DB2 9数据库服务器管理之DB2安全性(4)

包特权

CONTROL 为用户提供了重新绑定、删除或执行一个包的能力，以及将这些特权(除CONTROL以外)授予他人的能力。
BIND 允许用户重新绑定现有包。
EXECUTE 允许用户执行包。

索引特权

CONTROL 允许用户删除索引。

例程特权

EXECUTE 允许用户执行用户定义的函数。

顺序特权

USAGE 允许用户为顺序对象使用 NEXTVAL 和 PREVVAL 表达式。

授予显式特权

授予特权 with grant option 允许授权 ID 将特定特权扩展给他人。该选项仅对包、例程、模式、表、表空间和视图可用。

尽管特权的授予是可扩展的，但撤销特权并非如此。若通过 with grant option 获得了特权，用户不能撤销他人的特权。示例如下。

该语句允许 john 在表 employee 上执行 select、update 或 delete 操作，并可将这些特权授予他人：

grant select, update, delete on table employee to user john
with grant option

该语句允许 devusers 组中的用户重新绑定、删除及执行包 dev.pkg1。同一组的用户还可将 BIND 和 EXECUTE(但不包括 CONTROL)特权授予他人。

grant control on package dev.pkg1 to group devusers
with grant option

授予隐式及间接特权

典型情况下，DB2 特权是通过 grant 语句显式授予的，方法如前所述。有时用户可能还要隐式或间接地通过执行的特定操作获得特权。让我们来看一些场景。

被授予 DBADM 权限的用户还被隐式地授予 BINDADD、CONNECT、CREATETAB、CREATE_NOT_FENCED 和 IMPLICIT_SCHEMA 权限。

当用户创建数据库时：

◆DBADM 权限将被授予数据库创建者。
◆CONNECT、CREATETAB、BINDADD 和 IMPLICIT_SCHEMA 特权将被授予 PUBLIC。
◆USERSPACE1 表空间上的 USE OF TABLESPACE 特权将被授予 PUBLIC。
◆各成功绑定实用工具上的 BIND 和 EXECUTE 特权将被授予 PUBLIC。
◆SYSFUN 模式中所有函数的 EXECUTE 特权 with grant option 将被授予 PUBLIC。

创建表、视图、索引、模式或包的用户将自动获得他/她所创建的数据库对象上的 CONTROL 特权。

当用户执行一个包含静态 SQL 语句的包时，语句中所引用的数据库对象的显式特权是不需要的。用户仅需要包上的 EXECUTE 特权来执行语句。但这并不表示该用户有权直接访问底层数据库对象。考虑以下示例：

图10

【相关文章】

• 导入、装载和导出DB2数据库的数据

• 使用基于持久性的框架开发DB2应用程序

• DB2无限活动日志策略的实用技巧