用于对 RDS for Db2 授予和撤销权限的存储过程 - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

用于对 RDS for Db2 授予和撤销权限的存储过程

以下存储过程授予和撤销对于 Amazon RDS for Db2 数据库的权限。要运行这些过程,主用户必须先连接到 rdsadmin 数据库。

rdsadmin.create_role

创建角色。

语法

db2 "call rdsadmin.create_role( 'database_name', 'role_name')"

参数

以下参数为必需参数:

database_name

命令将在其上运行的数据库的名称。数据类型为 varchar

role_name

您要创建的角色的名称。数据类型为 varchar

使用说明

有关检查创建角色的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例为数据库 DB2DB 创建一个名为 MY_ROLE 的角色。

db2 "call rdsadmin.create_role( 'DB2DB', 'MY_ROLE')"

rdsadmin.grant_role

将角色分配给角色、用户或组。

语法

db2 "call rdsadmin.grant_role( ?, 'database_name', 'role_name', 'grantee', 'admin_option')"

参数

以下输出参数是必需参数:

?

一个参数标记,用于输出任务的唯一标识符。此参数仅接受 ?

以下输入参数是必需参数:

database_name

命令将在其上运行的数据库的名称。数据类型为 varchar

role_name

您要创建的角色的名称。数据类型为 varchar

grantee

要接收授权的角色、用户或组。数据类型为 varchar。有效值:ROLEUSERGROUPPUBLIC

格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“USER user1, user2, GROUP group1, group2”。将名称替换为您自己的信息。

以下输入参数为可选参数:

admin_option

指定被授权者 ROLE 是否具有分配角色的 DBADM 授权。数据类型为 char。默认为 N

使用说明

有关检查分配角色的状态的信息,请参阅rdsadmin.get_task_status

示例

下面的示例将对于数据库 TESTDB 的名为 ROLE_TEST 的角色分配给名为 role1 的角色、名为 user1 的用户和名为 group1 的组。ROLE_TEST 获得分配角色的管理员授权。

db2 "call rdsadmin.grant_role( ?, 'TESTDB', 'ROLE_TEST', 'ROLE role1, USER user1, GROUP group1', 'Y')"

下面的示例将针对数据库 TESTDB 的名为 ROLE_TEST 的角色分配给 PUBLICROLE_TEST 未获得分配角色的管理员授权。

db2 "call rdsadmin.grant_role( ?, 'TESTDB', 'ROLE_TEST', 'PUBLIC')"

rdsadmin.revoke_role

从角色、用户或组撤销角色。

语法

db2 "call rdsadmin.revoke_role( ?, 'database_name', 'role_name', 'grantee')"

参数

以下输出参数是必需参数:

?

一个参数标记,用于输出任务的唯一标识符。此参数仅接受 ?。

以下输入参数是必需参数:

database_name

命令将在其上运行的数据库的名称。数据类型为 varchar

role_name

您要撤销的角色的名称。数据类型为 varchar

grantee

要失去授权的角色、用户或组。数据类型为 varchar。有效值:ROLEUSERGROUPPUBLIC

格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“USER user1, user2, GROUP group1, group2”。将名称替换为您自己的信息。

使用说明

有关检查分配角色的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例从名为 role1 的角色、名为 user1 的用户和名为 group1 的组中撤销数据库 TESTDB 的名为 ROLE_TEST 的角色。

db2 "call rdsadmin.revoke_role( ?, 'TESTDB', 'ROLE_TEST', 'ROLE role1, USER user1, GROUP group1')"

以下示例从 PUBLIC 撤销数据库 TESTDB 的名为 ROLE_TEST 的角色。

db2 "call rdsadmin.revoke_role( ?, 'TESTDB', 'ROLE_TEST', 'PUBLIC')"

rdsadmin.add_user

将用户添加到授权列表。

语法

db2 "call rdsadmin.add_user( 'username', 'password', 'group_name,group_name')"

参数

以下参数为必需参数:

username

用户的用户名。数据类型为 varchar

密码

用户的密码。数据类型为 varchar

以下参数为可选参数:

group_name

要将用户添加到的组的名称。数据类型为 varchar。默认值是空字符串或 Null。

使用说明

您可以将用户添加到一个组,也可以通过用逗号分隔组名称添加到多个组。

您可以在创建新用户时创建组,也可以在向现有用户添加组时创建组。无法单独创建组。

注意

您可以通过调用 rdsadmin.add_user 添加的最大用户数为 5000。

有关检查添加用户的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例创建了一个名为 jorge_souza 的用户,并将该用户分配给名为 salesinside_sales 的组。

db2 "call rdsadmin.add_user( 'jorge_souza', '*******', 'sales,inside_sales')"

rdsadmin.change_password

更改用户的密码。

语法

db2 "call rdsadmin.change_password( 'username', 'new_password')"

