Oracle
誰應該擁有應用程序對象?
所以我最近才開始做類似於成熟的 Oracle DBA 工作的工作,所以我仍在學習我工作中管理部分的許多基礎知識。我的任務是使多個應用程序數據庫達到一定的專業標準(我故意含糊其辭)。這些標準之一是支持應用程序的對象的所有者通常也不應該經常使用它們。主要的例外是 DBA,但僅限於我們經常維護的某些對像類別,例如索引。除了在執行安裝和維護任務時,應禁用應用程序對象所有者。
這最終讓我想到了我的問題:誰應該擁有這些應用程序對象。我們是否應該只擁有一個創建對象的使用者,然後在其餘生中很大程度上被禁用,並為這個或那個角色提供必要的使用權限?DBA 可以擁有所有應用程序對象,還是應該只擁有那些每天/每周維護的對象?顯然,確切的答案將取決於組織的需求以及該標準的具體要求,但是對於應用程序對象所有權,這裡的最佳實踐是什麼?
這個問題可能太寬泛了,所以讓我知道是否需要對其進行編輯以使其更具體。我真的不知道從哪裡開始,甚至不知道該問什麼正確的問題。感謝您的任何幫助,您可以提供。
最小權限原則要求兩件事:執行時使用者(或人類使用者登錄)不應擁有對象,因為您無法阻止它們修改或刪除它們(在 Oracle 上)。
同樣的原則還建議您不需要為想要更新應用程序對象的使用者擁有廣泛的權限。
兩者結合建議:讓一個系統使用者擁有應用程序對象,另一個系統使用者可以訪問這些對像以進行執行時登錄。僅使用 DBA 來設置這些使用者。
它在 MSSQL 上有點不同,但基本上您希望避免擁有具有 dbo 角色的執行時使用者。