Guide Oracle

Administration Oracle : Rôles et privilèges

Retour au sommaire.

Article lu   fois.

L'auteur

Profil ProSite personnel

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

Introduction

Rôles et privilèges sont définis pour sécuriser l'accès aux données de la base

Ces concepts sont mis en oeuvre pour protéger les données en accordant (ou retirant) des privilèges a un utilisateur ou un groupe d'utilisateurs

Un rôle est un regroupement de privilèges. Une fois créé il peut être assigné à un utilisateur ou à un autre rôle

Les privilèges sont de deux types

  • Les privilèges de niveau système

Qui permettent la création, modification, suppression, exécution de groupes d'objets

les privilèges CREATE TABLE, CREATE VIEW, CREATE SEQUENCE par exemple permettent à l'utilisateur qui les a reçu de créer des tables, des vues et des séquences

  • Les privilèges de niveau objet

Qui permettent les manipulations sur des objets spécifiques

les privilèges SELECT, INSERT, UPDATE, DELETE sur la table SCOTT.EMP par exemple permettent à l'utilisateur qui les a reçu de sélectionner, ajouter, modifier et supprimer des lignes dans la table EMP appartenant à l'utilisateur SCOTT

1. Assigner des privilèges système à un utilisateur

Assigner des privilèges système à un utilisateur

Lorsqu'un utilisateur est créé avec l'instruction CREATE USER, il ne dispose encore d'aucun droit car aucun privilège ne lui a encore été assigné
Il ne peut même pas se connecter à la base !

Il faut donc lui assigner les privilèges nécessaires

Il doit pouvoir se connecter, créer des tables, des vues, des séquences.
Pour lui assigner ces privilèges de niveau système il faut utiliser l'instruction GRANT dont voici la syntaxe

Image non disponible


systeme_privilege représente un privilège système (liste en annexe 1)
role représente un rôle préalablement créé
ALL PRIVILEGES représente tous les privilèges système (à l'exception de SELECT ANY DICTIONARY)
user représente le nom de l'utilisateur qui doit bénéficier du privilège
PUBLIC assigne le privilège à tous les utilisateurs
WITH ADMIN OPTION assigne à l'utilisateur le droit d'assigner, de retirer, de modifier et de supprimer à son tour les privilèges du rôle reçus


Attention avec l'option ALL PRIVILEGES. Celle-ci accorde des droits quasi illimités à l'utilisateur qui en hérite, avec les risques de sécurité que cela implique

Pour que l'utilisateur puisse simplement se connecter à la base, il doit bénéficier du privilège système CREATE SESSION

 
Sélectionnez

GRANT CREATE SESSION TO nom_utilisateur ;

Ensuite il faut lui assigner des droits de création de table

 
Sélectionnez

GRANT CREATE TABLE TO nom_utilisateur ;

Puis les droits de création de vues

 
Sélectionnez

GRANT CREATE VIEW TO nom_utilisateur ;

Et il en va de même pour tous les autres privilèges qui lui sont assignés.

L'ensemble de ces privilèges peuvent être assignés au sein d'une même commande

 
Sélectionnez

GRANT 
   CREATE SESSION
  ,CREATE TABLE
  ,CREATE VIEW 
  TO nom_utilisateur ;

2. Assigner des privilèges objet à un utilisateur

Image non disponible


object_privilege représente un privilège objet (liste en annexe 2)
role représente un rôle préalablement créé
ALL PRIVILEGES représente tous les privilèges assignés à l'exécuteur de l'instruction
column représente le nom de colonne d'une table
schema représente le nom d'un schéma
object représente le nom d'un objet du schéma
directory_name représente le nom d'une directory
JAVA SOURCE représente le nom d'une source Java
JAVA RESOURCE représente le nom d'une ressource Java
WITH GRANT OPTION assigne à l'utilisateur de droit d'assigner à son tour le privilège reçu à un autre utilisateur
(WITH GRANT OPTION s'applique à un utilisateur ou à PUBLIC, mais pas à un rôle)
WITH HIERARCHY OPTION assigne le privilèges aux sous-objets


