제목없음

시스템 권한
각 시스템 권한은 특별한 데이터베이스 작업이나 데이터베이스 작업 클래스를 수행하는 것을 가능하게 해 줍니다. 이들 작업에는 테이블, 뷰, 롤백 세그먼트, 그리고 프로시저의 생성, 삭제, 수정이 해당됩니다.

오브젝트 권한
각 오브젝트 권한은 테이블이나 뷰, 시퀀스, 프로시저, 함수, 또는 패키지 중 지정된 한 오브젝트에 특별한 작업을 수행하는 것을 가능하게 해 줍니다.

시스템 권한이란?

약 126개의 시스템 권한이 있으며 그 수는 계속 증가하고 있습니다.
권한은 다음과 같이 분류할 수 있습니다.
- CREATE SESSION 및 CREATE TABLESPACE와 같이 시스템 작업을 가능하게 하는 권한
- CREATE TABLE과 같이 사용자가 소유한 스키마에 있는 객체의 관리를 가능하게 하는 권한
- CREATE ANY TABLE과 같이 모든 스키마에 있는 객체의 관리를 가능하게 하는 권한
권한은 사용자나 롤에 시스템 권한을 추가 및 취소하는 DDL 명령인 GRANT와 REVOKE를 사용하여 제어할 수 있습니다("롤 유지 관리" 단원 참조).

참고: ANY 권한을 가진 사용자는 접두어 USER_ 및 ALL이 붙은 딕셔너리 테이블을 제외한 딕셔너리 테이블과 권한이 PUBLIC에 부여된 뷰를 액세스할 수 있습니다.

   - CREATE INDEX 권한은 없습니다.
   -   CREATE TABLE나 CREATE PROCEDURE, 또는 CREATE CLUSTER 같은 권한은 해당  오브젝트를 삭제하는 권한도 포함합니다.
   -     CREATE TABLE은 CREATE INDEX와 ANALYZE 명령을 포함합니다. 사용자는  테이블스페이스에 할당량을 가지고 있거나 UNLIMITED TABLESPACE를 부여 받았어야만 합니다.
   -     UNLIMITED TABLESPACE는 롤에 부여될 수 없습니다.
   -     테이블을 잘라 버리려면(truncate) DROP ANY TABLE 권한이 필요합니다.

주
전체 권한 목록을 보고 싶으면 Oracle Server Administrator’s Guide Release 8.0의 21 장 “사용자 권한 관리”를 참조하거나 SYSTEM_PRIVILEGE_MAP 뷰를 질의하십시오.

구문
시스템 권한을 부여하려면 다음 명령을 사용하십시오.
        GRANT {system_priv | role}
                [, {system_priv | role} ] ...
                TO      {user | role | PUBLIC}
                        [, {user | role | PUBLIC} ] ...
                [WITH ADMIN OPTION]
구문에서:
   system_priv                     부여될 시스템 권한
   role                                 부여될 롤 이름
   PUBLIC                            시스템 권한을 모든 사용자에게 부여
   WITH ADMIN OPTION        권한을 부여받는 사용자가 다른 사용자나 롤에게                                          부여받은  권한이나 롤을 부여할 수 있도록 해 줍니다.

지침 사항
   -  시스템 권한을 부여하려면 WITH ADMIN OPTION 권한을 부여받아야 합니다.
   -  ADMIN OPTION과 함께 권한을 부여 받은 사용자는 시스템 권한이나 롤을 ADMIN OPTION과  함께 다시 부여할 수 있습니다.
   -  GRANT ANY ROLE 시스템 권한을 가진 사용자는 데이터베이스의 모든 롤을 부여할 수  있습니다.
   -  ADMIN OPTION과 함께 권한을 부여 받은 사용자는 데이터베이스의 모든 사용자나 롤에게 시스템 권한을 부여하거나 철회할 수 있습니다.

