为模式中的角色重新生成GRANT

时间:2010-01-20 18:27:36

标签: sql oracle roles grant

this question类似,我想知道如何生成发布给一组模式中所有角色的所有GRANT语句以及名称以“PROXY”结尾的角色列表。我想重新创建如下语句:

GRANT SELECT ON TABLE_NAME TO ROLE_NAME;
GRANT EXECUTE ON PACKAGE_NAME TO ROLE_NAME;

目的是帮助从开发数据库迁移到测试数据库(Oracle 11g)。有些工具会尝试自动执行此操作,但通常会失败。

有什么想法吗?

4 个答案:

答案 0 :(得分:8)

此脚本生成授予角色的所有表权限的列表... 

select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
order by grantee, owner
/

请注意,我不限制被授予者角色,因为您的问题在这一点上含糊不清。您可能需要在dba_roles上的sub_query中添加过滤器。如果您将角色授予其他角色,您也会想要选择这些角色...... 

select 'grant '||granted_role||' to '||grantee
         ||case when admin_option = 'YES' then ' with admin option' else null end
         ||';'
from dba_role_privs
where grantee in ( select role from dba_roles )
order by grantee, granted_role
/

获取角色列表...... 

select 'create role '||role ||';'
from dba_roles
where role like '%PROXY'
/

请注意,这些脚本不会为系统权限生成授权。此外,如果使用目录对象,生活会稍微复杂一些,因为这需要一个额外的关键字...... 

select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
and table_name not in ( select directory_name from dba_directories )
union all
select 'grant '||privilege||' on directory '||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where grantee in ( select role from dba_roles )
and table_name  in ( select directory_name from dba_directories )
/

修改

在9i中,Oracle引入了DBMS_METADATA包,该包在简单的PL / SQL API中包含了大量这些类型的查询。例如,此调用将生成具有授予A ...

的所有对象权限的CLOB 
select dbms_metadata.get_granted_ddl('OBJECT_GRANT', 'A') from dual
/

这显然比滚动我们自己简单得多。

答案 1 :(得分:1)

您可以使用一些PL / SQL代码执行此操作:

TYPE obj_name_type is TABLE OF ALL_OBJECTS%OBJECT_NAME INDEX BY BINARY_INTEGER;
object_names obj_name_type;
i INTEGER;
BEGIN
   SELECT object_name BULK COLLECT INTO object_names FROM ALL_OBJECTS WHERE OWNER = 'whatever' AND object_type = 'PROCEDURE';
   FOR i IN 1 .. object_names.last LOOP
         EXECUTE IMMEDIATE 'GRANT EXECUTE ON ' object_names(i) ' TO ' role_name
   END LOOP;
END;

你可以将权限类型映射到对象类型或者你有什么更通用,但这是基本的想法。

您必须使用EXECUTE IMMEDIATE,因为您无法在过程代码中静态运行DDL。

答案 2 :(得分:0)

这满足了我们的需求:

SELECT
  'GRANT ' || p.privilege || ' ON ' || p.table_name || ' TO ' ||
  p.grantee || ';' AS generated_grant
FROM
  dba_tab_privs p
WHERE
  p.grantor IN ( 'SCHEMA_NAME_01', 'SCHEMA_NAME_02' ) AND
  p.grantee IN (
    SELECT DISTINCT
      granted_role
    FROM
      dba_role_privs
    WHERE
      grantee LIKE '%PROXY' AND
      granted_role NOT IN ('CONNECT','AQ_ADMINISTRATOR_ROLE','RESOURCE')
  ) AND
  p.table_name NOT LIKE 'BIN%' AND
  p.table_name NOT LIKE '%$%'
ORDER BY
  p.table_name, p.grantee, p.privilege;

答案 3 :(得分:0)

我想解决一个非常像这个问题的问题。唯一的区别是我想要一个更通用的工具,并且DBMS也是不可知的。我希望能够在生产环境中应用该工具,而某些目标数据库不是Oracle。

我想出的是一个执行参数替换的Powershell函数,并生成一个包含一系列GRANT语句的重复脚本。输出看起来像

grant ALL 
   on Employees 
   to DBA;




grant READ 
   on Employees 
   to Analyst;




grant READ, WRITE 
   on Employees 
   to Application;




grant ALL 
   on Departments 
   to DBA;




grant READ 
   on Departments 
   to Analyst, Application;

我的工具有两个输入,一个模板文件和一个csv文件。模板文件如下所示:

grant $privs 
   on $table 
   to $user;

csv文件如下所示:

privs,table,user
ALL,Employees,DBA
READ,Employees,Analyst
"READ, WRITE", Employees, Application
ALL,Departments,DBA
READ,Departments,"Analyst, Application"

扩展工具如下所示:

<#  This function is a table driven template tool. 
    It's a refinement of an earlier attempt.

    It generates output from a template and
    a driver table.  The template file contains plain
    text and embedded variables.  The driver table 
    (in a csv file) has one column for each variable, 
    and one row for each expansion to be generated.

    5/13/2015

#>

function Expand-csv {
   [CmdletBinding()]
   Param(
      [Parameter(Mandatory=$true)]
      [string] $driver,
      [Parameter(Mandatory=$true)]
      [string] $template
   )
   Process
   {
      $OFS = "`r`n"
      $list = Import-Csv $driver
      [string]$pattern = Get-Content $template

      foreach ($item in $list) {
         foreach ($key in $item.psobject.properties) {
            Set-variable -name $key.name -value $key.value
            }
         $ExecutionContext.InvokeCommand.ExpandString($pattern) 
         }
   }
}

最后,对该工具的示例调用如下所示:

Expand-csv demo.csv demo.tem > demo.sql

请注意,csv文件规范首先出现,模板文件规范排在第二位。 请注意,模板文件中使用的“形式参数”看起来像Powershell变量。这就是他们的本意。 请注意,模板中使用的名称与csv文件标题中显示的名称相匹配。

我实际上使用了这个工具的前身,有各种SQL方言,还有SQL以外的目标语言。我甚至用它来生成重复的Powershell脚本,除了使用不同的实际参数一遍又一遍地再次调用另一个.ps1脚本。

它不是世界上最优雅的工具,但它对我很有用。

相关问题
最新问题