Pour assigner à l'utilisateur le droit de sélectionner, insérer, modifier et supprimer des lignes dans la table EMP de l'utilisateur SCOTT

 
Sélectionnez

GRANT 
   SELECT
  ,INSERT
  ,UPDATE
  ,DELETE
  ON SCOTT.EMP  
  TO nom_utilisateur ;

Une liste de colonnes peut être indiquée dans l'instruction afin de restreindre davantage les droits sur une table

 
Sélectionnez

GRANT 
  UPDATE ( JOB, MGR )
  ON SCOTT.EMP  
  TO nom_utilisateur ;

L'utilisateur peut modifier la table SCOTT.EMP mais uniquement les colonnes JOB et MGR


Pour pouvoir mettre à jour ou supprimer des lignes d'une table, les privilèges UPDATE ET DELETE ne suffisent pas. Le privilège SELECT est nécessaire


Un utilisateur munis des droits DBA ne pourra pas accorder de privilèges sur un objet qui ne lui appartient pas


Principes généraux appliqués aux privilèges

  • Un utilisateur possède automatiquement tous les privilèges sur un objet qui lui appartient
  • Un utilisateur ne peut pas donner plus de privilèges qu'il n'en a reçu
  • s'il n'a pas reçu le privilège avec l'option WITH GRANT OPTION, un utilisateur ne peux pas assigner à son tour ce même privilège



L'instruction GRANT permet d'assigner un ou plusieurs privilèges système ou objet
Cependant, lorsque la liste des privilèges est importante, cette manière de procéder s'avère rapidement fastidieuse et répétitive

Si l'on prend l'exemple d'un utilisateur travaillant au service comptabilité, il doit recevoir un certain nombre de privilèges sur un certain nombre d'objets
Un autre utilisateur du même service à toutes les chances de se voir assigner des privilèges identiques

C'est pourquoi il est souhaitable de pouvoir regrouper des privilèges identiques dans un même ensemble

3. Créer des rôles et leur assigner des privilèges

Cet ensemble s'appelle un rôle et se créé avec l'instruction CREATE ROLE

Image non disponible


role représente le nom du rôle
NOT IDENTIFIED (défaut) indique qu'aucun mot de passe n'est nécessaire pour activer le rôle
IDENTIFIED BY password indique qu'un mot de passe est nécessaire pour activer le rôle
IDENTIFIED USING package indique qu'un package va être utilisé pour fixer les droits de l'utilisateur
IDENTIFIED EXTERNALLY indique que l'autorisation provient d'une source externe (S.E.)
IDENTIFIED GLOBALLY pour un user GLOBAL géré par exemple par Enterprise Directory Service

Lorsque le rôle est créé, il ne contient rien et il faut l'alimenter à l'aide d'instructions GRANT

 
Sélectionnez

CREATE ROLE comptabilite ;
 
Sélectionnez

GRANT SELECT, INSERT, UPDATE, DELETE ON CPT.FACTURE TO comptabilite ;
GRANT SELECT, INSERT, UPDATE, DELETE ON CPT.LIG_FAC TO comptabilite ;
GRANT SELECT, INSERT, UPDATE, DELETE ON CPT.JOURNAL TO comptabilite ;

Une fois le rôle créé, il peut être assigné à un utilisateur ou à un autre rôle

 
Sélectionnez

GRANT comptabilite TO nom_utilisateur ;



Exemple d'utilisation d'un package pour l'utilisation d'un rôle

 
Sélectionnez

-- CREATION DU ROLE IDENTIFIE PAR LA PROCEDURE 
create role test identified using scott.test_check; 

-- CREATION DU PACKAGE
create or replace procedure test_check 
authid current_user is 
Begin 
-- VERIFICATION DE L'ADRESSE IP DU DEMANDEUR
For i in (select sys_context (‘USERENV', ‘IP_ADDRESS') ip from dual) 
Loop 
	If i.ip !=192.168.12.196' Then
	   -- MAUVAISE IP, SORTIE DE LA PROCEDURE 
	   return; 
	End if; 
	-- IP OK, ON ACTIVE LE ROLE 
	dbms_session.set_role(‘TEST'); 
End loop; 
End; 