OEM
1       Oracle Security Manager를 사용하십시오.
2       권한을 부여하고자 하는 사용자나 롤을 선택하십시오.
3       Privilege Type: System Privileges를 선택하십시오.
4       부여하고자 하는 시스템 권한을 선택하십시오.
5       선택 사항으로 WITH ADMIN OPTION 박스를 체크할 수도 있습니다.
6       Apply를 클릭하십시오.

주
Admin option은 본 장의 뒷 부분에서 다루어 질 것입니다.

“오라클 인스턴스 관리” 장의 패스워드 파일을 사용한 인증을 지정하는 데에서 시스템 권한 SYSDBA와 SYSOPER를 소개했었습니다.
데이터베이스 관리자만이 관리자 권한을 가지고 데이터베이스에 접속할 수 있어야 합니다. SYSDBA로 접속한 사용자는 데이터베이스나 데이터베이스 내의 오브젝트에 어떠한 작업도 수행할 수 있는 무제한의 권한을 갖게 됩니다.

패스워드 유틸리티로 패스워드 파일을 생성한 후 초기화 파라미터 REMOTE_LOGIN_PASSWORD_FILE을 EXCLUSIVE로 설정하면 데이터베이스 관리자는 SYSOPER와 SYSDBA 시스템 권한을 부여하여 사용자를 패스워드 파일에 추가할 수 있습니다.
이들 권한을 부여할 때는 WITH ADMIN OPTION이 사용될 수 없습니다. 현재 SYSDBA로 접속한 사용자만이 SYSDBA나 SYSOPER 시스템 권한을 다른 사용자에게 부여할 수 있습니다. 데이터베이스가 시작되기 전에는 롤을 사용할 수 없으므로 이들 권한은 롤에는 부여될 수 없습니다.

SYSDBA나 SYSOPER 권한을 부여받은 사용자를 알고 싶으면 V$PWFILE_USERS를 보십시오.
        SVRMGR> SELECT * FROM v$pwfile_users;
        USERNAME                            SYSDB             SYSOP
        -------------------------     -----             -----
        INTERNAL                                 TRUE              TRUE
        SYS                                          TRUE              TRUE
        2 rows selected.

사용자와 롤에 부여된 시스템 권한을 보려면 DBA_SYS_PRIVS를 질의하십시오.
        SVRMGR> SELECT * FROM DBA_SYS_PRIVS;
        GRANTEE          PRIVILEGE                                        ADM
        --------------- --------------------------       -----
        ...
        SCOTT                SELECT ANY TABLE                        NO
        SYS                    DELETE ANY TABLE                         NO
        SYS                    EXECUTE ANY TYPE                        NO
        SYS                    INSERT ANY TABLE                         NO
        SYS                    SELECT ANY SEQUENCE                 NO
        SYS                    SELECT ANY TABLE                       YES
        SYS                    UPDATE ANY TABLE                        NO
        SYSTEM             UNLIMITED TABLESPACE                YES
        ...

뷰 SESSION_PRIVS는 현재 세션에서 사용자에게 가능한 권한을 보여 줍니다. 사용자 SCOTT을 예로 들어 봅니다.
        SVRMGR> SELECT * FROM session_privs;
        PRIVILEGE
        ------------------------------------------------------------
        CREATE SESSION
        ALTER SESSION
        CREATE TABLE
        SELECT ANY TABLE
        CREATE CLUSTER
        CREATE SYNONYM
        CREATE VIEW
        CREATE SEQUENCE
        CREATE DATABASE LINK
        CREATE PROCEDURE
        CREATE TRIGGER
        CREATE TYPE
        12 rows selected.

주
DBA_SYS_PRIVS 뷰는 데이터베이스 레벨에서 롤과 사용자에게 부여된 모든 시스템 권한을 보여줍니다. 반면 SESSION_PRIVS는 세션에 대한 현재의 권한을 보여 주는데, 직접 부여된 권한과 enable된 롤을 모두 보여 줍니다.(“롤 관리” 장을 참조하십시오.)

