用户权限说明
OceanBase 迁移服务(OceanBase Migration Service,OMS)迁移数据库前,请确保所有数据源已创建一个数据库用户作为迁移用户或同步用户。该用户需要具备源端和目标端数据源对应的权限。
OceanBase 数据库 MySQL 租户权限说明
作为源端的用户权限赋予说明
同步 OceanBase 数据库 MySQL 租户的数据至 Kafka、AnalyticDB MySQL 和 DataHub 时,源端同步用户需要的权限:
对源端业务数据库具备
SELECT
权限。对源端租户的 OceanBase、Information_schema 和 MySQL 数据库的
SELECT
权限。对于 VPC 内 OceanBase 数据库,如果是增量同步场景,您需要在 OceanBase 数据库的 sys 租户下创建一个用户,并赋予其
select on *.*
权限。
迁移 OceanBase 数据库的数据至 OceanBase 数据库同类型租户时,源端不使用数据源账号,默认使用 drc_user 和 drc_password 账号:
如果是 VPC 内 OceanBase 数据库,当选择需要增量同步,需要在 sys 租户下创建该账号并具备
SELECT
权限,同时需要在同步的业务租户下创建该账号并具备SELECT
权限。当选择需要全量同步,需要在同步的业务租户下创建该账号,且具备
SELECT
权限。
作为目标端的用户权限赋予说明
迁移 MySQL 数据库的数据至 OceanBase 数据库 MySQL 租户时,目标端迁移用户的权限如下:
对业务数据库具备
SELECT
、INSERT
、UPDATE
和DELETE
权限。对 OceanBase 数据库和 MySQL 数据库具备
SELECT
权限。
OceanBase 数据库 Oracle 租户权限说明
作为源端的用户权限赋予说明
同步 OceanBase 数据库 Oracle 租户的数据至 kafka 和 DataHub 时:
对于 OceanBase 数据库 2.2.70 之前的版本,源端同步用户需要的权限为
GRANT SELECT ON *.* TO <user_name>;
。对于 OceanBase 数据库 2.2.70 及以上的版本,源端同步用户需要的权限为
GRANT DBA TO <user_name>;
。
作为目标端的用户权限赋予说明
迁移 Oracle 数据库的数据至 OceanBase 数据库 Oracle 租户时,目标端的版本不同,权限使用也不同。
目标端版本 | 权限说明 |
2.2.5 或 2.2.3 版本 | 您可以通过以下两种方式赋予迁移用户权限:
|
2.2.7 及以上版本 | 您可以通过以下两种方式赋予迁移用户权限:
|
Oracle 数据库权限说明
创建用户后,不同版本的 Oracle 数据库及用户角色所需要赋予的权限说明如下。
本文提供的是非最小化权限说明,需要赋予迁移用户 SELECT ANY TRANSACTION
、SELECT ANY TABLE
和 SELECT ANY DICTIONARY
权限。以 Oracle 数据库作为源端时,您可以对 ANY 进行细化,赋予迁移用户最小化权限以提高安全性。详情请参见 源端 Oracle 数据库的最小化权限。
12C 以下 DBA 用户权限赋予说明
如果用户的环境允许为迁移用户赋予数据库管理员(DBA)角色,且 Oracle 数据库的版本为 12C 之前的版本,则只需要执行下述语句,为迁移用户赋予 DBA 权限即可。
GRANT DBA TO <user_name>;
12C 以下非 DBA 用户权限赋予说明
如果用户环境对迁移用户的授权较为谨慎,且 Oracle 数据库的版本为 12C 之前的版本,操作如下:
授予 CONNECT 权限。
GRANT CONNECT TO <user_name>;
赋予迁移用户
CREATE SESSION
、ALTER SESSION
、SELECT ANY TRANSACTION
、SELECT ANY TABLE
和SELECT ANY DICTIONARY
权限。GRANT CREATE SESSION, ALTER SESSION, SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <user_name>;
赋予迁移用户
LOGMINER
相关权限。GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <user_name>;
赋予迁移用户
CREATE TABLE
和UNLIMITED TABLESPACE
权限。GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <user_name>;
如果迁移的 Schema 名称和
user_name
一致,执行下述语句。GRANT CREATE SEQUENCE,CREATE VIEW TO <user_name>;
如果迁移的 Schema 名称和
user_name
不一致,执行下述语句。GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE, DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE, CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <user_name>;
您也可以执行下述语句。
GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE, DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE, CREATE ANY VIEW,DROP ANY VIEW TO <user_name>; # 加上需要迁移至 Oracle 数据库指定的表。 GRANT DELETE, INSERT, UPDATE ON <库名>.<表名> TO <user_name>;
12C 及以上 DBA 用户权限赋予说明
如果用户的环境允许为迁移用户赋予数据库管理员(DBA)角色,且 Oracle 数据库的版本为 12C 及以上的版本,则需要区分是否使用 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)。
非 PDB
执行下述授权语句,为迁移用户赋予 DBA 权限。
GRANT DBA TO <user_name>;
执行下述语句,赋予迁移用户对
SYS.USER$
表的读权限。GRANT SELECT ON SYS.USER$ TO <user_name>;
PDB
如果 Oracle 数据库迁移至 OceanBase Oracle 数据库的源端为 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)时,拉取 PDB 的账号需要是 Common 用户。