-- CREATION D'UNE TABLE DE TEST 
create table sys.test as select * from dual; 
-- ON DONNE LES DROITS AU ROLE 
grant select on sys.test to test; 
-- ON DONNE LE ROLE A SCOTT 
grant test to scott; 
-- ON DESACTIVE LE ROLE POUR SCOTT CAR SINON IL SERAIT ACTIVE PAR DEFAUT,
-- CE QUI NE SERAIT D'AUCUNE UTILITE 
ALTER USER scott DEFAULT ROLE ALL EXCEPT test; 

-- CONNEXION 
SQL> connect scott/tiger 

SQL>select * from sys.test; 

-- DROITS REFUSES
-- SCOTT DEMANDE L'ACTIVATION DU ROLE TEST 
set role test; 

-- SI L'ADRESSE IP EST RECONNUE

SQL>select * from sys.test; 
D 
- 
X 

SQL> select * from session_role; 
ROLE 
-------- 
CONNECT 
RESOURCE 
TEST 



Trois rôles existent en standard

  • CONNECT
  • RESOURCE
  • DBA

Les privilèges système assignés au rôle CONNECT

 
Sélectionnez

SQL> select * from DBA_SYS_PRIVS where grantee='CONNECT' ;

GRANTEE                        PRIVILEGE                                ADM
------------------------------ ---------------------------------------- ---
CONNECT                        CREATE VIEW                              NO
CONNECT                        CREATE TABLE                             NO
CONNECT                        ALTER SESSION                            NO
CONNECT                        CREATE CLUSTER                           NO
CONNECT                        CREATE SESSION                           NO
CONNECT                        CREATE SYNONYM                           NO
CONNECT                        CREATE SEQUENCE                          NO
CONNECT                        CREATE DATABASE LINK                     NO

8 ligne(s) sélectionnée(s).

Ce rôle permet l'ouverture (CREATE SESSION) et la modification (ALTER SESSION) d'une session
La création de tables, vues, clusters, séquences, synonymes et liens de bases de données

L'option ADMIN OPTION positionnée à NO indique que ces privilèges ne peuvent pas être assignés à un autre utilisateur ou rôle

Les privilèges système assignés au rôle RESOURCE

 
Sélectionnez

SQL>  select * from DBA_SYS_PRIVS where grantee='RESOURCE' ;

GRANTEE                        PRIVILEGE                                ADM
------------------------------ ---------------------------------------- ---
RESOURCE                       CREATE TYPE                              NO
RESOURCE                       CREATE TABLE                             NO
RESOURCE                       CREATE CLUSTER                           NO
RESOURCE                       CREATE TRIGGER                           NO
RESOURCE                       CREATE OPERATOR                          NO
RESOURCE                       CREATE SEQUENCE                          NO
RESOURCE                       CREATE INDEXTYPE                         NO
RESOURCE                       CREATE PROCEDURE                         NO

8 ligne(s) sélectionnée(s).

Ce rôle permet de créer des types, tables clusters, opérateurs, séquences, index et procédures

Le rôle RESOURCE accorde un privilège UNLIMITED QUOTA à l'utilisateur est n'est donc à assigner qu'en connaissance de cause

Les privilèges système assignés au rôle DBA

 
Sélectionnez

  1* select * from DBA_SYS_PRIVS where grantee='DBA' order by PRIVILEGE
SQL> /

GRANTEE                        PRIVILEGE                                ADM
------------------------------ ---------------------------------------- ---
DBA                            ADMINISTER DATABASE TRIGGER              YES
DBA                            ADMINISTER RESOURCE MANAGER              YES
DBA                            ALTER ANY CLUSTER                        YES
DBA                            ALTER ANY DIMENSION                      YES
DBA                            ALTER ANY EVALUATION CONTEXT             YES
DBA                            ALTER ANY INDEX                          YES
DBA                            ALTER ANY INDEXTYPE                      YES
DBA                            ALTER ANY LIBRARY                        YES
DBA                            ALTER ANY OUTLINE                        YES
DBA                            ALTER ANY PROCEDURE                      YES
DBA                            ALTER ANY ROLE                           YES
DBA                            ALTER ANY RULE                           YES
DBA                            ALTER ANY RULE SET                       YES
DBA                            ALTER ANY SEQUENCE                       YES
DBA                            ALTER ANY SNAPSHOT                       YES
DBA                            ALTER ANY TABLE                          YES
DBA                            ALTER ANY TRIGGER                        YES
DBA                            ALTER ANY TYPE                           YES
...
...
DBA                            SELECT ANY DICTIONARY                    YES
DBA                            SELECT ANY SEQUENCE                      YES
DBA                            SELECT ANY TABLE                         YES
DBA                            UNDER ANY TABLE                          YES
DBA                            UNDER ANY TYPE                           YES
DBA                            UNDER ANY VIEW                           YES
DBA                            UPDATE ANY TABLE                         YES

