KingbaseES 三权分立原则

IndulgeCui2025-12-14 12:34
  1. 创建基础角色和用户

-- 创建表空间(物理存储)

CREATE TABLESPACE secure_tablespace

LOCATION '/opt/Kingbase/ES/V8/data/secure_space';

-- 创建数据库

CREATE DATABASE secure_db

WITH OWNER = system

ENCODING = 'UTF8'

TABLESPACE = secure_tablespace;

-- 连接到新数据库

\c secure_db

-- 创建专用模式

CREATE SCHEMA secure_schema AUTHORIZATION system;

  1. 三权分立角色创建

-- 系统管理员角色(负责日常运维)

CREATE ROLE sys_admin WITH NOLOGIN;

GRANT CREATE, CONNECT, TEMPORARY ON DATABASE secure_db TO sys_admin;

GRANT USAGE, CREATE ON SCHEMA secure_schema TO sys_admin;

-- 安全管理员角色(负责权限分配)

CREATE ROLE sec_admin WITH NOLOGIN;

GRANT USAGE ON SCHEMA secure_schema TO sec_admin;

-- 审计管理员角色(负责审计监督)

CREATE ROLE audit_admin WITH NOLOGIN;

  1. 创建具体用户并分配角色

-- 系统管理员用户

CREATE USER admin1 WITH PASSWORD 'Admin@123';

GRANT sys_admin TO admin1;

-- 安全管理员用户

CREATE USER sec1 WITH PASSWORD 'Sec@123';

GRANT sec_admin TO sec1;

-- 审计管理员用户

CREATE USER auditor1 WITH PASSWORD 'Audit@123';

GRANT audit_admin TO auditor1;

-- 普通应用用户

CREATE USER app_user WITH PASSWORD 'App@123';

  1. 配置详细的权限控制

-- 系统管理员权限细化

ALTER DEFAULT PRIVILEGES

FOR ROLE sys_admin

IN SCHEMA secure_schema

GRANT ALL ON TABLES TO sys_admin;

-- 安全管理员权限配置

GRANT USAGE ON SCHEMA secure_schema TO sec_admin;

GRANT SELECT ON ALL TABLES IN SCHEMA secure_schema TO sec_admin;

-- 设置安全管理员可以授予普通权限

GRANT sec_admin TO sys_admin WITH ADMIN OPTION;

-- 审计管理员权限配置

GRANT SELECT ON sys_audit.audit_log TO audit_admin; -- 假设有审计表

GRANT EXECUTE ON FUNCTION pg_read_file(text) TO audit_admin;

  1. 配置审计策略

-- 启用审计(具体语法可能因金仓版本而异)

ALTER SYSTEM SET audit_enabled = on;

ALTER SYSTEM SET audit_log = on;

-- 审计关键操作

CREATE AUDIT POLICY admin_policy

ACTIONS ALL

ROLES sys_admin, sec_admin;

CREATE AUDIT POLICY ddl_policy

ACTIONS CREATE, ALTER, DROP

ON DATABASE secure_db;

  1. 验证三权分立

-- 验证角色继承

SELECT rolname, member FROM pg_auth_members WHERE roleid IN

(SELECT oid FROM pg_roles WHERE rolname IN ('sys_admin','sec_admin','audit_admin'));

-- 验证权限分离

SELECT grantee, privilege_type

FROM information_schema.role_table_grants

WHERE table_schema = 'secure_schema';

关键设计原则

职责分离:

系统管理员:负责对象创建、维护

安全管理员:负责用户和权限管理

审计管理员:独立监督所有操作

最小权限原则:

每个角色仅拥有完成职责所需的最小权限

通过角色继承实现权限组合

审计跟踪:

所有管理操作都被记录

审计管理员可以查看但不能修改日志

默认安全:

新创建对象默认不公开

需要显式授权才能访问

相关推荐
qq_192779871 天前
高级爬虫技巧:处理JavaScript渲染(Selenium)
jvm·数据库·python
u0109272711 天前
使用Plotly创建交互式图表
jvm·数据库·python
爱学习的阿磊1 天前
Python GUI开发:Tkinter入门教程
jvm·数据库·python
tudficdew1 天前
实战:用Python分析某电商销售数据
jvm·数据库·python
sjjhd6521 天前
Python日志记录(Logging)最佳实践
jvm·数据库·python
Configure-Handler1 天前
buildroot System configuration
java·服务器·数据库
2301_821369611 天前
用Python生成艺术:分形与算法绘图
jvm·数据库·python
电商API_180079052471 天前
第三方淘宝商品详情 API 全维度调用指南:从技术对接到生产落地
java·大数据·前端·数据库·人工智能·网络爬虫
2401_832131951 天前
Python单元测试(unittest)实战指南
jvm·数据库·python
打工的小王1 天前
redis(四)搭建哨兵模式:一主二从三哨兵
数据库·redis·缓存
热门推荐
01GitHub 镜像站点02Clawdbot 中文汉化版 接入微信、飞书03OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)04OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书05UV安装并设置国内源062026美赛A题智能手机电池续航时间预测的连续时间数学模型07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08Linux下V2Ray安装配置指南09Claude Code Skills 实用使用手册10在Trae中使用Pencil MCP