不可变权限
与常规权限不同,拥有 权限管理 权限不足以启用添加或删除不可变权限。它们只能在禁用身份验证时进行管理,即当配置设置 dbms.security.auth_enabled 设置为 false 时。
何时使用不可变权限
不可变权限对于限制可以 管理权限 的用户的操作很有用。
例如,您可能希望阻止所有用户执行数据库管理,即使是 admin 用户(他们本身能够添加或删除权限)。为此,您可以运行
DENY DATABASE MANAGEMENT ON DBMS TO PUBLIC但是,这将不足够。如果 admin 用户随后运行
REVOKE DENY DATABASE MANAGEMENT ON DBMS FROM PUBLIC他们将有效地重新获得数据库管理权限。相反,请运行以下查询以防止这种情况
DENY IMMUTABLE DATABASE MANAGEMENT ON DBMS TO PUBLIC如何管理不可变权限
不可变权限只能在身份验证被禁用时管理,即当配置设置 dbms.security.auth_enabled 设置为 false 时。在这种情况下,可以使用 IMMUTABLE 关键字以类似于常规权限的方式添加和删除不可变权限。
有关如何管理不可变权限的示例,请参阅 不可变权限教程。
有关语法的更多详细信息,请参阅 管理权限。