139 ligne(s) sélectionnée(s).

La liste des privilèges assignés au rôle DBA est beaucoup plus longue du fait que ce rôle est octroyé aux utilisateurs ayant des droits d'administration de la base

D'une façon générale, il est fortement déconseillé d'utiliser ces rôles standards car ils accordent trop de droits aux utilisateurs

La liste des rôles définis est visible depuis la vue DBA_ROLES

 
Sélectionnez

SQL> select * from DBA_ROLES ;
ROLE                           PASSWORD
------------------------------ --------
CONNECT                        NO
RESOURCE                       NO
DBA                            NO
SELECT_CATALOG_ROLE            NO
EXECUTE_CATALOG_ROLE           NO
DELETE_CATALOG_ROLE            NO
EXP_FULL_DATABASE              NO
IMP_FULL_DATABASE              NO
RECOVERY_CATALOG_OWNER         NO
GATHER_SYSTEM_STATISTICS       NO
LOGSTDBY_ADMINISTRATOR         NO
AQ_ADMINISTRATOR_ROLE          NO
AQ_USER_ROLE                   NO
GLOBAL_AQ_USER_ROLE            GLOBAL
OEM_MONITOR                    NO
HS_ADMIN_ROLE                  NO
WKUSER                         NO
WM_ADMIN_ROLE                  NO
JAVAUSERPRIV                   NO
JAVAIDPRIV                     NO
JAVASYSPRIV                    NO
JAVADEBUGPRIV                  NO
EJBCLIENT                      NO
JAVA_ADMIN                     NO
JAVA_DEPLOY                    NO
CTXAPP                         NO
XDBADMIN                       NO
AUTHENTICATEDUSER              NO
OLAP_DBA                       NO
SALES_HISTORY_ROLE             NO

30 ligne(s) sélectionnée(s).

La liste des privilèges système assignés à un rôle s'obtient en interrogeant les vues DBA_SYS_PRIVS et USER_SYS_PRIVS

 
Sélectionnez

SQL> desc DBA_SYS_PRIVS
 Nom                                       NULL ?   Type
 ----------------------------------------- -------- ------------
 GRANTEE                                   NOT NULL VARCHAR2(30)
 PRIVILEGE                                 NOT NULL VARCHAR2(40)
 ADMIN_OPTION                                       VARCHAR2(3)



La liste des rôles assignés à un utilisateur s'obtient via les vues
DBA_ROLE_PRIVS et USER_ROLE_PRIVS

 
Sélectionnez

SQL> select * from DBA_ROLE_PRIVS where grantee = 'FD' ;

GRANTEE                        GRANTED_ROLE                   ADM DEF
------------------------------ ------------------------------ --- ---
FD                             DBA                            NO  YES
FD                             CONNECT                        NO  YES
FD                             RESOURCE                       NO  YES
FD                             GATHER_SYSTEM_STATISTICS       NO  YES

La liste des privilèges objet assignés à un utilisateur s'obtient en interrogeant les vues
DBA_TAB_PRIVS, ALL_TAB_PRIVS et USER_TAB_PRIVS

 
Sélectionnez

select * from DBA_TAB_PRIVS where grantee = 'FD' ;

GRANTEE	OWNER	TABLE_NAME	GRANTOR	PRIVILEGE		GRANTABLE		HIERARCHY
FD	SYS	ALL_DIRECTORIES	SYS	SELECT		NO		NO
FD	SYS	DBA_DIRECTORIES	SYS	SELECT		NO		NO

