SQL Server:カスタマイズされたデータベースロールを固定されたロールよりも優先する理由は何ですか?


8

これは少しあいまいかもしれませんが、データベースのセキュリティを制御する固定データベースロールを使用するDBAの量を考えていました。ですから、問題は、固定データベースロール(db_datareaderなど)よりもカスタマイズされたデータベースロールを優先する理由があるのでしょうか。

回答:


12

固定データベースロールは、データベース全体に対する権限を提供します。ユーザーにすべてのデータベースへのアクセス許可を付与したくない場合は、その一部のみをカスタムロールとして使用します。

たとえば、db_datareaderは、そのデータベース内のすべてのテーブル、ビューなどに対するSELECTパーミッションを提供します。コンプライアンス上の理由から、人事担当者はSELECTのみを実行でき、他のスタッフは実行できないようにするテーブルまたはビューがいくつかある場合があります。これは通常、カスタムの役割が関係する場所です。


3

標準データベースロールは、ユーザーが少ないデータベースや、権限を管理するDBAのチームがない場合に最適です。ただし、大規模なデータベースチームと機密データを持つユーザーが複数いる場合は、カスタムロールを作成して、だれが何を見ているのかを知ることをお勧めします。

データ(およびデータベース)のセキュリティに関しては、できる限り制限し、誰もが大きな問題なく作業を行えるようにしたいと考えています。カスタムロールはこの法案に非常によく適合します。


2

いいえ、カスタムデータベースロールは、より特殊化されており、環境や要件に合わせてカスタマイズされていることを除いて、それを支持する理由はないと思います。開発者は標準的な製品を見て、それが仕事に合うかどうか-完璧です!しかし、そうでない場合は、カスタマイズする時です!


2

実用的な理由、特にdb_datareaderとdb_datawriterの場合

  • エンドユーザーは履歴と監査テーブルを改ざんできます
  • PCI / SOX / Aditコンプライアンス
  • データベースに接続するスプレッドシートがあります
  • ...また、テーブルとビューへの不明な依存関係も提供します
  • ユーザーは正規化やデータベース設計を理解できません
  • すべてのデータがすべてのユーザー向けであるとは限りません
  • ...

他のdbロールは実際には使用されていません。


はい、PCI / SOX / Aditは最近のホットなトピックです。これは、固定された役割から抜け出すのに十分な理由かもしれません。
StanleyJohns、2011
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.