Oracle8의 딕셔너리 보호 방식은 허가받지 않은 사용자가 딕셔너리 오브젝트에 접근하는 것을 막아 줍니다.
딕셔너리 오브젝트에 접근하는 것은 시스템 권한 SYSDBA와 SYSOPER를 가진 사용자로 제한됩니다.
다른 스키마의 오브젝트에 접근할 수 있는 시스템 권한일지라도 딕셔너리 오브젝트에 접근할 수는 없습니다. 예를 들어 SELECT ANY TABLE 권한은 다른 스키마의 뷰와 테이블에 접근할 수 있게 해 주지만 딕셔너리 오브젝트를 검색할 수 있게 해 주지는 않습니다.
기본값인 TRUE로 파라미터가 설정되면 SYS 스키마의 오브젝트에 접근하는 것이 가능해 집니다. (Oracle7 방식)

FALSE로 파라미터가 설정되면 다른 스키마의 오브젝트에 접근할 수 있는 시스템 권한일지라도 딕셔너리 스키마의 오브젝트에는 접근할 수 없습니다.
예를 들어 07_DICTIONARY_ACCESSIBILITY=FALSE라면 SELECT ANY TABLE 명령문은 SYS 스키마를 제외한 모든 스키마의 뷰나 테이블로의 접근을 가능하게 해 줍니다. 시스템 권한 EXECUTE ANY PROCEDURE도 SYS 스키마를 제외한 모든 스키마의 프로시저에 접근할 수 있게 해 줍니다.

구문
시스템 권한을 철회하려면 다음 명령을 사용하십시오.
        REVOKE {system_priv|role}
                        [, {system_priv|role} ]...
                FROM {user|role|PUBLIC}
                        [, {user|role|PUBLIC} ]...

주
- REVOKE 명령은 GRANT 명령으로 직접 부여되었던 권한만을 철회할 수 있습니다.
- 시스템 권한을 철회하면 일부 종속된 오브젝트에 영향을 줄 수 있습니다. 예를 들어 SELECT ANY TABLE 권한이 부여된 사용자가 다른 스키마의 테이블을 사용하는 프로시저나 뷰를 작성했을 경우 SELECT ANY TABLE 권한을 철회하면 프로시저나 뷰가 부적합(invalid)해지게 됩니다.

WITH ADMIN OPTION을 사용했는지의 여부와 상관없이 시스템 권한이 철회될 때는 연쇄(cascade) 효과가 없습니다.
다음 시나리오가 이것을 설명하고 있습니다.

시나리오
1       DBA가 ADMIN OPTION과 함께 CREATE TABLE 시스템 권한을 USER1에게 부여합니다.
2       USER1이 테이블을 생성합니다.
3       USER1이 SCOTT에게 CREATE TABLE 시스템 권한을 부여합니다.
4       SCOTT이 테이블을 생성합니다.
5       데이터베이스 관리자가 USER1으로부터 CREATE TABLE 시스템 권한을 철회합니다.
        결과는 다음과 같습니다.
6       USER1의 테이블은 계속 존재하지만 더 이상 새로운 테이블을 생성할 수는 없습니다.
7       SCOTT은 계속 테이블과 CREATE TABLE 시스템 권한을 가지고 있습니다.

주
위의 3 단계에서 USER1이 ADMIN OPTION과 함께 SCOTT에게 권한을 부여했다면 SCOTT은 USER1에게서 권한을 철회할 수도 있습니다.

각 오브젝트 권한은 부여받은 사용자가 오브젝트에 작업을 수행할 수 있도록 허가합니다.
위의 표는 각 유형의 오브젝트에 부여될 수 있는 오브젝트 권한을 요약한 것입니다.