La liste des privilèges objet sur les colonnes de tables assignés à un utilisateur s'obtient en interrogeant les vues
DBA_COL_PRIVS, ALL_COL_PRIVS et USER_COL_PRIVS

La liste des rôles assignés à l'utilisateur au cours de sa session est visible via la vue SESSION_ROLES

 
Sélectionnez

SQL>  select * from SESSION_ROLES ;

ROLE
------------------------------
CONNECT
RESOURCE

La liste des privilèges assignés à l'utilisateur au cours de sa session est visible via la vue SESSION_PRIVS

 
Sélectionnez

SQL>  select * from SESSION_PRIVS ;

PRIVILEGE
-----------------------------------
CREATE SESSION
ALTER SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SYNONYM
CREATE VIEW
CREATE SEQUENCE
CREATE DATABASE LINK
CREATE PROCEDURE
CREATE TRIGGER
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE



Les privilèges assignés à un utilisateur via un rôle ne permettent pas la création de vues, de procédures, de fonctions de packages ni de clés étrangères par l'intermédiaire de code PL/SQL dynamique (DBMS_SQL, execute immediate)
Pour créer ces objets via PL/SQL, l'utilisateur doit avoir reçu directement les privilèges requis via l'instruction GRANT


Les vues SESSION_PRIVS et SESSION_ROLES sont utiles pour vérifier les droits acquis au cours de la session
Les rôles par défaut à la connexion pouvant être enrichis avec l'instruction SET ROLE (ou son équivalent PL/SQL : DBMS_SESSION.SET_ROLE)



Un mot de passe peut être ajouté à un rôle pour pouvoir l'activer avec l'instruction ALTER ROLE

Image non disponible


IDENTIFIED permet de définir le système d'identification
NOT IDENTIFIED supprime le système d'identification

Cela permet de se prémunir de l'attribution du rôle par un utilisateur non autorisé qui tenterait de se l'attribuer via l'instruction SET ROLE

4. Activer et désactiver un rôle

Un rôle peut être activé ou désactivé pour un utilisateur avec l'instruction ALTER USER

Image non disponible


DEFAULT ROLE spécifie les rôles assignés par défaut à la connexion
ALL assigne tous les rôles à l'utilisateur
ALL EXCEPT assigne tous les rôles à l'utilisateur à l'exception des rôles désignés
NONE n'assigne aucun rôle à l'utilisteur


Pour activer un rôle qui ne fait pas partie de ceux par défaut il faut utiliser l'instruction SET ROLE

Image non disponible


5. Suppression d'un rôle

Un rôle peut être supprimé en utilisant l'instruction DROP ROLE

 
Sélectionnez

DROP ROLE nom_role ;


Le rôle spécifié ainsi que tous les privilèges qui lui sont associés sont supprimés de la base et également retiré à tous les utilisateurs qui en bénéficiaient

6. Retirer des privilèges système

Les privilèges système qui ont été assignés à des utilisateurs ou à des rôles peuvent être retirés avec l'instruction REVOKE

Image non disponible

Les arguments sont identiques à ceux décrits pour l'instruction GRANT

Pour pouvoir supprimer un privilège, il faut en avoir reçu l'autorisation avec l'option ADMIN OPTION


L'utilisteur disposant du rôle DBA peut révoquer les privilèges CONNECT, RESOURCE, DBA ou tout autre privilège système ou rôle


Retirer des privilèges à un utilisateur ne supprime pas son schéma ni les objets qu'il contient

7. Retirer des privilèges objet

Les privilèges objet qui ont été assignés à des utilisateurs ou à des rôles peuvent être retirés avec l'instruction REVOKE

Image non disponible


CASCADE CONSTRAINTS (applicable uniquement pour révoquer des privilèges REFERENCES) supprime toutes les contraintes d'intégrité référentielles définies par l'utilisateur
FORCE retire le privilège EXECUTE sur les types objet

Pour pouvoir supprimer un privilège, il faut en avoir reçu l'autorisation avec l'option ADMIN OPTION

