用户分类

数据库系统用户分类

数据库系统用户可以分为以下三类，针对每个数据库账号按最小权限原则设置其在相应数据库中的权限。

• 系统管理员：具有系统管理权限，能够管理数据库系统中的所有组件及所有数据库，包括账号管理、服务管理、数据库管理等。
• 数据库管理员：具有数据库管理权限，能够管理相关数据库中的账号、对象及数据，包括创建、删除、修改数据库等。
• 数据库用户：具有数据库访问权限，只能以特定的权限访问特定的数据库对象，包括插入、删除、修改数据库特定表记录等，不具有数据库管理权限。

数据库管理员用户分类

数据库管理员的权限体系为“三权分立”，即每个库中SYSDBA、SYSAUDITOR、SYSSSO三个用户分别拥有管理权限、审计权限、安全相关权限。

数据库管理员（SYSDBA）

SYSDBA 拥有被系统赋予的默认权限，以行使如下职责：

• 管理各种数据库对象，如用户、角色、表、视图、存储过程等的创建、修改、删除。
• 为创建的用户授予/回收各种权限（除了审计和安全之外的权限）。
• 更改数据库参数，设置数据库资源限额。
• 管理数据库的备份、恢复。
• 管理数据库集群。

审计管理员（SYSAUDITOR）

SYSAUDITOR 拥有被系统赋予的默认权限，以行使如下职责：

• 开启和关闭审计功能。
• 对指定的主体或客体启用/禁用指定类型的审计。
• 查询和管理审计结果。
• 管理审计相关权限，授予其他用户/从其他用户收回权限。

安全管理员（SYSSSO）

SYSSSO 拥有被系统赋予的默认权限，以行使如下职责：

• 创建加密机。
• 对主体或客体定义/应用/删除安全策略。
• 黑白名单规则制定。
• 管理安全相关权限，授予其他用户/从其他用户收回权限。