用于对 RDS for Db2 授予和撤销权限的存储过程
本主题中介绍的内置存储过程可管理 Amazon RDS for Db2 数据库的用户、角色、组和授权。要运行这些过程,主用户必须先连接到 rdsadmin 数据库。
有关使用这些存储过程的任务,请参阅授予和撤销权限和设置 Kerberos 身份验证。
请参阅以下内置存储过程,了解其语法、参数、用法说明和示例。
存储过程
rdsadmin.create_role
创建角色。
语法
db2 "call rdsadmin.create_role( 'database_name', 'role_name')"
参数
以下参数为必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 role_name-
您要创建的角色的名称。数据类型为
varchar。
使用说明
有关检查创建角色的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例为数据库 DB2DB 创建一个名为 MY_ROLE 的角色。
db2 "call rdsadmin.create_role( 'DB2DB', 'MY_ROLE')"
rdsadmin.grant_role
将角色分配给角色、用户或组。
语法
db2 "call rdsadmin.grant_role( ?, 'database_name', 'role_name', 'grantee', 'admin_option')"
参数
以下输出参数是必需参数:
- ?
-
一个参数标记,用于输出任务的唯一标识符。此参数仅接受
?。
以下输入参数是必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 role_name-
您要创建的角色的名称。数据类型为
varchar。 grantee-
要接收授权的角色、用户或组。数据类型为
varchar。有效值:ROLE、USER、GROUP、PUBLIC。格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“
USER”。将名称替换为您自己的信息。user1,user2, GROUPgroup1,group2
以下输入参数为可选参数:
admin_option-
指定被授权者
ROLE是否具有分配角色的DBADM授权。数据类型为char。默认值为N。
使用说明
有关检查分配角色的状态的信息,请参阅rdsadmin.get_task_status。
示例
示例 1:为角色、用户和组分配角色并授予权限
下面的示例将对于数据库 TESTDB 的名为 ROLE_TEST 的角色分配给名为 role1 的角色、名为 user1 的用户和名为 group1 的组。ROLE_TEST 获得分配角色的管理员授权。
db2 "call rdsadmin.grant_role( ?, 'TESTDB', 'ROLE_TEST', 'ROLE role1, USER user1, GROUP group1', 'Y')"
示例 2:为角色分配 PUBLIC 但不授予权限
下面的示例将针对数据库 TESTDB 的名为 ROLE_TEST 的角色分配给 PUBLIC。ROLE_TEST 未获得分配角色的管理员授权。
db2 "call rdsadmin.grant_role( ?, 'TESTDB', 'ROLE_TEST', 'PUBLIC')"
rdsadmin.revoke_role
从角色、用户或组撤销角色。
语法
db2 "call rdsadmin.revoke_role( ?, 'database_name', 'role_name', 'grantee')"
参数
以下输出参数是必需参数:
- ?
-
一个参数标记,用于输出任务的唯一标识符。此参数仅接受 ?。
以下输入参数是必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 role_name-
您要撤销的角色的名称。数据类型为
varchar。 grantee-
要失去授权的角色、用户或组。数据类型为
varchar。有效值:ROLE、USER、GROUP、PUBLIC。格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“
USER”。将名称替换为您自己的信息。user1,user2, GROUPgroup1,group2
使用说明
有关如何检查角色撤销状态的信息,请参阅rdsadmin.get_task_status。
示例
示例 1:从角色、用户和组中撤消角色
以下示例从名为 role1 的角色、名为 user1 的用户和名为 group1 的组中撤销数据库 TESTDB 的名为 ROLE_TEST 的角色。
db2 "call rdsadmin.revoke_role( ?, 'TESTDB', 'ROLE_TEST', 'ROLE role1, USER user1, GROUP group1')"
示例 2:从 PUBLIC 撤消角色
以下示例从 PUBLIC 撤销数据库 TESTDB 的名为 ROLE_TEST 的角色。
db2 "call rdsadmin.revoke_role( ?, 'TESTDB', 'ROLE_TEST', 'PUBLIC')"
rdsadmin.drop_role
删除角色。
语法
db2 "call rdsadmin.drop_role( ?, 'database_name', 'role_name')"
参数
以下输出参数是必需参数:
- ?