<TABLE border=0

구문
오브젝트 권한을 부여하려면 다음 명령을 사용하십시오.
        GRANT { object_priv [ (column_list) ]
                                [, object_priv [(column_list)] ]...
                        | ALL [PRIVILEGES] }
                ON      [schema.]object
                TO      {user | role | PUBLIC}
                        [ , {user | role | PUBLIC} ] . . .
           [WITH GRANT OPTION]

구문에서:
     object_priv                       부여될 오브젝트 권한
     column_list                      테이블이나 뷰의 열(INSERT나 REFERENCES 또는                                           UPDATE 권한을 부여할 때에만 지정할 수 있습니다.)
     ALL                                 WITH GRANT OPTION으로 부여된 오브젝트에 대한                                             모든 권한 부여
     ON object                         권한이 부여될 오브젝트 지정
     WITH GRANT OPTION       부여받은 사용자가 다른 사용자나 롤에게 오브젝트                                              권한을 부여할 수 있게 해 줍니다.

지침 사항
    -  권한을 부여하려면 오브젝트가 자신의 스키마에 있거나 WITH GRANT OPTION 권한을 가지고 있어야 합니다.
    -  기본적으로 소유한 오브젝트에 대한 모든 권한이 자동적으로 획득됩니다.
    -  보안을 고려해야 한다면 자신의 오브젝트에 대한 권한을 다른 사용자에게 부여할 때 주의하십시오.
    -  WITH GRANT OPTION 옵션은 롤에 권한을 부여할 때는 사용할 수 없습니다.

특정 사용자에게 부여된 모든 오브젝트 권한을 보고 싶으면 DBA_TAB_PRIVS를 질의하십시오.
        SVRMGR> SELECT * FROM dba_tab_privs
                        2> WHERE GRANTEE=‘SCOTT’
        GRANTEE     OWNER    TABLE_NAME    GRA     PRIVILEGE     GRA
        ----------     -----    -----------     -----   ----------    -----
        SCOTT            SYS        RESUMES       SYS          READ          NO
        1 row selected.

부여된 열 지정 권한을 모두 보려면 다음 질의를 사용하십시오.
        svrmgr> SELECT * FROM dba_col_privs;
GRANTEE OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------    -----     ----------    -----------     -------      --------- ---
SYSTEM    SCOTT      EMP             EMPNO            SCOTT       INSERT      NO
SYSTEM    SCOTT      EMP             SAL                  SCOTT      UPDATE     NO
        2 rows selected.

구문
오브젝트 권한을 철회하려면 다음 명령을 사용하십시오.
        REVOKE {   object_priv
                        [ , object_priv ] . . .
                        |ALL [PRIVILEGES] }
                ON              [schema.]object
                FROM    {user | role | PUBLIC}
                [ ,     {user | role | PUBLIC} ] . . .
                [CASCADE CONSTRAINTS]

구문에서:
        object_priv                     철회할 오브젝트 권한
        ALL                                사용자에게 부여된 모든 오브젝트 권한 철회
        ON                                 오브젝트 권한을 철회할 오브젝트
        FROM                            오브젝트 권한이 철회될 사용자나 롤
  CASCADE CONSTRAINTS     REFERENCES나 ALL 권한 철회시 관련 참조                                               무결성 제약 조건을 삭제합니다.

제한 사항
권한 부여자(grantor)는 자신이 권한을 부여했던 사용자로부터만 권한을 철회할 수 있습니다.

WITH GRANT OPTION으로 부여된 오브젝트 권한을 철회하면 연쇄적(cascade)으로 철회됩니다.
다음 시나리오가 이것을 설명하고 있습니다.

시나리오
1       USER1이 GRANT OPTION과 함께 SELECT 오브젝트 권한을 부여 받습니다.
2       USER1이 USER2에게 EMP 상의 SELECT 권한을 부여합니다.
결과는 다음과 같습니다.
3       USER1에게서 SELECT 권한이 철회될 때 USER2도 연쇄적으로 권한이 철회됩니다.

요약 참조

관련 내용

참조

초기화 파라미터

O7_DICTIONANRY_ACCESSIBILITY

동적 성능 뷰

없슴

데이터 딕셔너리 뷰

DBA_SYS_PRIVS
SESSION_PRIVS
DBA_TAB_PRIVS
DBA_COL_PRIVS

명령어

GRANT
REVOKE

패키지 프로시저와 함수