🏠 » Datenbank Grundlagen » DBMS » Datenbanksicherheit » Datenbankrollen Übersicht

Server- und Datenbankrollen im Überblick

Alle großen Datenbanksysteme bieten die Möglichkeit, Benutzerrechte zu verwalten. Sie haben eine ähnliche Funktion, wie beispielsweise die Benutzergruppen in einem Betriebssystem.

Einer einzelnen Datenbankrolle werden Nutzungsrechte für die entsprechende Datenbank zugeteilt. Aufgrund dieser Funktionalität kann genau entschieden werden, welcher Benutzer welche Rechte auf der Datenbank besitzt.

Es gibt unterschiedliche Rechte aus verschiedenen Bereichen, die einer Datenbankrolle zugeteilt werden können. Dazu gehören zum einen Lese- und Schreibrechte auf der Datenbank und zum anderen administrative Rechte, die für eine Datenbank, deren Felder oder für einzelne Funktionen vergeben werden können.

Da nicht alle Nutzer dieselben Rechte benötigen, kann durch die Verteilung von Datenbankrollen jedem Nutzer eine entsprechende Rolle mit den passenden Funktionalitäten zugeteilt werden. Oftmals ist es innerhalb eines Unternehmens wichtig, die Inhalte in einer Datenbank zu trennen, sodass nicht jeder Nutzer auf jeden Inhalt zugreifen kann.

Dies kann durch die Vergabe von Datenbankrollen sichergestellt werden. Innerhalb des Systems wird zusätzlich zwischen festen und benutzerdefinierten Datenbankrollen unterschieden. Die festen Datenbankrollen sind innerhalb des Datenbanksystems vordefiniert. Die benutzerdefinierten Rollen können mit entsprechenden Rechten selbst angelegt werden.

Datenbankrolle - Administrator im Überblick

Mitglieder der vordefinierten Datenbankrolleolle Administrator besitzen alle Rechte und dürfen alles ausführen. Bei dieser Rolle handelt es sich um eine Serverrolle. Sie wird also serverseitig vergeben. Mitglieder können alle möglichen Aktivitäten auf dem Datenbankserver durchführen.

Die Rechte sind nicht auf eine bestimmte Datenbank, sondern auf den gesamten Server beschränkt. Ein Benutzer, der Mitglied der Administrator-Rolle ist, wird auch dem Datenbankbenutzerkonto zugeteilt. Damit besitzen sie die Rechte, alle verfügbaren Aktivitäten auf einer speziellen Datenbank durchzuführen.

Vorteile und Nachteile der Datenbankrolle Administrator

Mit der Datenbankrolle Administrator sind sowohl Vorteile als auch Nachteile in einer Datenbank vorhanden.

Vorteile der Datenbankrolle Administrator

Folgende Vorteile sind mit der Datenbankrolle Administrator in einer Datenbank verbunden:

  • Vollzugriff auf die Datenbank
  • Kann alle anderen Datenbankrollen maßregeln
  • Gut als Verwaltungsrolle geeignet

Nachteile der Datenbankrolle Administrator

Folgende Nachteile sind mit der Datenbankrolle Administrator in einer Datenbank verbunden:

  • Sicherheitsrisiko für die Existenz der Datenbank bei falscher Vergabe
  • Rechte können nicht entzogen werden
  • Datensicherheit und Vertraulichkeit sollten vor der Vergabe sichergestellt sein

Datenbankrolle - Datenbankbesitzer im Überblick

Die Rolle des Datenbankbesitzers ist eine vordefinierte Datenbankrolle. Mitglieder dieser Rolle sind die Besitzer der Datenbank. Sie haben die Berechtigung, die Mitgliedschaft anderer fester Datenbankrollen zu ändern.

Zusätzlich können Mitglieder der Datenbankrolle alle möglichen Konfigurationsaktivitäten einer Datenbank steuern und ausführen. Dazu gehören ebenfalls Wartungsaktivitäten. Außerdem sind Mitglieder dieser Rolle dazu berechtigt die Datenbank auf dem Server zu löschen und sie besitzen alle Rechte in der Datenbank.

Vorteile und Nachteile der Datenbankrolle Datenbankbesitzer

Mit der Datenbankrolle Datenbankbesitzer sind sowohl Vorteile als auch Nachteile in einer Datenbank vorhanden.

Vorteile der Datenbankrolle Datenbankbesitzer

Folgende Vorteile sind mit der Datenbankrolle Datenbankbesitzer in einer Datenbank verbunden:

  • Alle Rechte auf der Datenbank vorhanden
  • Zugriff auf Konfiguration der Datenbank möglich
  • Geeignet als Verwaltungsrolle

Nachteile der Datenbankrolle Datenbankbesitzer

Folgende Nachteile sind mit der Datenbankrolle Datenbankbesitzer in einer Datenbank verbunden:

  • Mitglieder können Aufbau der Datenbank ändern
  • Mitglieder haben Einsicht in alle Daten der Datenbank
  • Rechte können nur schwer wieder entzogen werden

Datenbankrolle - Datenbanknutzer im Überblick

Der normale Datenbanknutzer kann meistens entweder Daten aus der Datenbank lesen, Daten in die Datenbank schreiben oder beides. Es ist nicht möglich, etwas an dem Schema oder der Konfiguration der Datenbank zu ändern.

Dafür werden die Datenbankrollen Lesen und Schreiben verwendet. Der Leser kann Daten aus der betreffenden Datenbank abfragen. Mitglieder der Rolle Schreiben können Daten in die Datenbank einfügen, verändern und löschen.

Vorteile und Nachteile der Datenbankrolle Datenbanknutzer

Mit der Datenbankrolle Datenbanknutzer sind sowohl Vorteile als auch Nachteile in einer Datenbank vorhanden.

Vorteile der Datenbankrolle Datenbanknutzer

Folgende Vorteile sind mit der Datenbankrolle Datenbanknutzer in einer Datenbank verbunden:

  • Geringes Sicherheitsrisiko
  • Einfache Verwendung der Rollen
  • Möglichkeit durch zusätzliche Rollenmitgliedschaft Lese- oder Schreibzugriff einzuschränken

Nachteile der Datenbankrolle Datenbankbesitzer

Folgende Nachteile sind mit der Datenbankrolle Datenbanknutzer in einer Datenbank verbunden:

  • Eingeschränkte Zugriffsrechte
  • Beim Schreibzugriff können Daten aus der Datenbank gelöscht werden
  • Beim Lesezugriff werden Berechtigungen auf allen Benutzertabellen vergeben

Datenbankbenutzer als Service Account im Überblick

In jeder Datenbank, auf die ein Nutzer (berechtigt) zugreifen möchte, muss ein Benutzerkonto für ihn eingerichtet sein. Dieser Mechanismus verhindert, dass ein Nutzer, der einmal Zugriff auf den Server besitzt, direkt die Berechtigungen erhält, auf alle Datenbanken gleichermaßen zuzugreifen.

Es kann jedoch auf einer Datenbank ein Service Account (Benutzerkonto) eingerichtet werden. Ist diese Art des Datenbanknutzers in der Datenbank aktiviert, benötigt der Nutzer, der auf diese Datenbank zugreifen möchte, kein eigenes Benutzerkonto.

Nutzer, die über den Service Account zugreifen, besitzen genau die Rechte, die ihm vorher zugeteilt wurden. Um es als Pseudo-User zu verwenden, ist es sinnvoll, dem Konto nur die nötigsten Berechtigungen zu erteilen, da alle Nutzer, welche ohne Benutzerkonto auf diese Datenbank zugreifen, den Service Account verwenden können.

Weiterführende Artikel