L'utilisteur disposant du rôle DBA ne peut pas retirer de privilèges qu'il n'a pas accordé

8. Liste des privilèges système

Privilège système Description
CLUSTERS
CREATE CLUSTER Création de clusters dans le schéma
CREATE ANY CLUSTER Création de clusters dans n'importe quel schéma
ALTER ANY CLUSTER Modification de clusters dans n'importe quel schéma
DROP ANY CLUSTER Suppression de clusters dans n'importe quel schéma
CONTEXTS
CREATE ANY CONTEXT Créations de tous context
DROP ANY CONTEXT Suppression de tous context
DATABASE
ALTER DATABASE Modification de la base
ALTER SYSTEM Autorise l'instruction ALTER SYSTEM
AUDIT SYSTEM Autorise les instructions AUDIT sql_statements
DATABASE LINKS:  
CREATE DATABASE LINK Création de liens de base de données dans le schéma
CREATE PUBLIC DATABASE LINK Création de liens de base de données pour le groupe PUBLIC
DROP PUBLIC DATABASE LINK Suppression de liens de base de données pour le groupe PUBLIC
DEBUGGING
DEBUG CONNECT SESSION Connexion dans la session en cours au débugger utilisant le protocol Java Debug Wire Protocol (JDWP)
DEBUG ANY PROCEDURE Deboguage de tout code PL/SQL ou Java dans n'importe quel objet de la base
DIMENSIONS
CREATE DIMENSION Création de dimentions dans le schéma
CREATE ANY DIMENSION Création de dimentions dans n'importe quel schéma
ALTER ANY DIMENSION Modification de dimentions dans n'importe quel schéma
DROP ANY DIMENSION Suppression de dimentions dans n'importe quel schéma
DIRECTORIES
CREATE ANY DIRECTORY Création d'objets DIRECTORY
DROP ANY DIRECTORY Suppression d'objets DIRECTORY
INDEXTYPES
CREATE INDEXTYPE Création d'indextype dans le schéma
CREATE ANY INDEXTYPE Création d'indextype dans n'importe quel schéma
ALTER ANY INDEXTYPE Modification d'indextype dans n'importe quel schéma
DROP ANY INDEXTYPE Suppression d'indextype dans n'importe quel schéma
EXECUTE ANY INDEXTYPE Reférence un indextype dans n'importe quel schéma
INDEXS
CREATE ANY INDEX Création d'index dans n'importe quel schéma
ALTER ANY INDEX Modification d'index dans n'importe quel schéma
DROP ANY INDEX Suppression d'index dans n'importe quel schéma
QUERY REWRITE Autorise la réécriture via une vue matérialisée dans le schéma
GLOBAL QUERY REWRITE Autorise la réécriture via une vue matérialisée dans n'importe quel schéma
LIBRARIES
CREATE LIBRARY Création de librairies de fonctions/procédures externes dans le schéma
CREATE ANY LIBRARY Création de librairies de fonctions/procédures externes dans n'importe quel schéma
DROP ANY LIBRARY Suppression de librairies de fonctions/procédures externes dans n'importe quel schéma
MATERIALIZED VIEWS
CREATE MATERIALIZED VIEW Création de vues matérialisées dans le schéma
CREATE ANY MATERIALIZED VIEW Création de vues matérialisées dans n'importe quel schéma
ALTER ANY MATERIALIZED VIEW Modification de vues matérialisées dans n'importe quel schéma
DROP ANY MATERIALIZED VIEW Suppression de vues matérialisées dans n'importe quel schéma
QUERY REWRITE Autorise la réécriture via une vue matérialisée dans le schéma
GLOBAL QUERY REWRITE Autorise la réécriture via une vue matérialisée dans n'importe quel schéma
ON COMMIT REFRESH Création de vues matérialisées de type refresh-on-commit sur n'importe quelle table
FLASHBACK ANY TABLE Autorise une requête FlashBack sur n'importe quelle table, vue ou vue matérialisée dans n'importe quel schéma
OPERATORS
CREATE OPERATOR Création d'un opérateur dans le schéma
CREATE ANY OPERATOR Création d'un opérateur dans n'importe quel schéma
DROP ANY OPERATOR Suppression d'un opérateur dans n'importe quel schéma
EXECUTE ANY OPERATOR Référence un opérateur dans n'importe quel schéma
OUTLINES
CREATE ANY OUTLINE Création d' outlines publics
ALTER ANY OUTLINE Modification d' outlines publics
DROP ANY OUTLINE Suppression d' outlines publics
PROCEDURES
CREATE PROCEDURE Création de fonctions, procédures et packages dans le schéma
CREATE ANY PROCEDURE Création de fonctions, procédures et packages dans n'importe quel schéma
ALTER ANY PROCEDURE Modification de fonctions, procédures et packages dans n'importe quel schéma
DROP ANY PROCEDURE Suppression de fonctions, procédures et packages dans n'importe quel schéma
EXECUTE ANY PROCEDURE Exécution de fonctions, procédures et package de n'importe quel schéma
PROFILS
CREATE PROFILE Création de profils
ALTER PROFILE Modification de profils
DROP PROFILE Suppression de profils
ROLES
CREATE ROLE Création de rôles
ALTER ANY ROLE Modification de n'importe quel rôle
