Rôles et privilèges utilisateur ADMIN

Dans Autonomous Database, l'administrateur prédéfini est ADMIN. Ce compte dispose de privilèges permettant de gérer les utilisateurs et la base de données.

Il est recommandé d'utiliser l'utilisateur ADMIN pour créer des comptes et accorder des privilèges aux utilisateurs afin qu'ils puissent se connecter à la base de données. Pour plus d'informations, reportez-vous à Gestion des utilisateurs.

Pour maintenir la sécurité, le privilège SYSDBA n'est pas accordé à l'utilisateur ADMIN ; un nombre limité de privilèges système sont accordés à ADMIN. La requête suivante affiche les privilèges accordés à SYS qui ne sont pas accordés à l'utilisateur ADMIN :

SELECT privilege FROM dba_sys_privs WHERE grantee='SYS' MINUS
    SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;

L'utilisateur ADMIN accepte toutes les restrictions

Le privilège système GRANT ANY PRIVILEGE n'est pas disponible pour l'utilisateur ADMIN. Utilisez plutôt GRANT ANY OBJECT PRIVILEGE, GRANT ANY SCHEMA PRIVILEGE ou GRANT ANY ROLE.

Privilège système Description
GRANT ANY OBJECT PRIVILEGE

Cela permet d'accorder des privilèges objet sur les objets, y compris ceux appartenant à SYS, à quelques exceptions près. Dans Autonomous Database, GRANT ANY OBJECT PRIVILEGE peut uniquement être exercé sur des schémas utilisateur créés par le client et ne peut pas être exercé sur un schéma géré par Oracle tel que SYSTEM ou SYS, et bien d'autres, pour assurer la sécurité.

Les erreurs ORA-1031/942 indiquent qu'un privilège ne peut pas être accordé par ADMIN.

GRANT ANY PRIVILEGE

Cela permet d'accorder tous les privilèges système en excluant les privilèges d'administration tels que SYSDBA. L'utilisateur ADMIN ne dispose pas des privilèges SYSDBA (à la place, une liste de privilèges système est accordée). Utilisez la requête suivante pour répertorier les privilèges ADMIN :

SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;
GRANT ANY ROLE

Cela permet d'accorder des rôles aux utilisateurs et aux rôles utilisateur. Dans Autonomous Database, GRANT ANY ROLE peut uniquement être exercé par rapport aux rôles créés par le client. Les privilèges qui NE sont PAS accordés avec WITH ADMIN OPTION à l'utilisateur ADMIN, tels que DBA, EXP_FULL_DATABASE et autres, ne peuvent pas être accordés par l'utilisateur ADMIN.

Les erreurs ORA-1031 indiquent qu'une annotation ne peut pas être accordée par ADMIN.

Restrictions relatives aux rôles et aux vues pour le dictionnaire de données

L'octroi de SELECT ANY DICTIONARY ne permet pas d'accéder aux schémas SYS/SYSTEM. Vous pouvez accorder des privilèges SELECT_CATALOG_ROLE pour autoriser SELECT sur toutes les vues du dictionnaire de données, si nécessaire.