SQL Server: в чем причина предпочтения пользовательских ролей базы данных фиксированным?

8

Это может быть немного расплывчато, но я размышлял над тем, насколько администраторы баз данных используют фиксированные роли баз данных, контролирующие безопасность баз данных. Таким образом, вопрос заключается в том, есть ли причина отдавать предпочтение настраиваемым ролям базы данных по сравнению с фиксированными ролями базы данных (db_datareader и т. Д.)?

jrara
источник

Ответы:

12

Фиксированные роли базы данных предоставляют разрешения для всей базы данных. Пользовательские роли вступают в игру, когда вы не хотите предоставлять пользователям разрешения для всей базы данных, только ее части.

Например, db_datareader предоставляет разрешение SELECT для каждой таблицы, представления и т. Д. В этой базе данных. По соображениям соответствия могут существовать некоторые таблицы или представления, которые сотрудники отдела кадров должны выбирать только из, а другие - нет. Это обычно, где пользовательские роли вступают в игру.


источник
3

Стандартные роли баз данных отлично подходят для баз данных, в которых всего несколько пользователей, или для тех случаев, когда нет команды администраторов баз данных для управления разрешениями. Однако, если есть несколько пользователей с большой командой баз данных и конфиденциальными данными, было бы разумно создать пользовательские роли, чтобы вы знали, кто на что смотрит.

Когда дело доходит до защиты данных (и базы данных), вы хотите как можно больше заблокировать и при этом позволить каждому выполнять свою работу без особых проблем. Пользовательские роли вполне вписываются в этот счет.

Ричард
источник
2

Нет, я не думаю, что есть причина отдавать предпочтение пользовательским ролям базы данных, за исключением того, что они более специализированы и адаптированы к вашей среде и требованиям. Разработчики будут смотреть на стандартное предложение, и если оно подходит для работы - отлично! Но если это не так, пришло время настроить!

Питер Шофилд
источник
2

Практические причины, особенно с db_datareader и db_datawriter

  • конечные пользователи могут вмешиваться в историю и таблицы аудита
  • Соответствие PCI / SOX / Adit
  • у вас будут таблицы, подключающиеся к вашей базе данных
  • ... что также дает вам неизвестные зависимости от таблицы и представления
  • пользователи не поймут нормализацию или дизайн базы данных
  • не все данные для всех пользователей
  • ...

Другие роли БД на самом деле не используются, я нашел

ГБН
источник
Да, PCI / SOX / Adit являются горячими темами в наше время. Это может быть достаточно веской причиной для отказа от фиксированных ролей.
СтэнлиДжонс