DROP ANY ROLE Suppression de n'importe quel rôle
GRANT ANY ROLE Assignation de n'importe quel rôle
ROLLBACK SEGMENTS
CREATE ROLLBACK SEGMENT Création de segments de rollback
ALTER ROLLBACK SEGMENT Modification de segments de rollback
DROP ROLLBACK SEGMENT Suppression de segments de rollback
SEQUENCES
CREATE SEQUENCE Création de séquences dans le schéma
CREATE ANY SEQUENCE Création de séquences dans n'importe quel schéma
ALTER ANY SEQUENCE Modification de n'importe quelle séquence
DROP ANY SEQUENCE Suppression de séquences dans n'importe quel schéma
SELECT ANY SEQUENCE Interrogation de séquences dans n'importe quel schéma
SESSIONS
CREATE SESSION Connexion à la base
ALTER RESOURCE COST Application de coûts pour les ressources de la session
ALTER SESSION Permet l'instruction ALTER SESSION
RESTRICTED SESSION Connexion restreinte à l'instance
SYNONYMS
CREATE SYNONYM Création de synonymes dans le schéma
CREATE ANY SYNONYM Création de synonymes dans n'importe quel schéma
CREATE PUBLIC SYNONYM Création de synonymes publics
DROP ANY SYNONYM Suppression de synonymes dans le schéma
DROP PUBLIC SYNONYM Suppression de synonymes publics
TABLES
CREATE TABLE Création de tables dans le schéma
CREATE ANY TABLE Création de tables dans n'importe quel schéma
ALTER ANY TABLE Modification de tables ou vues dans n'importe quel schéma
BACKUP ANY TABLE Autorise l'utilisation de l'outil Export
DELETE ANY TABLE Suppression de lignes des tables de n'importe quel schéma
DROP ANY TABLE Suppression ou troncature de tables dans n'importe quel schéma
INSERT ANY TABLE Insertion de lignes dans les tables de n'importe quel schéma
LOCK ANY TABLE Vérouillage des tables ou vues de n'importe quel schéma
SELECT ANY TABLE Interrogation des tables, vues ou vues matérialisées de n'importe quel schéma
FLASHBACK ANY TABLE Autorise les requêtes FlashBack sur n'importe quelle table de n'importe quel schéma
UPDATE ANY TABLE Mise à jour de lignes dans les tables de n'importe quel schéma
TABLESPACES
CREATE TABLESPACE Création de tablespace
ALTER TABLESPACE Modification de tablespace
DROP TABLESPACE Suppression de tablespace
MANAGE TABLESPACE Autorise la mise en ligne/hors ligne des tablespace
UNLIMITED TABLESPACE Quota illimité sur le tablespace
TRIGGERS
CREATE TRIGGER Création de déclencheurs dans le schéma
CREATE ANY TRIGGER Création de déclencheurs dans n'importe quel schéma
ALTER ANY TRIGGER Activation, désactivation, compilation de déclencheurs dans n'importe quel schéma
DROP ANY TRIGGER Suppression de déclencheurs dans n'importe quel schéma
ADMINISTER DATABASE TRIGGER Création de déclencheurs de base de données
TYPES
CREATE TYPE Création d'objets et de corps d'objets dans le schéma
CREATE ANY TYPE Création d'objets et de corps d'objets dans n'importe quel schéma
ALTER ANY TYPE Modification d'objets et de corps d'objets dans n'importe quel schéma
DROP ANY TYPE Suppression d'objets et de corps d'objets dans n'importe quel schéma
EXECUTE ANY TYPE Utilisation d'objets et de corps d'objets dans n'importe quel schéma
UNDER ANY TYPE Création de sous-types sous des types non finaux
VIEWS
CREATE VIEW Création de vues dans le schéma
CREATE ANY VIEW Création de vues dans n'importe quel schéma
DROP ANY VIEW Suppression de vues dans n'importe quel schéma
UNDER ANY VIEW Création de sous-vues sous n'importe quelle vue objet
Autres
ANALYZE ANY Analyse de tables, clusters et index dans n'importe quel schéma
AUDIT ANY Audit de n'importe quel objet de n'importe quel schéma
COMMENT ANY TABLE Pose de commentaires sur les tables et vues de n'importe quel schéma
FORCE ANY TRANSACTION Force le commit ou rollback de n'importe quelle transaction distibuée douteuse
FORCE TRANSACTION Force le commit ou rollback de n'importe quelle transaction distibuée douteuse
GRANT ANY OBJECT PRIVILEGE Assigne n'importe quel privilège objet
GRANT ANY PRIVILEGE Assigne n'importe quel privilège système
RESUMABLE Active l'allocation d'espace pour les instructions résumables
SELECT ANY DICTIONARY Interrogation de n'importe quel objet dans le dictionnaire du schéma SYS
SYSDBA Autorise les opérations STRTUP et SHUTDOWN
ALTER DATABASE: open, mount, back up, ou changement du jeu de caractères
CREATE DATABASE
ARCHIVELOG et RECOVERY
CREATE SPFILE
Inclue le privilège RESTRICTED SESSION
SYSOPER Autorise les opérations STARTUP et SHUTDOWN
ALTER DATABASE OPEN | MOUNT | BACKUP
ARCHIVELOG et RECOVERY
CREATE SPFILE
Inclue le privilège RESTRICTED SESSION

