用户权限说明

OceanBase 迁移服务(OceanBase Migration Service,OMS)迁移数据库前,请确保所有数据源已创建一个数据库用户作为迁移用户或同步用户。该用户需要具备源端和目标端数据源对应的权限。

OceanBase 数据库 MySQL 租户权限说明

作为源端的用户权限赋予说明

同步 OceanBase 数据库 MySQL 租户的数据至 Kafka、AnalyticDB MySQL 和 DataHub 时,源端同步用户需要的权限:

  • 对源端业务数据库具备 SELECT 权限。

  • 对源端租户的 OceanBase、Information_schema 和 MySQL 数据库的 SELECT 权限。

  • 对于 VPC 内 OceanBase 数据库,如果是增量同步场景,您需要在 OceanBase 数据库的 sys 租户下创建一个用户,并赋予其 select on *.* 权限。

迁移 OceanBase 数据库的数据至 OceanBase 数据库同类型租户时,源端不使用数据源账号,默认使用 drc_user 和 drc_password 账号:

  • 如果是 VPC 内 OceanBase 数据库,当选择需要增量同步,需要在 sys 租户下创建该账号并具备 SELECT 权限,同时需要在同步的业务租户下创建该账号并具备 SELECT 权限。

  • 当选择需要全量同步,需要在同步的业务租户下创建该账号,且具备 SELECT 权限。

作为目标端的用户权限赋予说明

迁移 MySQL 数据库的数据至 OceanBase 数据库 MySQL 租户时,目标端迁移用户的权限如下:

  • 对业务数据库具备 SELECTINSERTUPDATEDELETE 权限。

  • 对 OceanBase 数据库和 MySQL 数据库具备 SELECT 权限。

OceanBase 数据库 Oracle 租户权限说明

作为源端的用户权限赋予说明

同步 OceanBase 数据库 Oracle 租户的数据至 kafka 和 DataHub 时:

  • 对于 OceanBase 数据库 2.2.70 之前的版本,源端同步用户需要的权限为 GRANT SELECT ON *.* TO <user_name>;

  • 对于 OceanBase 数据库 2.2.70 及以上的版本,源端同步用户需要的权限为 GRANT DBA TO <user_name>;

作为目标端的用户权限赋予说明

迁移 Oracle 数据库的数据至 OceanBase 数据库 Oracle 租户时,目标端的版本不同,权限使用也不同。

目标端版本

权限说明

2.2.5 或 2.2.3 版本

您可以通过以下两种方式赋予迁移用户权限:

  • 方式一

    • 执行下述语句,授予迁移用户所有权限。该方式较为简单,但赋予的权限较大。

      GRANT ALL PRIVILEGES ON *.* TO <user_name>;
  • 方式二

    1. 如果是 VPC 内 OceanBase 数据库,需要赋予迁移用户对 sys 租户下系统视图的 SELECT 权限。

      GRANT SELECT ON SYS.* TO <user_name>;
    2. 赋予迁移用户对业务库表的各类权限。如果存在多个业务库,请分别进行授权。

      GRANT SELECT,UPDATE,DELETE ON <db_name>.* TO <user_name>;
      GRANT CREATE,INDEX,ALTER ON <db_name>.* TO <user_name>;

2.2.7 及以上版本

您可以通过以下两种方式赋予迁移用户权限:

  • 方式一

    执行下述语句,操作较为简单,但赋予用户的权限较大。

    GRANT DBA TO <user_name>;
  • 方式二

    赋予用户对业务库表的各类权限。如果存在多个业务库,请分别授权。

    GRANT CONNECT TO <user_name>;
    GRANT CREATE SESSION, ALTER SESSION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <user_name>;
    GRANT CREATE ANY TABLE,INSERT ANY TABLE,UPDATE ANY TABLE,DELETE ANY TABLE TO <user_name>;

