Studio (SSMS). Lai izveidotu lietotāja definētu servera lomu, izmantojot SSMS GUI, rīkojieties šādi:
1. Palaidiet SQL Server Management Studio (SSMS) un izveidojiet savienojumu ar konkrēto SQL Server gadījumu.
2. Dodieties uz Drošība -> Servera lomas-> Jauna servera loma.
3. Lapā Vispārīgi norādiet jaunās lomas nosaukumu.
4. Lapā Securables norādiet servera līmeņa drošākos objektus, kuriem lomai būs atļaujas.
5. Lapā Dalībnieki pievienojiet lietotājus vai citas lomas.
Servera lomas izveide un izmantošana, izmantojot T-SQL
Servera lomas izveide un izmantošana, izmantojot T-SQL SQL serverī, ir vēl viens veids, kā pārvaldīt servera līmeņa atļaujas. Lai izveidotu lietotāja definētu servera lomu, izmantojot T-SQL, mums ir jāveic šādas darbības:
1. Atveriet jaunu vaicājuma logu un izpildiet šo kodu, lai izveidotu jaunu servera lomu:
-- << Izveidojiet lietotāja definētu servera lomuIZMANTOT [meistars]
AIZIET
IZVEIDOT SERVERA LOMA [junior DBA]
AIZIET
Šajā piemērā mēs izveidojam jaunu servera lomu - 'junior DBA'.
2. Izpildiet šo kodu, lai piešķirtu atļaujas jaunajai lomai:
izmantot [master]AIZIET
GRANT IZVEIDOT JEBKURU DATU BĀZI --<< tagad var izveidot db
TO [junior DBA]
AIZIET
Šajā piemērā mēs atļaujam jaunajai lomai “junior DBA” izveidot datu bāzes.
PIEŠĶIRT JEBKURU DATU BĀZI SKATĪT --<< var skatīt tikai jebkuru db, bet ne tabulasTO [junior DBA]
AIZIET
Šajā piemērā komanda “GRANT VIEW ANY DATABASE” tiek izmantota, lai piešķirtu servera līmeņa atļauju, kas ļauj lomai skatīt jebkuras servera datu bāzes metadatus. Šajā gadījumā mēs piešķiram šo atļauju “junior DBA” servera lomai, kuru izveidojām iepriekš.
Tomēr ir svarīgi ņemt vērā, ka atļaujas “SKATĪT JEBKURU DATU BĀZI” piešķiršana nedod lietotājam vai lomai atļauju piekļūt jebkuriem datiem datu bāzēs — tā vienkārši ļauj skatīt metadatus (piemēram, datu bāzes nosaukumus un shēmas).
3. Pieteikšanās vai lietotāja kontu pievienojiet jaunajai lomai, izpildot šādu kodu:
--pievienojiet sql pieteikumvārdus jaunai servera lomaiMAINĪT SERVERA LOMU [junior DBA]
PIEVIENOT DALĪBU [Valde]
AIZIET
MAINĪT SERVERA LOMU [junior DBA]
PIEVIENOT DALĪBU [Rima]
AIZIET
Šajā piemērā mēs pievienojam kontus “Papan” un “Rima” kā “junior DBA” lomas dalībniekus.
Secinājums
SQL Server lomas nodrošina jaudīgu rīku, lai pārvaldītu atļaujas datu bāzes vidē. Piešķirot lietotājiem lomas, varat nodrošināt, ka viņiem ir atbilstošs piekļuves līmenis tiem nepieciešamajiem datiem, nepiešķirot viņiem nevajadzīgas privilēģijas. Neatkarīgi no tā, vai pārvaldāt nelielu datu bāzi vai liela uzņēmuma sistēmu, izpratne par SQL Server lomu izmantošanu ir svarīga prasme, kas var palīdzēt saglabāt datu drošību un integritāti.