openGauss学习笔记-107 openGauss 数据库管理-管理用户及权限-三权分立

默认权限机制和管理员两节的描述基于的是openGauss创建之初的默认情况。从前面的介绍可以看出，默认情况下拥有SYSADMIN属性的系统管理员，具备系统最高权限。

在实际业务管理中，为了避免系统管理员拥有过度集中的权利带来高风险，可以设置三权分立。将系统管理员的部分权限分立给安全管理员和审计管理员，形成系统管理员、安全管理员和审计管理员三权分立。

三权分立后，系统管理员将不再具有CREATEROLE属性（安全管理员）和AUDITADMIN属性（审计管理员）能力。即不再拥有创建角色和用户的权限，并不再拥有查看和维护数据库审计日志的权限。关于CREATEROLE属性和AUDITADMIN属性的更多信息请参考CREATE ROLE。

三权分立后，系统管理员只会对自己作为所有者的对象有权限。

初始用户的权限不受三权分立设置影响。因此建议仅将此初始用户作为DBA管理用途，而非业务应用。

三权分立的设置办法为：将参数enableSeparationOfDuty设置为on。

三权分立前的权限详情及三权分立后的权限变化，请分别参见表1和表2。

107.1 默认的用户权限

表 1 默认的用户权限

对象名称	初始用户（id为10）	系统管理员	监控管理员	运维管理员	安全策略管理员	安全管理员	审计管理员	普通用户
表空间	具有除私有用户表对象访问权限外，所有的权限。	对表空间有创建、修改、删除、访问、分配操作的权限。	不具有对表空间进行创建、修改、删除、分配的权限，访问需要被赋权。
表	对所有表有所有的权限。	仅对自己的表有所有的权限，对其他用户的表无权限。
索引	可以在所有的表上建立索引。	仅可以在自己的表上建立索引。
模式	对除dbe_perf以外的所有模式有所有的权限。	仅对dbe_perf模式和自己的模式有所有的权限，对其他用户的模式无权限。	仅对自己的模式有所有的权限，对其他用户的模式无权限。
函数	对除dbe_perf模式下的函数以外的所有的函数有所有的权限。	仅对dbe_perf模式下的和自己的函数有所有的权限，对其他用户放在public这个公共模式下的函数有调用的权限，对其他用户放在其他模式下的函数无权限。	仅对自己的函数有所有的权限，对其他用户放在public这个公共模式下的函数有调用的权限，对其他用户放在其他模式下的函数无权限。
自定义视图	对除dbe_perf模式下的视图以外的所有的视图有所有的权限。	仅对dbe_perf模式下的和自己的视图有所有的权限，对其他用户的视图无权限。	仅对自己的视图有所有的权限，对其他用户的视图无权限。
系统表和系统视图	可以查看所有系统表和视图。	只可以查看部分系统表和视图。详细请参见系统表和系统视图。

107.2 三权分立较非三权分立权限变化说明

表 2 三权分立较非三权分立权限变化说明

对象名称	初始用户（id为10）	系统管理员	监控管理员	运维管理员	安全策略管理员	安全管理员	审计管理员	普通用户
表空间	无变化。依然具有除私有用户表对象访问权限外，所有的权限。	无变化	无变化。
表	权限缩小。只对自己的表及其他用户放在public模式下的表有所有的权限，对其他用户放在属于各自模式下的表无权限。	无变化。
索引	权限缩小。只可以在自己的表及其他用户放在public模式下的表上建立索引。	无变化。
模式	权限缩小。只对自己的模式有所有的权限，对其他用户的模式无权限。	无变化	无变化。
函数	权限缩小。只对自己的函数及其他用户放在public模式下的函数有所有的权限，对其他用户放在属于各自模式下的函数无权限。	无变化	无变化。
自定义视图	权限缩小。只对自己的视图及其他用户放在public模式下的视图有所有的权限，对其他用户放在属于各自模式下的视图无权限。	无变化	无变化。
系统表和系统视图	无变化。	无变化。

须知：

PG_STATISTIC系统表和PG_STATISTIC_EXT系统表存储了统计对象的一些敏感信息，如高频值MCV。进行三权分立后系统管理员仍可以通过访问这两张系统表，得到统计信息里的这些信息。

👍 点赞，你的认可是我创作的动力！

⭐️ 收藏，你的青睐是我努力的方向！

✏️ 评论，你的意见是我进步的财富！