Oracle 数据库权限说明

创建用户后,不同版本的 Oracle 数据库及用户角色所需要赋予的权限说明如下。

本文提供的是非最小化权限说明,需要赋予迁移用户 SELECT ANY TRANSACTIONSELECT ANY TABLESELECT ANY DICTIONARY 权限。以 Oracle 数据库作为源端时,您可以对 ANY 进行细化,赋予迁移用户最小化权限以提高安全性。详情请参见 源端 Oracle 数据库的最小化权限

12C 以下 DBA 用户权限赋予说明

如果用户的环境允许为迁移用户赋予数据库管理员(DBA)角色,且 Oracle 数据库的版本为 12C 之前的版本,则只需要执行下述语句,为迁移用户赋予 DBA 权限即可。

GRANT DBA TO <user_name>;

12C 以下非 DBA 用户权限赋予说明

如果用户环境对迁移用户的授权较为谨慎,且 Oracle 数据库的版本为 12C 之前的版本,操作如下:

  1. 授予 CONNECT 权限。

    GRANT CONNECT TO <user_name>;
  2. 赋予迁移用户 CREATE SESSIONALTER SESSIONSELECT ANY TRANSACTIONSELECT ANY TABLESELECT ANY DICTIONARY 权限。

    GRANT CREATE SESSION, ALTER SESSION, 
    SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <user_name>;
  3. 赋予迁移用户 LOGMINER 相关权限。

    GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <user_name>;
  4. 赋予迁移用户 CREATE TABLEUNLIMITED TABLESPACE 权限。

    GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <user_name>;
  5. 如果迁移的 Schema 名称和 user_name 一致,执行下述语句。

    GRANT CREATE SEQUENCE,CREATE VIEW TO <user_name>;

    如果迁移的 Schema 名称和 user_name 不一致,执行下述语句。

    GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE,
    DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE,
    CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <user_name>;

    您也可以执行下述语句。

    GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE,
    DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE,
    CREATE ANY VIEW,DROP ANY VIEW TO <user_name>;
    # 加上需要迁移至 Oracle 数据库指定的表。
    GRANT DELETE, INSERT, UPDATE ON <库名>.<表名> TO <user_name>;

12C 及以上 DBA 用户权限赋予说明

如果用户的环境允许为迁移用户赋予数据库管理员(DBA)角色,且 Oracle 数据库的版本为 12C 及以上的版本,则需要区分是否使用 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)。

  • 非 PDB

    1. 执行下述授权语句,为迁移用户赋予 DBA 权限。

      GRANT DBA TO <user_name>;
    2. 执行下述语句,赋予迁移用户对 SYS.USER$ 表的读权限。

      GRANT SELECT ON SYS.USER$ TO <user_name>;
  • PDB

    如果 Oracle 数据库迁移至 OceanBase Oracle 数据库的源端为 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)时,拉取 PDB 的账号需要是 Common 用户。

    1. 执行下述语句,切换至 CDB$ROOT。

      ALTER SESSION SET CONTAINER=CDB$ROOT;

      每个 Common 用户都可以连接到 Root 容器(被命名为 CDB$ROOT)、任何有连接权限的 PDB,并执行相关操作。

    2. 执行下述语句,赋予迁移用户 DBA 权限。

      GRANT DBA TO C##XXX CONTAINER=ALL;
    3. 执行下述语句,赋予迁移用户对 SYS.USER$ 表的读权限。

      GRANT SELECT ON SYS.USER$ TO C##XXX CONTAINER=ALL;

12C 及以上非 DBA 用户权限赋予说明

如果用户环境对迁移用户的授权较为谨慎,且 Oracle 数据库的版本为 12C 及以上的版本,操作如下:

  • 非 PDB

    1. 授予 CONNECT 权限。

      GRANT CONNECT TO <user_name>;
    2. 执行下述语句,赋予迁移用户对 SYS.USER$ 表的读权限。

      GRANT SELECT ON SYS.USER$ TO <user_name>;
    3. 赋予迁移用户 CREATE SESSIONALTER SESSIONSELECT ANY TRANSACTIONSELECT ANY TABLESELECT ANY DICTIONARY 权限。

