TIL

3.5 역할(Role)

• MySQL 8.0부터 권한을 묶어 역할(Role)을 사용할 수 있게 됐다.
  • MySQL 내부적으로 역할과 계정은 모양이 같다.

역할 생성

CREATE ROLE 
	role_emp_read,
	role_emp_wirte;

GRANT SELECT ON employyes.* TO role_emp_read;
GRANT INSERT, UPDATE, DELETE ON employees.* TO role_emp_write;

• 위 코드에서 읽기용 역할(role_emp_read)과 쓰기용 역할(role_emp_write)을 만든 뒤 각각 권한을 부여해주고 있다.

계정에 역할 부여

• 역할은 그 자체로 사용될 수 없고 아래처럼 계정에 부여해야 한다.

GRANT role_emp_read TO reader@'127.0.0.1';
GRANT role_emp_write TO writer@'127.0.0.1';

역할 활성화

• 계정이 역할을 사용할 수 있게 하려면 역할을 아래처럼 활성화해주어야 한다.
  • 활성화 하지 않으면 DB에 접근했을 때 에러가 발생할 것이다.

SET ROLE 'role_emp_read';

• 하지만 서버에 로그아웃했다가 다시 로그인하면 활성화가 초기화되어 버려서 매번 SET으로 활성화를 시켜야 하는 번거로움이 있다.
• active_all_roles_on_login 시스템 변수를 설정하면 매번 활성화 명령을 하지 않아도 로그인과 동시에 역할이 자동으로 활성화된다.

SET GLOBAL active_all_roles_on_login=ON;

계정과 역할의 차이

• mysql DB의 user 테이블을 보면 역할과 사용자 계정이 구분 없이 저장되어 있다.

SELECT user, host, account_locked FROM mysql.user;

user	host	account_locked
role_emp_read	%	Y
role_emp_write	%	Y
reader	127.0.0.1	N
writer	127.0.0.1	N
root	localhost	N

• 하나의 계정에 다른 권한을 병합하기만 하면 되므로 MySQL은 역할과 계정을 구분할 필요가 없는 것이다.

실질적인 차이가 없으면 왜 역할과 계정을 분리했을까? 이는 DB 관리 직무를 분리하여 보안을 강화하는 용도로 사용하기 위해서다. 어떤 사용자가 CREATE USER에는 권한이 없고 CREATE ROLE만 가능하다고 하자. 생성된 역할은 계정과 동일한 객체지만 acoount_locked가 ‘Y’이기 때문에 로그인 용도로 사용할 수 없게 된다.