TIL

3.4 권한(Privilege)

• 글로벌 권한
  • 데이터베이스나 테이블 이외의 객체에 적용되는 권한
  • GRANT 명령으로 권한을 부여할 때 특정 객체를 명시하지 않음
• 객체 권한
  • 데이터베이스나 테이블을 제어하는 데 필요한 권한
  • GRANT 명령으로 권한을 부여할 때 특정 객체를 명시해야 함
• ALL PRIVILEGES 명령은 글로벌과 객체 권한 모두에 사용될 수 있다.
• 글로벌 권한과 객체 권한을 정적 권한이라 한다.
  • MySQL 서버의 소스코드에 고정적으로 명시돼 있는 권한
• 동적 권한 (8.0 버전부터 추가)
  • MySQL 서버가 시작되면서 동적으로 생성하는 권한을 의미

권한 부여 예제

GRANT privilege_list ON db.table TO 'user'@'host';

• GRANT 명령어로 권한을 부여한다.
• 없는 사용자에 대해 권한을 부여하면 에러가 발생하기 때문에 먼저 사용자를 생성해야 한다.
• privilege_list에 여러 권한을 구분자(,)로 명시할 수 있다.
• ON 키워드 뒤에는 권한을 부여할 오브젝트를 명시한다.
  • 권한 범위에 따라 사용 방법이 달라짐
• TO 키워드 뒤에는 권한을 부여할 사용자를 명시한다.

글로벌 권한

GRANT SUPER ON *.* TO 'user'@'localhost';

• ON 절 뒤에 항상 *.*을 사용해야 한다.
  • 특정 DB나 테이블에 글로벌 권한을 부여할 수 없기 때문
  • 모든 DB의 모든 오브젝트를 포함한 MySQL 서버 전체를 의미한다.

DB 권한

GRANT EVENT ON *.* TO 'user'@'localhost';
GRANT EVENT ON employees.* TO 'user'@'localhost';

• DB 권한은 특정 DB에 대해서만 부여할 수도, 서버의 모든 DB에 대해서도 부여할 수 있다.
  • 모든 DB에 부여할 수 있기에 *.* 사용 가능
• DB 권한만 부여하는 경우엔 employees.department와 같이 테이블까지 명시해 테이블에 대해 권한을 부여할 수는 없다.
  • employees.*와 같이 명시해야 한다.

테이블 권한

GRANT SELECT,INSERT,UPDATE,DELETE ON *.* TO 'user'@'localhost';
GRANT SELECT,INSERT,UPDATE,DELETE ON employees.* TO 'user'@'localhost';
GRANT SELECT,INSERT,UPDATE,DELETE ON employees.department TO 'user'@'localhost';

• 테이블 권한은 다음의 대상에 대해 권한을 부여하는 것이 가능하다.
  • 모든 DB (*.*)
  • 특정 DB의 오브젝트 (employees.*)
  • 특정 DB의 특정 테이블 (employees.department)

• 특정 칼럼에 대해 권한을 부여하는 경우 문법이 조금 달라진다.

    GRANT SELECT,INSERT,UPDATE(dept_name) ON employees.department TO 'user'@'localhost';ON employees.department TO 'user'@'localhost';
  

  • 위 예제는 SELECT, INSERT는 모든 칼럼에서 수행할 수 있지만 UPDATE는 dept_name 칼럼에 대해서만 수행할 수 있게 설저한 것이다.
• 테이블이나 칼럼 단위 권한은 잘 사용하지 않는다.
  • 칼럼 단위 권한이 하나라도 설정되면 나머지 모든 테이블의 모든 칼럼에도 권한 체크를 하기에 성능에 영향을 미친다.

권한 확인

• SHOW GRANTS 명령 사용
• 깔끔한 표 형태로 보고 싶을 땐 mysql DB의 권한 관련 테이블 참조
  • 정적 권한
    • mysql.user
    • mysql.db
    • mysql.tables_priv
    • mysql.columns_priv
    • mysql.proc_priv
  • 동적 권한
    • mysql.global_grants