[Oracle] GRANT(권한부여) / REVOKE (권한회수)

GRANT(권한부여) / Revoke (권한회수)

GRANT	REVOKE
사용자(User)에게 접속권한, 오브젝트 생성권한, DBA 권한 등을 부여할 수 있는 명령어	사용자(User)에게 부여한 권한을 다시 회수하는 명령어

오라클에 접속하기 위한 계정, 암호를 생성하고 난 뒤에 권한이 있어야 접속 및 작업이 가능합니다.

권한은 크게 2가지로 나누어질 수 있습니다.

1. System Privilege (시스템 권한)

2. Object Privilege (객체 권한)

---

✨시스템 권한 (System Privileges) 

시스템 권한은 사용자 (User) 가 데이터베이스에서 특정 작업을 수행할 수 있도록 한다.

- DBA 권한을 가진 유저 (SYS , SYSTEM) 만 시스템 권한을 부여하고 회수할 수 있습니다.

- 권한의 ANY 키워드는 사용자가 모든 스키마에서 권한을 가짐을 의미한다.

- GRANT 명령은 사용자 또는 ROLE에 대해서 권한을 부여할 수 있다.

대표적인 시스템 권한	설명
CREATE SESSION	데이터 베이스를 연결할 수 있는 권한
CREATE TABLE	테이블을 생성할 수 있는 권한
CREATE SEQUENCE	시퀀스를 생성할 수 있는 권한
CREATE VIEW	뷰를 생성할 수 있는 권한
CREATE PROCEDURE	프로시저를 생성할 수 있는 권한
CREATE ROLE	오라클 데이터베이스 역할을 생성할 수 있는 권한
ALTER USER	생성한 사용자의 정의를 변경할 수 있는 권한
DROP USER	생성한 사용자를 삭제시키는 권한

-시스템 권한 부여(GRANT) 기본 문법
​
GRANT 시스템 권한명 [, 시스템 권한명 ... | 롤명]
TO 유저명 [, 유저명... | 롤명 ... |PUBLIC | ​[WITH ADMIN OPTION];
​
- 시스템 권한명 : 부여할 시스템 권한의 이름
- 롤명 : 권한을 부여할 또는 권한을 받을 롤 (ROLE)의 이름
- 유저명 : 권한을 부여 받을 유저(User) 이름
- PUBLIC : 시스템권한, 또는 데이터베이스 역할을 모든 사용자에게 부여할 수 있다.
- WITH ADMIN OPTION : 권한을 부여 받은 사용자도 부여 받은 권한을 다른 사용자 또는 역할로 부여할 수 있게된다.
​
​
- 시스템 권한 부여(GRANT) 예제
- sys 권한으로 접속한다. (DBA 권한을 가지고 있는 유저)
SQL >
CONNECT sys/manager AS SYSDBA
​
SQL>
GRANT CREATE USER, ALTER USER, DROP USER
TO scott WITH ADMIN OPTION;
​
​
-시스템 권한 회수 (REVOKE) 예제
SQL>
REVOKE CREATE USER, ALTER USER, DROP USER
FROM scott;
​

✨객체 권한 (Object Privileges) 

객체권한은 사용자가 소유하고 있는 특정 객체를 다른 사용자들이 접근하거나 조작할 수 있도록 한다.

​

- 테이블이나 뷰, 시퀀스, 프로시저, 함수 또는 패키지 중 지정된 한 객체에 특별한 작업을 수행할 수 있게 한다.

- 객체 소유자는 다른 사용자에게 특정 객체권한을 부여할 수 있다.

- PUBLIC 으로 권한을 부여하면 회수 할 때도 PUBLIC 으로 해야한다.

- 기본적으로 소유한 객체에 대해서는 모든 권한이 자동적으로 획득된다.

- WITH GRANT OPTION 옵션은 ROLE 에 권한을 부여할 때는 사용할 수 없다.

-객체 권한 부여 (GRANT) 기본 문법
SQL>
GRANT [객체권한명] (컬럼)
ON [객체명]
TO { 유저명 | 롤명 | PUBLC} [WITH GRANT OPTION]
​
-객체권한명 : 객체에 사용 가능한 권한
- 컬럼명 : 만약 ON 절의 Object 가 Table 이나 View 일 경우
- ON 객체명: Table, VIew, Sequence, Procedure 등
- TO {유저명 | 롤명 | PUBLIC} : 사용자를 일일이 나열 할 수 있고, ROLE 에 소속된 사용자가 될수도 있다.
- WITH GRANT OPTION: 이 옵션을 사용하면 TO 절의 대상도 자신이 받은 권한을 다른 유저에게 부여할수 있다.
​
​
-객체 권한 부여 (GRANT) 예제
SQL>
GRANT SELECT ,INSERT
ON mp
TO scott WITH GRANT OPTION
​
​
-객체 권한의 회수 (Revoke) 기본 문법
SQL>
REVOKE { 권한명 [, 권한명...] ALL}
ON 객체명
FROM {유저명 [, 유저명...] | 롤명(ROLE) | PUBLIC}
[CASCADE CONSTRAINTS]
​
-객체 권한의 철회는 그 권한을 부여한 부저야만이 수행할 수 있다.
- CASCADE CONSTRAINT :이 명령어의 사용으로 참조 객체 권한에서 사용된 참조 무결성 제한을 같이 삭제 가능
- WITH GRANT OPTION 으로 객체 권한을 부여한 사용자의 객체 권한을 철회하면
권한을 부여받은 사용자가 부여한 객체 권한 또한 같이 철회되는 종속철회가 발생한다.
​
​
-객체 권한의 회수 (Revoke) 기본 예제
SQL>
REVOKE SELECT , INSERT
ON emp
FROM scott
[CASCADE CONSTRAINTS]
​

✨ROLE (권한들의 집합) 

롤(ROLE) 이란 사용자에게 허가 할 수 있는 권한들의 집합이라고 할 수 있다.

​

-롤(ROLE)은 CREATE ROLE 권한을 가진 USER 에 의해서 생성 된다.

-롤(ROLE)은 두가지 용도로 사용할 수 있는데, 첫번째로는 사용자에게 권한의 집합(ROLE)을 부여하는것.

두번째는 시스템권한처럼 '롤(ROLE)을 부여받은 사용자들을 사용자 그룹으로 사용하는 것이다.

- 한 사용자가 여러개의 롤 (ROLE)에 접근할 수있고, 여러 사용자에게 같은 롤(ROLE)을 부여할 수 있다.

- 사용자는 롤(ROLE)에 (ROLE)을 부여할 수 있다.

- 오라클 데이터베이스를 설치하면 기본적으로 CONNECT, RESOURCE, DB ROLE 이 제공된다.

-DBA 가 USER 의 역할에 맞도록 ROLE 을 생성하여서 ROLE 만 유저에게 지정을 한다면 효율적으로 유저들의 권한을 관리할 수 있다.

1. 롤 생성
SQL> CREATE ROLE salesman;
​
2. 롤에 권한을 부여
SQL> GRANT create session, create select, TO salesman;
​
3. 롤을 사용자 또는 롤에게 부여
SQL> GRANT salesman TO martin, allen. turner, ward;

 

​