Question sur les schémas et la sécurité

Question

Je dois configurer certains utilisateurs pour pouvoir créer des procédures stockées avec un accès READ uniquement. Aussi, en production, ils ne peuvent pas avoir SELECT, seulement EXECUTE sur les procs qu'ils ont créés. En développement, ils auraient SELECT pour qu'ils puissent créer leurs procédures.

J'ai configuré un schéma appelé Rapports. Le propriétaire de ce schéma est un identifiant - Report_Admin. Cet utilisateur a un accès sélectif aux tables. J'ai alors donné alter et exécute sur le schéma de rapports à mon compte d'auteur de rapport. Dbo possède la table - donc cela fonctionne si dbo possède aussi le schéma Reporting - mais alors une suppression fonctionnera aussi dans la procédure!

Nous utilisons des services de rapport et aimeriez avoir tout le SQL dans la base de données pour la maintenabilité.

Merci!

Answer 1

Vous ne réussirez pas en utilisant le chaînage de propriété, comme vous l'avez déjà découvert. Une solution serait la suivante: report_writer doit créer ses rapports avec une clause EXECUTE AS SELF afin qu'ils soient exécutés sous les privilèges de report_writer. Ensuite, le groupe report_reader pourra utiliser l'autorisation EXECUTE sur le schéma reports pour exécuter les rapports, et les rapports pourront lire les données à cause de la clause execute as.

Answer 2

Vous pouvez attribuer des autorisations aux rôles et aux utilisateurs, pas besoin de schéma séparé. Donc, je n'utiliserais qu'un seul schéma: "dbo" (la valeur par défaut)

Créer un rôle de base de données pour les utilisateurs. Accordez data_reader à ce rôle en cours de développement. Sur le développement et la production, accorder des droits d'exécution sur les procédures stockées. Autant que je sache, vous devrez accorder le droit d'exécution pour chaque procédure stockée.