[Mysql] 사용자생성 및 권한

• Mysql의 사용자는 사용자의 계정뿐만 아니라 사용자의 접속주소까지 계정의 일부가 된다.
• Mysql에서 계정을 언급할 때는 항상 아이디와 호스트를 함께 명시해야한다.
• % 문자는 모든 호스트명을 의미한다.

예시1 ) 'test_id'@'127.0.0.1'

예시2) 'test_id'@'%'

 

---

 

계정

# 모든 계정 확인하기
SELECT user, host FROM mysql.user;

# mysql 기본 내장 계정 확인하기
SELECT user, host FROM mysql.user WHERE user LIKE 'mysql.%';

 

# 사용자 생성
CREATE USER '{유저명}'@'%' IDENTIFIED BY '{비밀번호}';

# 비밀번호 변경
ALTER USER '{유저명}'@'%' IDENTIFIED BY '{새로운 비밀번호}';

 

• 데이터베이스 계정의 비밀번호는 주기적으로 변경해주는 것이 보안에 좋다.
• 이미 Mysql을 연동해서 사용하고 있는 서비스가 있다면, 서비스를 멈추지 않고서는 비밀번호를 변경하는 것이 불가능한 일이다. 이 같은 문제점을 해결하기 위해 '이중 비밀번호'를 사용할 수 있다.
• 이중 비밀번호 : 하나의 계정에 2개의 비밀번호를 동시에 설정하여 둘 중 아무거나 입력해도 로그인이 됨

방법

1. 이중 비밀번호 설정 (새롭게 설정한 비밀번호가 프라이머리 비밀번호가 되고, 기존 비밀번호가 세컨더리 비밀번호가 됨)
2. 데이터베이스가 연결된 서비스의 설정 파일에서 새로운 비밀번호로 변경하고 배포 및 재시작
3. 서비스의 재시작이 완료되면 세컨더리 비밀번호 삭제

# 이중 비밀번호 설정
ALTER USER '{유저명}'@'%' IDENTIFIED BY '{새로운 비밀번호}' RETAIN CURRENT PASSWORD;

# 세컨더리 비밀번호 삭제
ALTER USER '{유저명}'@'%' DISCARD OLD PASSWORD;

 

---

 

권한

• 사용자에게 권한을 부여할 때는 'GRANT' 명령을 사용한다.
• 'TO' 키워드 뒤에는 궈한을 부여할 대상 사용자를 명시한다.
• 'ON' 키워드 뒤에는 어떤 DB의 어떤 오브젝트에 권한을 부여할지 결정할 수 있다.
• 글로벌 권한을 부여할 때는 ON 뒤에 *.*을 사용한다. (Mysql 서버 전체를 의미함)

# 예시
GRANT EVENT ON *.* TO 'user'@'localhost';

GRANT SELECT, INSERT, UPDATE, DELETE ON employees.* TO 'user'@'localhost';

GRANT SELECT, INSERT, UPDATE(dept_name), DELETE ON employees.department TO 'user'@'localhost';

# 계정에 부여된 역할 똔느 권한 보기
SHOW GRANTS;

---

 

역할

# 역할 생성
CREATE ROLE
	role_emp_read,
	role_emp_write;
    
# 역할에 권한 부여
GRANT SELET ON employees.* TO role_emp_read;
GRANT INSERT, UPDATE, DELETE ON employees.* TO role_emp_write;

# 사용자에게 역할 부여
GRANT role_emp_read, role_emp_write TO 'emp_writer'@'127.0.0.1';

# 역할 활성화
SET ROLE 'role_emp_read';

• 사용자에게 역할을 부여한 뒤 역할을 활성화해야 사용할 수 있는 상태가 된다.
  • activate_all_roles_on_login이 OFF로 되어있다면, 계정이 로그아웃됐다가 재로그인하면 역할이 비활성화 상태로 초기화되어 버린다.

#로그인시 역할 활성화하기
SET GLOBAL activate_all_roles_on_login=ON;