参数

以下参数为必需参数:

username

用户的用户名。数据类型为 varchar

new_password

用户的新密码。数据类型为 varchar

使用说明

有关检查更改密码的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例更改 jorge_souza 的密码。

db2 "call rdsadmin.change_password( 'jorge_souza', '*******')"

rdsadmin.list_users

列出授权列表中的用户。

语法

db2 "call rdsadmin.list_users()"

使用说明

有关检查列出用户的状态的信息,请参阅rdsadmin.get_task_status

rdsadmin.remove_user

将用户从授权列表中移除。

语法

db2 "call rdsadmin.remove_user('username')"

参数

以下参数是必需参数:

username

用户的用户名。数据类型为 varchar

使用说明

有关检查移除用户的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例移除 jorge_souza 访问 RDS for Db2 数据库实例中的数据库的权限。

db2 "call rdsadmin.remove_user('jorge_souza')"

rdsadmin.add_groups

向用户添加组。

语法

db2 "call rdsadmin.add_groups( 'username', 'group_name,group_name')"

参数

以下参数为必需参数:

username

用户的用户名。数据类型为 varchar

group_name

要将用户添加到的组的名称。数据类型为 varchar。默认值是空字符串。

使用说明

您可以向用户添加一个组,也通过用逗号分隔组名称来添加多个组。有关检查添加组的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例将 direct_salesb2b_sales 组添加到用户 jorge_souza

db2 "call rdsadmin.add_groups( 'jorge_souza', 'direct_sales,b2b_sales')"

rdsadmin.remove_groups

从用户中移除组。

语法

db2 "call rdsadmin.remove_groups( 'username', 'group_name,group_name')"

参数

以下参数为必需参数:

username

用户的用户名。数据类型为 varchar

group_name

要从中移除用户的组的名称。数据类型为 varchar

使用说明

可以从用户中移除一个组,也可以通过用逗号分隔组名称来移除多个组。

有关检查移除组的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例从用户 jorge_souza 中移除 direct_salesb2b_sales 组。

db2 "call rdsadmin.remove_groups( 'jorge_souza', 'direct_sales,b2b_sales')"

rdsadmin.dbadm_grant

向角色、用户或组授予 DBADMACCESSCTRLDATAACCESS 授权。

语法

db2 "call rdsadmin.dbadm_grant( ?, 'database_name', 'authorization', 'grantee')"

参数

以下输出参数是必需参数:

?

一个参数标记,用于输出任务的唯一标识符。此参数仅接受 ?

以下输入参数是必需参数:

database_name

命令将在其上运行的数据库的名称。数据类型为 varchar

授权

要授予的授权类型。数据类型为 varchar。有效值:DBADMACCESSCTRLDATAACCESS

使用逗号分隔多个类型。

grantee

要接收授权的角色、用户或组。数据类型为 varchar。有效值:ROLEUSERGROUP

格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“USER user1, user2, GROUP group1, group2”。将名称替换为您自己的信息。

使用说明

接收访问权限的角色必须存在。

有关检查授予数据库管理员访问权限的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例为角色 ROLE_DBA 授予对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'ROLE ROLE_DBA')"

以下示例为 user1group1 授予对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'USER user1, GROUP group1')"

以下示例为 user1user2group1group2 授予对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'USER user1, user2, GROUP group1, group2')"

rdsadmin.dbadm_revoke

从角色、用户或组撤销 DBADMACCESSCTRLDATAACCESS 授权。

语法

db2 "call rdsadmin.dbadm_revoke( ?, 'database_name', 'authorization', 'grantee')"

参数

以下输出参数是必需参数:

?

任务的唯一标识符。此参数仅接受 ?

以下输入参数是必需参数:

database_name

命令将在其上运行的数据库的名称。数据类型为 varchar

授权

要撤销的授权类型。数据类型为 varchar。有效值:DBADMACCESSCTRLDATAACCESS

使用逗号分隔多个类型。

grantee

要从中撤销授权的角色、用户或组。数据类型为 varchar。有效值:ROLEUSERGROUP

格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“USER user1, user2, GROUP group1, group2”。将名称替换为您自己的信息。

使用说明

有关检查撤销数据库管理员访问权限的状态的信息,请参阅rdsadmin.get_task_status

示例

以下示例为角色 ROLE_DBA 撤销对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'ROLE ROLE_DBA')"

以下示例为 user1group1 撤销对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'USER user1, GROUP group1')"

以下示例为 user1user2group1group2 撤销对名为 TESTDB 的数据库的数据库管理员访问权限。

db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'USER user1, user2, GROUP group1, group2')"