执行下述语句,切换至 CDB$ROOT。
ALTER SESSION SET CONTAINER=CDB$ROOT;
每个 Common 用户都可以连接到 Root 容器(被命名为
CDB$ROOT
)、任何有连接权限的 PDB,并执行相关操作。执行下述语句,赋予迁移用户 DBA 权限。
GRANT DBA TO C##XXX CONTAINER=ALL;
执行下述语句,赋予迁移用户对
SYS.USER$
表的读权限。GRANT SELECT ON SYS.USER$ TO C##XXX CONTAINER=ALL;
12C 及以上非 DBA 用户权限赋予说明
如果用户环境对迁移用户的授权较为谨慎,且 Oracle 数据库的版本为 12C 及以上的版本,操作如下:
非 PDB
授予 CONNECT 权限。
GRANT CONNECT TO <user_name>;
执行下述语句,赋予迁移用户对
SYS.USER$
表的读权限。GRANT SELECT ON SYS.USER$ TO <user_name>;
赋予迁移用户
CREATE SESSION
、ALTER SESSION
、SELECT ANY TRANSACTION
、SELECT ANY TABLE
和SELECT ANY DICTIONARY
权限。GRANT CREATE SESSION, ALTER SESSION, SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <user_name>;
赋予迁移用户
LOGMINER
相关权限。GRANT LOGMINING TO <user_name>; GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <user_name>;
赋予迁移用户
CREATE TABLE
和UNLIMITED TABLESPACE
权限。GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <user_name>;
如果迁移的 Schema 名称和
user_name
一致,执行下述语句。GRANT CREATE SEQUENCE,CREATE VIEW TO <user_name>;
如果迁移的 Schema 名称和
user_name
不一致,执行下述语句。GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE, DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE, CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <user_name>;
PDB
如果 Oracle 数据库迁移至 OceanBase Oracle 数据库的源端为 12C/18C/19C 的可插拔数据库 Pluggable DataBase(PDB)时,拉取 PDB 的账号需要是 Common 用户。
授予 CONNECT 权限。
GRANT CONNECT TO <C##XXX> CONTAINER=ALL;
执行下述语句,赋予迁移用户对
SYS.USER$
表的读权限。GRANT SELECT ON SYS.USER$ TO <C##XXX> CONTAINER=ALL;
赋予迁移用户
CREATE SESSION
、ALTER SESSION
、SELECT ANY TRANSACTION
、SELECT ANY TABLE
和SELECT ANY DICTIONARY
权限。GRANT CREATE SESSION, ALTER SESSION, SELECT ANY TRANSACTION, SELECT ANY TABLE, SELECT ANY DICTIONARY TO <C##XXX> CONTAINER=ALL;
赋予迁移用户
LOGMINER
相关权限。GRANT LOGMINING TO <C##XXX> CONTAINER=ALL; GRANT EXECUTE ON SYS.DBMS_LOGMNR TO <C##XXX> CONTAINER=ALL;
赋予迁移用户
CREATE TABLE
和UNLIMITED TABLESPACE
权限。GRANT CREATE TABLE, UNLIMITED TABLESPACE TO <C##XXX> CONTAINER=ALL;
如果迁移的 Schema 名称和
C##XXX
一致,执行下述语句。GRANT CREATE SEQUENCE,CREATE VIEW TO <C##XXX> CONTAINER=ALL;
如果迁移的 Schema 名称和
C##XXX
不一致,执行下述语句。GRANT CREATE ANY TABLE,CREATE ANY INDEX,DROP ANY TABLE,ALTER ANY TABLE,COMMENT ANY TABLE, DROP ANY INDEX,ALTER ANY INDEX,CREATE ANY SEQUENCE,ALTER ANY SEQUENCE,DROP ANY SEQUENCE, CREATE ANY VIEW,DROP ANY VIEW,INSERT ANY TABLE,DELETE ANY TABLE,UPDATE ANY TABLE TO <C##XXX> CONTAINER=ALL;
MySQL 数据库权限说明
数据库用户需要对待迁移的数据库具备读权限。
GRANT SELECT ON <迁移库>.*;
MySQL 增量同步时,数据库用户需要具备的权限。
GRANT REPLICATION CLIENT, REPLICATION SLAVE ON *.* TO <user_name> WITH GRANT OPTION;
同步增量日志拉取用户需要具备
SELECT *.*
权限。GRANT SELECT ON *.*;
Kafka 数据源权限说明
如果 Kafka 存在鉴权,请参见 创建数据源(Kafka)。
Kafka 用户需要具备进行以下操作的权限:
创建和查看 Topic
查看 Topic Partition 信息
写入 Record
读取 Record
ADB 数据源权限说明
AnalyticDB for MySQL(简称 ADB)支持针对不同的权限粒度授予不同的权限,以达到权限控制的目的。详情请参见 权限模型。
ADB 支持以下四个粒度的权限控制:
GLOBAL:集群级别
DB:数据库级别
TABLE:表级别
COLUMN:列(字段)级别
DataHub 数据源权限说明
DataHub 根据 endpoint/ak/sk 进行鉴权,详情请参见 DataHub 权限控制。
DataHub 用户需要具备 GetProject
、CreateTopic
、ListTopic
、GetTopic
、ListShard
、PutRecords
、GetRecords
和 GetCursor
权限。