-
一个参数标记,用于输出任务的唯一标识符。此参数仅接受 ?。
以下输入参数是必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 role_name-
您要删除的角色的名称。数据类型为
varchar。
使用说明
有关如何检查角色删除状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例删除数据库 TESTDB 中名为 ROLE_TEST 的角色。
db2 "call rdsadmin.drop_role( ?, 'TESTDB', 'ROLE_TEST')"
rdsadmin.add_user
将用户添加到授权列表。
语法
db2 "call rdsadmin.add_user( 'username', 'password', 'group_name,group_name')"
参数
以下参数为必需参数:
“username”-
用户的用户名。数据类型为
varchar。 密码-
用户的密码。数据类型为
varchar。
以下参数为可选参数:
group_name-
要将用户添加到的组的名称。数据类型为
varchar。默认值是空字符串或 Null。
使用说明
您可以将用户添加到一个组,也可以通过用逗号分隔组名称添加到多个组。
您可以在创建新用户时创建组,也可以在向现有用户添加组时创建组。无法单独创建组。
注意
您可以通过调用 rdsadmin.add_user 添加的最大用户数为 5000。
有关检查添加用户的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例创建了一个名为 jorge_souza 的用户,并将该用户分配给名为 sales 和 inside_sales 的组。
db2 "call rdsadmin.add_user( 'jorge_souza', '*******', 'sales,inside_sales')"
rdsadmin.change_password
更改用户的密码。
语法
db2 "call rdsadmin.change_password( 'username', 'new_password')"
参数
以下参数为必需参数:
“username”-
用户的用户名。数据类型为
varchar。 new_password-
用户的新密码。数据类型为
varchar。
使用说明
有关检查更改密码的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例更改 jorge_souza 的密码。
db2 "call rdsadmin.change_password( 'jorge_souza', '*******')"
rdsadmin.list_users
列出授权列表中的用户。
语法
db2 "call rdsadmin.list_users()"
使用说明
有关检查列出用户的状态的信息,请参阅rdsadmin.get_task_status。
rdsadmin.remove_user
将用户从授权列表中移除。
语法
db2 "call rdsadmin.remove_user('username')"
参数
以下参数是必需参数:
“username”-
用户的用户名。数据类型为
varchar。
使用说明
有关检查移除用户的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例移除 jorge_souza 访问 RDS for Db2 数据库实例中的数据库的权限。
db2 "call rdsadmin.remove_user('jorge_souza')"
rdsadmin.add_groups
向用户添加组。
语法
db2 "call rdsadmin.add_groups( 'username', 'group_name,group_name')"
参数
以下参数为必需参数:
“username”-
用户的用户名。数据类型为
varchar。 group_name-
要将用户添加到的组的名称。数据类型为
varchar。默认值是空字符串。
使用说明
您可以向用户添加一个组,也通过用逗号分隔组名称来添加多个组。有关检查添加组的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例将 direct_sales 和 b2b_sales 组添加到用户 jorge_souza。
db2 "call rdsadmin.add_groups( 'jorge_souza', 'direct_sales,b2b_sales')"
rdsadmin.remove_groups
从用户中移除组。
语法
db2 "call rdsadmin.remove_groups( 'username', 'group_name,group_name')"
参数
以下参数为必需参数:
“username”-
用户的用户名。数据类型为
varchar。 group_name-
要从中移除用户的组的名称。数据类型为
varchar。
使用说明
可以从用户中移除一个组,也可以通过用逗号分隔组名称来移除多个组。
有关检查移除组的状态的信息,请参阅rdsadmin.get_task_status。
示例
以下示例从用户 jorge_souza 中移除 direct_sales 和 b2b_sales 组。
db2 "call rdsadmin.remove_groups( 'jorge_souza', 'direct_sales,b2b_sales')"
rdsadmin.dbadm_grant
向角色、用户或组授予 DBADM、ACCESSCTRL 或 DATAACCESS 授权。
语法
db2 "call rdsadmin.dbadm_grant( ?, 'database_name', 'authorization', 'grantee')"
参数
以下输出参数是必需参数:
- ?
-
一个参数标记,用于输出任务的唯一标识符。此参数仅接受
?。
以下输入参数是必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 authorization、*-
要授予的授权类型。数据类型为
varchar。有效值:DBADM、ACCESSCTRL、DATAACCESS。使用逗号分隔多个类型。
grantee-
要接收授权的角色、用户或组。数据类型为
varchar。有效值:ROLE、USER、GROUP。格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“
USER”。将名称替换为您自己的信息。user1,user2, GROUPgroup1,group2
使用说明
接收访问权限的角色必须存在。
有关检查授予数据库管理员访问权限的状态的信息,请参阅rdsadmin.get_task_status。
示例
示例 1:向角色授予数据库管理员访问权限
以下示例向名为 TESTDB 的数据库中的 ROLE_DBA 角色授予数据库管理员访问权限。
db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'ROLE ROLE_DBA')"
示例 2:向用户和组授予数据库管理员访问权限
以下示例向名为 TESTDB 的数据库中的 user1 和 group1 授予数据库管理员访问权限。
db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'USER user1, GROUP group1')"
示例 3:向多个用户和组授予数据库管理员访问权限
以下示例向名为 TESTDB 的数据库中的 user1、user2、group1 和 group2 授予数据库管理员访问权限。
db2 "call rdsadmin.dbadm_grant( ?, 'TESTDB', 'DBADM', 'USER user1, user2, GROUP group1, group2')"
rdsadmin.dbadm_revoke
从角色、用户或组撤销 DBADM、ACCESSCTRL 或 DATAACCESS 授权。
语法
db2 "call rdsadmin.dbadm_revoke( ?, 'database_name', 'authorization', 'grantee')"
参数
以下输出参数是必需参数:
- ?
