SQL Server sa používa na ukladanie, získavanie a manipuláciu s údajmi. Jednou z kľúčových funkcií SQL Servera je jeho schopnosť udeľovať a spravovať povolenia rôznym používateľom a skupinám. Roly SQL Server sú výkonným nástrojom, ktorý umožňuje správcom databáz prideľovať súbor oprávnení skupine používateľov s podobnými potrebami.
Tento článok poskytuje príručku, ako používať roly servera SQL, vrátane prehľadu rôznych typov dostupných rolí, príkladov priradenia týchto rolí používateľom a tipov, ako tieto roly spravovať.
Čo sú roly SQL?
Roly umožňujú DBA efektívnejšie spravovať povolenia. Najprv musíme vytvoriť roly. Potom rolám pridelíme povolenia a podľa toho pridáme prihlasovacie údaje k rolám.
SQL Server podporuje hlavne dva typy rolí:
- Pevné role servera: Tieto roly už majú preddefinovaný súbor povolení.
- Používateľom definované roly servera: Tieto roly je možné zmeniť, aby vyhovovali požiadavkám vašej organizácie.
Typy rolí servera SQL
SQL Server poskytuje niekoľko vstavaných rolí, ktoré možno použiť na pridelenie povolení používateľom. Tu sú niektoré z najbežnejších rolí a im zodpovedajúce povolenia:
- hromadný správca: Členovia pevnej roly servera bulkadmin môžu spustiť príkaz „BULK INSERT“.
- správca systému: Táto rola má najvyššiu úroveň povolení a môže vykonávať akúkoľvek akciu na inštancii SQL Server vrátane vytvárania, úpravy a odstraňovania databáz a prihlásení.
- správca servera: Táto rola môže konfigurovať nastavenia na úrovni servera, ako je alokácia pamäte a sieťové protokoly, ale nemôže upravovať databázy.
- securityadmin: Táto rola môže spravovať prihlasovacie údaje a ich povolenia vrátane vytvárania a úpravy prihlasovacích údajov, rolí a hesiel.
- správca procesu: Pevná rola servera processadmin udeľuje svojim členom možnosť ukončiť alebo zastaviť procesy, ktoré sa práve vykonávajú v rámci inštancie databázového stroja SQL Server.
- dbcreator : Toto má oprávnenie na vytváranie, úpravu a odstraňovanie databáz, ale nemá oprávnenie vykonávať žiadne iné administratívne povinnosti.
- správca disku: Táto rola môže spravovať súbory na disku, ako je vytváranie a odstraňovanie súborov a pridávanie alebo odstraňovanie diskov.
- čítačka údajov: Rola čítačky údajov má schopnosť pristupovať a čítať všetky informácie, ktoré sú uložené v užívateľských tabuľkách databázy.
- zapisovač údajov: Rola zapisovača údajov má oprávnenie na vkladanie, aktualizáciu a vymazávanie údajov zo všetkých užívateľských tabuliek v databáze.
- ddladmin: Táto rola môže vytvárať, upravovať a rušiť spúšťače a objekty DDL (pohľady, tabuľky a uložené procedúry).
- verejné: V predvolenom nastavení sú všetci používatelia SQL Server, skupiny a roly automaticky zahrnuté do verejnej pevnej roly servera.
Vytvorenie užívateľsky definovanej serverovej role pomocou GUI
Vytvorenie užívateľom definovanej roly servera v SQL Server je možné vykonať cez GUI pomocou SQL Server Management Studio (SSMS). Ak chcete vytvoriť užívateľom definovanú rolu servera pomocou GUI v SSMS, postupujte takto:
1. Spustite SQL Server Management Studio (SSMS) a vytvorte pripojenie ku konkrétnej inštancii SQL Server.
2. Prejdite na Zabezpečenie -> Roly servera -> Nová rola servera.
3. Zadajte názov pre novú rolu na stránke Všeobecné.
4. Na stránke Zabezpečiteľné položky zadajte zaisťovacie prvky na úrovni servera, na ktoré bude mať rola povolenia.
5. Pridajte používateľov alebo iné roly na stránku Členovia.
Vytvorenie a používanie serverovej role prostredníctvom T-SQL
Vytvorenie a používanie roly servera pomocou T-SQL na serveri SQL je ďalším spôsobom správy povolení na úrovni servera. Ak chcete vytvoriť užívateľom definovanú rolu servera pomocou T-SQL, musíme postupovať podľa týchto krokov:
1. Otvorte nové okno dotazu a spustite nasledujúci kód na vytvorenie novej roly servera:
-- << Vytvorte užívateľom definovanú rolu serveraPOUŽIŤ [hlavný]
Ísť
VYTVORIŤ ÚLOHU SERVERA [junior DBA]
Ísť
V tomto príklade vytvoríme novú rolu servera – „junior DBA“.
2. Spustite nasledujúci kód na udelenie povolení novej role:
použiť [master]Ísť
GRANT VYTVORI AKÚKOĽVEK DATABÁZU --<< teraz môže vytvoriť db
TO [junior DBA]
Ísť
V tomto príklade umožňujeme novej úlohe „junior DBA“ vytvoriť databázy.
GRANT ZOBRAZIŤ AKÚKOĽVEK DATABÁZU --<< môže zobraziť iba ľubovoľnú db, ale nie tabuľkyTO [junior DBA]
Ísť
V tomto príklade sa príkaz “GRANT VIEW ANY DATABASE” používa na udelenie povolenia na úrovni servera, ktoré umožňuje role vidieť metadáta pre ľubovoľnú databázu na serveri. V tomto prípade udeľujeme toto povolenie role servera „junior DBA“, ktorú sme vytvorili predtým.
Je však dôležité si uvedomiť, že udelenie povolenia „ZOBRAZIŤ AKÚKOĽVEK DATABÁZU“ nedáva používateľovi ani role povolenie na prístup k akýmkoľvek údajom v databázach – jednoducho im umožňuje vidieť metadáta (napríklad názvy databáz a schémy).
3. Pridajte prihlasovacie meno alebo používateľský účet do novej roly vykonaním nasledujúceho kódu:
--add sql logins to new server roleALTER SERVER ROLE [junior DBA]
PRIDAŤ ČLENA [Výbor]
Ísť
ALTER SERVER ROLE [junior DBA]
PRIDAŤ ČLENA [Rima]
Ísť
V tomto príklade pridávame účty „Papan“ a „Rima“ ako členov roly „junior DBA“.
Záver
Roly SQL Server poskytujú výkonný nástroj na správu povolení v databázovom prostredí. Priradením rolí používateľom môžete zabezpečiť, aby mali primeranú úroveň prístupu k údajom, ktoré potrebujú, bez toho, aby ste im udelili zbytočné privilégiá. Či už spravujete malú databázu alebo veľký podnikový systém, pochopenie toho, ako používať roly SQL Server, je dôležitou zručnosťou, ktorá vám môže pomôcť zachovať bezpečnosť a integritu vašich údajov.