9. Liste des privilèges objet

Privilège objet Description
TABLES
ALTER Modifier la définition d'une table
DELETE Supprimer des lignes de la table
DEBUG Accès via un debugger
INDEX Création d'un index sur la table
INSERT Insertion de lignes dans la table
REFERENCES Création d'une contrainte d'intégrité
SELECT Interrogation d'une table
UPDATE Mise à jour de la table
VIEWS
DEBUG Accès via un debugger
DELETE Suppression de lignes
INSERT Insertion de lignes
REFERENCES Définition de contrainte d'intégrité
SELECT Interrogation de la vue
UNDER Création d'une sous-vue
UPDATE Mise à jour de la vue
SEQUENCES
ALTER Modification de la définition d'une séquence
SELECT Interrogation d'une séquence
PROCEDURES
DEBUG Accès via un debugger
EXECUTE Compilation, exécution d'une procédure, d'une fonction ou d'un package
MATERIALIZED VIEWS
ON COMMIT REFRESH Création d'une vue matérialisée de type refresh-on-commit sur la table
QUERY REWRITE Vue matérialisée en query rewrite
SELECT Interrogation d'une vue matérialisée
DIRECTORIES
READ Droits de lecture sur le répertoire
WRITE Droits d'écriture sur le répertoire
LIBRARIES
EXECUTE Utilisation d'un objet et de ses méthodes
OBJECT TYPES
DEBUG Accès via un debugger
EXECUTE Utilisation d'un objet et de ses méthodes
UNDER Création d'un sous-type
INDEXTYPES
EXECUTE Utilisation d'un indextype
OPERATORS
EXECUTE Utilisation d'un opérateur

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Le guide Oracle par Orafrance, Helyos et SheikYerbouti