      GRANT CREATE SESSION, ALTER SESSION, SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <user_name>;
    4. 赋予迁移用户 LOGMINER 相关权限。

      GRANT LOGMINING TO <user_name>;
      GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <user_name>;
    5. 赋予迁移用户 CREATE TABLEUNLIMITED TABLESPACE 权限。

      GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <user_name>;
    6. 如果迁移的 Schema 名称和 user_name 一致,执行下述语句。

      GRANT CREATE SEQUENCE,CREATE VIEW TO <user_name>;

      如果迁移的 Schema 名称和 user_name 不一致,执行下述语句。

      GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE,
      DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE,
      CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <user_name>;
  • PDB

    如果 Oracle 数据库迁移至 OceanBase Oracle 数据库的源端为 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)时,拉取 PDB 的账号需要是 Common 用户。

    1. 授予 CONNECT 权限。

      GRANT CONNECT TO <C##XXX> CONTAINER=ALL;
    2. 执行下述语句,赋予迁移用户对 SYS.USER$ 表的读权限。

      GRANT SELECT ON SYS.USER$ TO <C##XXX> CONTAINER=ALL;
    3. 赋予迁移用户 CREATE SESSIONALTER SESSIONSELECT ANY TRANSACTIONSELECT ANY TABLESELECT ANY DICTIONARY 权限。

      GRANT CREATE SESSION, ALTER SESSION, 
      SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <C##XXX> CONTAINER=ALL;
    4. 赋予迁移用户 LOGMINER 相关权限。

      GRANT LOGMINING TO <C##XXX> CONTAINER=ALL;
      GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <C##XXX> CONTAINER=ALL;
    5. 赋予迁移用户 CREATE TABLEUNLIMITED TABLESPACE 权限。

      GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <C##XXX> CONTAINER=ALL;
    6. 如果迁移的 Schema 名称和 C##XXX 一致,执行下述语句。

      GRANT CREATE SEQUENCE,CREATE VIEW TO <C##XXX> CONTAINER=ALL;

      如果迁移的 Schema 名称和 C##XXX 不一致,执行下述语句。

      GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE,
      DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE,
      CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <C##XXX> CONTAINER=ALL;

MySQL 数据库权限说明

  • 数据库用户需要对待迁移的数据库具备读权限。

    GRANT SELECT ON <迁移库>.*;
  • MySQL 增量同步时,数据库用户需要具备的权限。

    GRANT REPLICATION CLIENT, REPLICATION SLAVE ON *.* TO <user_name> WITH GRANT OPTION;
  • 同步增量日志拉取用户需要具备 SELECT *.* 权限。

    GRANT SELECT ON *.*;

Kafka 数据源权限说明

如果 Kafka 存在鉴权,请参见 创建数据源(Kafka)

Kafka 用户需要具备进行以下操作的权限:

  • 创建和查看 Topic

  • 查看 Topic Partition 信息

  • 写入 Record

  • 读取 Record

ADB 数据源权限说明

AnalyticDB for MySQL(简称 ADB)支持针对不同的权限粒度授予不同的权限,以达到权限控制的目的。详情请参见 权限模型

ADB 支持以下四个粒度的权限控制:

  • GLOBAL:集群级别

  • DB:数据库级别

  • TABLE:表级别

  • COLUMN:列(字段)级别

DataHub 数据源权限说明

DataHub 根据 endpoint/ak/sk 进行鉴权,详情请参见 DataHub 权限控制

DataHub 用户需要具备 GetProjectCreateTopicListTopicGetTopicListShardPutRecordsGetRecordsGetCursor 权限。

阿里云首页 云数据库 OceanBase 版 相关技术圈