参加Oracle数据库安全课程,我学会了创建配置文件以限制某些用户访问某些资源。另一方面,我们有功能和策略,也可以限制用户,但我无法清除这两者之间的区别。为什么我们可以在为用户创建策略时使用配置文件?
答案 0 :(得分:1)
配置文件限制允许用户使用多少系统资源:它们可以拥有多少并发会话,可以使用多少CPU等。我们还可以使用配置文件进行密码管理:允许多少次登录失败,密码持续多长时间等等。
因此,配置文件定义了系统使用的广泛界限。它管理硬件和数据库访问。
通过“策略”我假设您的意思是细粒度访问控制。这些策略设置了用户可以看到的单个表的限制:他们可以看到哪些行以及哪些列。因此,我们可以使用FGAC政策,允许经理查看其直接下属的所有详细信息,但仅查看所有其他员工的某些信息。
因此,策略会对用户已有权访问的表格施加进一步的限制。其中突出显示了您的问题中缺少的 P 。
权限授予用户执行特定操作的权限。默认情况下,用户无法在数据库中执行任何操作。如果没有CREATE SESSION权限,它们甚至无法连接到它。权限有两个级别。系统权限允许用户执行一般活动,如创建表,执行任何过程,查询数据字典等。表权限允许用户使用不同用户拥有的特定对象执行某些操作,例如select from { {1}},执行my.employee_table等
因此,您可以了解权限和FGAC政策的互动方式。我可能会授予您对her.string_function进行选择和更新的权限,但会强制执行仅允许您更新部门40的记录的策略。
总结一下。有四个级别的用户限制。 按广度的降序排列:
注意:12c引入了一些称为审核策略。显然,这与Oracle数据库安全性的一般主题相关,但我不认为这是相关的。