GRANT на объект в базе данных#
Дискреционное управление доступом в СУБД#
Дискреционное управление доступом в СУБД аналогично дискреционному управлению доступом в СУБД Tantor.
СУБД является объектно-реляционной.
Сущности (данные) хранятся в отношениях (таблицах), состоящих из строк и столбцов.
При этом единицей хранения и доступа к данным является строка, состоящая из полей, идентифицируемых именами столбцов.
Кроме таблиц также существуют другие объекты БД (виды, процедуры и т. п.), которые предоставляют доступ к данным, хранящимся в таблицах.
C каждым типом объектов БД ассоциируется определенный набор типов доступа (возможных операций).
Каждому объекту явно задается список разрешенных типов доступа для каждого из поименованных субъектов БД (пользователей, групп или ролей), т. е. объектам БД назначается ACL. И в дальнейшем при разборе запроса к БД осуществляется проверка возможности предоставления субъекту запрашиваемого типа доступа к объекту.
В СУБД объектами дискреционного управления доступом могут быть столбцы таблицы, поскольку они однозначно идентифицируются по составному имени таблицы и столбца, т.к. имя столбца внутри таблицы является уникальным.
В то же время отдельная строка таблицы не является однозначно идентифицируемым объектом, поскольку каждая строка таблицы идентифицируется только набором содержимого своих полей, в связи с этим в общем случае дискреционные и любые другие правила разграничения доступа к ней применены быть не могут.
Для идентификации строк таблицы разработчику потребуется выбрать ту или иную процедуру, например создание первичного ключа или создание физического уникального идентификатора строки в БД.
Важно
Документация дорабатывается по мере развития продуктов Группы Астра и по пожеланиям пользователей.
Ваши пожелания и замечания направляйте на почту docs@astralinux.ru