데이터베이스 간보기 권한

Question

일련의 응용 프로그램에 대한 모든 테이블이 포함 된 데이터베이스 (DB_data라고 부름)로 작업하고 있습니다. 업그레이드 중 다운 타임을 최소화하기 위해 DB_data의 각 테이블에 대한 뷰가있는 facade 데이터베이스 (DB_facade라고 부름)가 생성되었습니다. 또한 이러한 뷰에 대해 작동하는 모든 함수 및 저장 프로 시저를 포함합니다.

DB_data에서 보안을 잠그려고 할 때 DB_data의 모든 사용자에 대해 모든 테이블에서 DENY를 수행했습니다. 이러한 모든 사용자는 뷰에 대한 사용 권한이있는 DB_facade에서도 생성되었습니다.

여기서 문제는 데이터베이스 간 소유권 체인으로 인해 DB_data의 DENY가 DB_facade의 GRANT보다 우선합니다.

원래의 테스트에서 액세스 문제를 해결 한 것 같지만 잠재적 인 보안 문제로 인해이 두 데이터베이스의 소유권 체인을 사용하지 않는 것이 좋습니다. 또한 응용 프로그램에 미치는 영향을 최소화하기 위해 모든 액세스가 저장 프로 시저를 통해 이루어지고 인증서 사용이 필요하지 않습니다.

아무도이 문제를 해결하는 방법에 대한 다른 제안이 있습니까?

감사합니다.

Answer 1

DB_data의 테이블에서 DENY를 제외하면이 문제가 있습니까? 이러한 테이블에 대한 사용 권한을 명시 적으로 부여하지 않으면 뷰를 통해 필요한 보안을 확보하고 액세스 권한을 얻을 수 있습니다.

Answer 2

나는 무엇을 보아 왔으며, SQL 서버는 명시 적으로 그렇게하지 않는 한 당신이 어떤 권한도 가지지 못하게합니다. 사용자에게 DB_Data의 select (또는 역할 데이터 사용기)를 부여 할 수 있어야하며, 동일한 계정이고 두 데이터베이스 모두에 매핑되어야합니다 (db_facade에 select 및 exec를 부여해야 함). 잘 됐네.

Answer 3

DB_facade 데이터베이스의 각보기에 대해 DB_data 데이터베이스에서보기를 만들 수 있습니다. 새보기에는 표에서 선택할 수있는 권한이 있습니다. DB_data 뷰의 GRANT SELECT. DB_data의 뷰에서 DB_facade의 뷰를 SELECT로 변경하십시오. 그리고 테이블에는 DENY가 설정되어 있습니다.

나는 이것에 대한 한 가지 단점을 알고있다. 사용자는 여전히 DB_data 데이터베이스와 상호 작용할 수 있습니다. 그들은 테이블에 액세스 할 수 없지만 새보기에 액세스 할 수 있습니다.