-
任务的唯一标识符。此参数仅接受
?。
以下输入参数是必需参数:
database_name-
命令将在其上运行的数据库的名称。数据类型为
varchar。 authorization、*-
要撤销的授权类型。数据类型为
varchar。有效值:DBADM、ACCESSCTRL、DATAACCESS。使用逗号分隔多个类型。
grantee-
要从中撤销授权的角色、用户或组。数据类型为
varchar。有效值:ROLE、USER、GROUP。格式必须是值后跟名称。用英文逗号分隔多个值和名称。示例:“
USER”。将名称替换为您自己的信息。user1,user2, GROUPgroup1,group2
使用说明
有关检查撤销数据库管理员访问权限的状态的信息,请参阅rdsadmin.get_task_status。
示例
示例 1:撤消角色的数据库管理员访问权限
以下示例对名为 TESTDB 的数据库中的 ROLE_DBA 角色撤销数据库管理员访问权限。
db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'ROLE ROLE_DBA')"
示例 2:撤消用户和群组的数据库管理员访问权限
以下示例对名为 TESTDB 的数据库中的 user1 和 group1 撤销数据库管理员访问权限。
db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'USER user1, GROUP group1')"
示例 3:撤消多个用户和组的数据库管理员访问权限
以下示例对名为 TESTDB 的数据库中的 user1、user2、group1 和 group2 撤销数据库管理员访问权限。
db2 "call rdsadmin.dbadm_revoke( ?, 'TESTDB', 'DBADM', 'USER user1, user2, GROUP group1, group2')"
rdsadmin.set_sid_group_mapping
在安全 ID(SID)与相应的 Active Directory 组之间创建映射。
语法
db2 "call rdsadmin.set_sid_group_mapping( ?, 'SID', 'group_name')"
参数
以下输出参数是必需参数:
- ?
-
输出错误消息的参数标记。此参数仅接受
?。
以下输入参数是必需参数:
SID()-
安全 ID(SID)。数据类型为
varchar。 group_name-
要映射到 SID 的 Active Directory 组的名称。数据类型为
varchar。
使用说明
使用此存储过程对 Active Directory 组启用 Kerberos 身份验证。如果映射中已存在 SID 或 group_name,则此存储过程将失败。
有关如何查找组的 SID 的信息,请参阅步骤 8:在 PowerShell 中检索 Active Directory 组 SID。
有关检查创建映射的状态的信息,请参阅 rdsadmin.get_task_status。
示例
以下示例将 SID 映射到名为 my_group 的组。
db2 "call rdsadmin.set_sid_group_mapping( ?, 'S-1-5-21-9146495592-531070549-834388463-513', 'my_group')"
rdsadmin.list_sid_group_mapping
列出在数据库实例上配置的所有安全 ID(SID)与 Active Directory 组的映射。
语法
db2 "call rdsadmin.list_sid_group_mapping()"
使用说明
有关检查列出映射的状态的信息,请参阅 rdsadmin.get_task_status。
rdsadmin.remove_sid_group_mapping
从数据库实例中移除安全 ID(SID)与其相应 Active Directory 组的映射。
语法
db2 "call rdsadmin.remove_sid_group_mapping( ?, 'SID')"
参数
以下输出参数是必需参数:
- ?
-
输出错误消息的参数标记。此参数仅接受
?。
以下输入参数是必需参数:
SID()-
安全 ID(SID)。数据类型为
varchar。
使用说明
有关如何查找组的 SID 的信息,请参阅步骤 8:在 PowerShell 中检索 Active Directory 组 SID。
有关检查移除映射的状态的信息,请参阅 rdsadmin.get_task_status。
示例
以下示例从 SID 映射到的组中移除其映射。
db2 "call rdsadmin.remove_sid_group_mapping( ?, 'S-1-5-21-9146495592-531070549-834388463-513')"