De Males y Maleficios para el DBA

Usar Roles para Administrar Privilegios

Evelyn Andrade
3–5 minutos

Usar roles para administrar privilegios en Oracle 19c es una práctica recomendada que simplifica la gestión de permisos y mejora la seguridad. Los roles son conjuntos de privilegios que pueden ser asignados a uno o más usuarios, lo que facilita la asignación y revocación de permisos en función de las necesidades de acceso de los usuarios.

Pasos para Usar Roles en Oracle 19c

A continuación, se describen los pasos para crear y administrar roles en Oracle 19c:

 Crear un Rol

Para crear un rol, utiliza el comando CREATE ROLE:

CREATE ROLE nombre_del_rol;
CREATE ROLE rol_lectura;

Otorgar Privilegios al Rol

Una vez que el rol está creado, puedes otorgarle privilegios. Puedes otorgar privilegios de objeto y/o privilegios de sistema.

GRANT privilegio ON objeto TO nombre_del_rol;

Ejemplo (otorgar el privilegio SELECT en una tabla):

GRANT SELECT ON tabla_ejemplo TO rol_lectura;

Asignar Rol a Usuarios

Después de definir el rol y otorgarle los privilegios necesarios, puedes asignar ese rol a uno o más usuarios. Para hacer esto, utiliza el comando GRANT:

GRANT nombre_del_rol TO usuario;
GRANT rol_lectura TO usuario1;

Revocar Roles de Usuarios

Si decides que un usuario ya no necesita un rol, puedes revocarlo utilizando el comando REVOKE:

REVOKE nombre_del_rol FROM usuario;
REVOKE rol_lectura FROM usuario1;

Ver Privilegios de un Rol

Para consultar qué privilegios tiene un rol, puedes utilizar la vista de diccionario de datos USER_TAB_PRIVS o DBA_TAB_PRIVS. Por ejemplo:

SELECT * FROM DBA_ROLE_PRIVS WHERE role = 'ROL_LECTURA';

 Controlar la Activación de Roles

Los roles se activan al iniciar sesión en la base de datos, pero puedes controlar qué roles están habilitados por defecto. Los roles pueden ser configurados como habilitados por defecto o deben ser habilitados manualmente.

Para habilitar roles manualmente después de la conexión:

SET ROLE nombre_del_rol;
SET ROLE NONE; -- Deshabilita todos los roles

Ejemplo

-- 1. Crear el rol
CREATE ROLE rol_lectura;
-- 2. Otorgar privilegios al rol
GRANT SELECT ON tabla_ejemplo TO rol_lectura;
-- 3. Asignar el rol a un usuario
GRANT rol_lectura TO usuario1;
-- 4. Revocar el rol de un usuario
REVOKE rol_lectura FROM usuario1;

Beneficios del Uso de Roles

  • Simplicidad: Manejar roles es más fácil que gestionar permisos individuales para cada usuario.
  • Seguridad: Puedes definir roles específicos según las funciones de trabajo y evitar el uso excesivo de privilegios.
  • Flexibilidad: Facilita la asignación y revocación de permisos a medida que cambian las responsabilidades de los usuarios.
  • Auditoría: Proporciona una manera coherente de auditar permisos, ya que los roles pueden ser inspeccionados y documentados fácilmente

Existen distintas técnicas y enfoques para manejar de manera efectiva los permisos y privilegios de los usuarios. A continuación, explico cada uno de estos conceptos:

Easier Privilege Management (Gestión de Privilegios Más Fácil)

Este concepto se refiere a la simplificación del proceso de asignación, revocación y administración de privilegios dentro de una base de datos. Implica el uso de herramientas y metodologías que permitan a los administradores de bases de datos (DBAs) gestionar los privilegios de forma más intuitiva y eficiente.

  • Características:
    • Roles: Utilización de roles para agrupar múltiples privilegios y asignarlos a los usuarios según sea necesario.
    • Interfaces de Usuario: Herramientas o interfaces gráficas que facilitan la gestión de permisos sin necesidad de utilizar complejas consultas SQL.
    • Automatización: Implementación de scripts o procedimientos automatizados que gestionan cambios en la estructura de privilegios.

Dynamic Privilege Management (Gestión Dinámica de Privilegios)

La gestión dinámica de privilegios se refiere a la capacidad de alterar los privilegios de los usuarios en tiempo real, en respuesta a las necesidades cambiantes de la organización o a situaciones específicas.

  • Características:
    • Controles Basados en Roles (RBAC): Permitir que los roles cambien en función de eventos específicos o condiciones en el entorno.
    • Contextos de Actividad: Ajustar los privilegios según el contexto de la operación, como la ubicación o tipo de tarea que el usuario está realizando.
    • Auditoría y Monitoreo: Mediante el seguimiento de las acciones de los usuarios, se pueden asignar privilegios dinámicamente según el comportamiento observado, asegurando que solo se otorguen los permisos necesarios en un momento dado.

Selective Availability of Privileges (Disponibilidad Selectiva de Privilegios)

Este enfoque implica otorgar privilegios a los usuarios de manera selectiva, basándose en criterios específicos, para garantizar que solo tengan acceso a los permisos necesarios para realizar su trabajo.

  • Características:
    • Mínimo Privilegio Necesario: Este concepto se basa en la filosofía de «mínimo privilegio», donde los usuarios reciben únicamente los privilegios necesarios para realizar sus tareas, reduciendo así el riesgo de acceso no autorizado o acciones no deseadas.
    • Condiciones y Restricciones: Los privilegios pueden ser otorgados bajo condiciones específicas o para un tiempo limitado, lo que asegura que no se mantengan permisos innecesarios de forma indefinida.
    • Revisión Periódica: Se implementan revisiones periódicas para asegurarse de que los privilegios otorgados siguen siendo relevantes y adecuados para los roles de los usuarios.

Deja un comentario

Tendencias