SQL Server: ¿cuál es la razón para favorecer los roles de base de datos personalizados sobre los fijos?

8

Esto puede ser un poco vago, pero estaba pensando cuánto usan los DBA los roles fijos de la base de datos que controlan la seguridad de las bases de datos. Entonces, la pregunta es, ¿hay alguna razón para favorecer roles de base de datos personalizados sobre roles de base de datos fijos (db_datareader, etc.)?

jrara
fuente

Respuestas:

12

Los roles fijos de la base de datos otorgan permisos a toda la base de datos. Los roles personalizados entran en juego cuando no desea otorgar a los usuarios permisos para toda la base de datos, solo una parte de ella.

Por ejemplo, db_datareader proporciona permiso SELECCIONAR a cada tabla, vista, etc. en esa base de datos. Por razones de cumplimiento, puede haber algunas tablas o puntos de vista de los cuales el personal de recursos humanos solo debería poder SELECCIONAR y otros no deberían hacerlo. Ahí es donde generalmente entran en juego los roles personalizados.


fuente
3

Los roles de base de datos estándar son excelentes para bases de datos donde solo hay unos pocos usuarios o para cuando no hay un equipo de DBA para administrar los permisos. Sin embargo, si hay varios usuarios con un gran equipo de base de datos y datos confidenciales, sería aconsejable crear roles personalizados para que sepa quién está mirando qué.

Cuando se trata de la seguridad de los datos (y la base de datos), desea bloquear todo lo que pueda y aún así permitir que todos puedan hacer su trabajo sin mayores desafíos. Los roles personalizados se ajustan muy bien a este proyecto de ley.

Ricardo
fuente
2

No, no creo que haya una razón para favorecer los roles de base de datos personalizados, EXCEPTO que sean más especializados y adaptados a su entorno y requisitos. Los desarrolladores analizarán la oferta estándar y, si se ajusta al trabajo, ¡perfecta! Pero si no es así, ¡es hora de personalizar!

Peter Schofield
fuente
2

Razones prácticas, especialmente con db_datareader y db_datawriter

  • los usuarios finales pueden alterar el historial y las tablas de auditoría
  • Cumplimiento de PCI / SOX / Adit
  • tendrás hojas de cálculo conectadas a tu base de datos
  • ... que también te da dependencias desconocidas en la tabla y las vistas
  • los usuarios no entenderán la normalización o el diseño de la base de datos
  • no todos los datos son para todos los usuarios
  • ...

Los otros roles de db no se usan realmente, he encontrado

gbn
fuente
Sí, PCI / SOX / Adit son temas candentes hoy en día. Esa puede ser una buena razón para salir de roles fijos.
StanleyJohns