AD 보안 그룹 구성원 자격 권한 활용 - Amazon Aurora

AD 보안 그룹 구성원 자격 권한 활용

서버 수준 권한 상속

지정된 AD 보안 그룹의 구성원인 AD 사용자는 매핑된 Windows 그룹 로그인에 부여된 서버 수준 권한을 상속합니다. Babelfish의 sysadmin 서버 역할에 대한 구성원 자격이 부여된 accounts-group AD 보안 그룹을 예로 들어 보겠습니다. 다음 명령을 사용하여 서버 수준 권한을 상속할 수 있습니다.

1> ALTER SERVER ROLE sysadmin ADD MEMBER [corp\accounts-group];

따라서 accounts-group AD 보안 그룹의 구성원인 Active Directory 사용자는 sysadmin 역할과 관련된 서버 수준 권한을 상속받게 됩니다. 즉, accounts-group의 구성원인 corp\user1과 같은 사용자도 이제 Babelfish 내에서 서버 수준 작업을 수행할 수 있습니다.

참고

서버 수준 DDL을 수행하려면 개별 AD 사용자에 대한 Windows 로그인이 있어야 합니다. 자세한 내용은 제한 사항 단원을 참조하십시오.

데이터베이스 수준 권한 상속

데이터베이스 수준 권한을 부여하려면 Windows 그룹 로그인으로 데이터베이스 사용자를 만들고 매핑해야 합니다. 지정된 AD 보안 그룹의 구성원인 AD 사용자는 해당 데이터베이스 사용자에게 부여된 데이터베이스 수준 권한을 상속합니다. 다음 예제에서는 Windows 그룹 [corp\accounts-group]에 대해 데이터베이스 수준 권한이 할당되는 방식을 확인할 수 있습니다.

1> CREATE DATABASE db1; 2> GO 1> USE db1; 2> GO Changed database context to 'db1'. 1> CREATE TABLE dbo.t1(a int); 2> GO

Windows 그룹 로그인 [corp\accounts-group]을 위한 데이터베이스 사용자 [corp\sales-group]을 생성합니다. 이 단계를 수행하려면 sysadmin의 구성원인 로그인을 사용하여 TDS 엔드포인트를 통해 연결하세요.

1> CREATE USER [corp\accounts-group] FOR LOGIN [corp\accounts-group]; 2> GO

이제 AD 사용자 user1으로 연결하여 표 t1의 액세스 권한을 확인합니다. 아직 데이터베이스 수준 권한을 부여하지 않았으므로, 권한 거부 오류가 발생합니다.

1> SELECT * FROM dbo.t1; 2> GO Msg 33557097, Level 16, State 1, Server db-inst, Line 1 permission denied for table t1

데이터베이스 사용자 [corp\accounts-group]에게 표 t1의 SELECT 권한을 부여하세요. 이 단계를 수행하려면 sysadmin의 구성원인 로그인을 사용하여 TDS 엔드포인트를 통해 연결하세요.

1> GRANT SELECT ON dbo.t1 TO [corp\accounts-group]; 2> GO

AD 사용자 user1으로 연결하여 액세스를 검증합니다.

1> SELECT * FROM dbo.t1; 2> GO a ----------- (0 rows affected)