사용자 권한

정의

MySQL에서 사용자 권한은 데이터베이스와 그 객체들에 대한 접근 및 조작 권한을 관리하는 시스템입니다.

구성 요소

•

USER

•

ROLE

USER

데이터베이스에서 식별되는 개별 사용자 계정으로, 특정 권한이 부여된 실제 데이터베이스 사용자입니다.

항목	설명
사용자 생성	CREATE USER 'username'@'host' IDENTIFIED BY 'password';
사용자 삭제	DROP USER 'username'@'host';
비밀번호 변경	ALTER USER 'username'@'host' IDENTIFIED BY 'new_password';
권한 부여	GRANT SELECT, INSERT ON db.table TO 'username'@'host';
권한 철회	REVOKE SELECT ON db.table FROM 'username'@'host';
권한 보기	SHOW GRANTS FOR 'username'@'host';
사용자 목록 보기	SELECT user, host FROM mysql.user;

ROLE

여러 권한을 그룹화한 논리적 단위로, 다수의 사용자에게 동일한 권한을 효율적으로 부여할 수 있게 합니다.

항목	설명
역할 생성	CREATE ROLE 'rolename';
역할 삭제	DROP ROLE 'rolename';
역할에 권한 부여	GRANT SELECT ON db.* TO 'rolename';
역할을 사용자에게 부여	GRANT 'rolename' TO 'username'@'host';
역할 활성화	SET DEFAULT ROLE 'rolename' TO 'username'@'host';
현재 세션에 역할 활성화	SET ROLE 'rolename';
역할 보기	SELECT * FROM information_schema.applicable_roles;
역할 권한 보기	SHOW GRANTS FOR 'rolename';

구분	사용자(User)	역할(Role)
정의 대상	DB 접속 및 작업을 수행하는 개별 계정	공통된 권한을 그룹화한 가상의 계정
직접 로그인	가능	불가능
권한 부여	직접 권한 지정 가능	권한 묶음을 사용자에게 할당 가능
활용 예시	특정 직원에게 직접 권한 부여	여러 직원에게 동일한 권한을 일괄 부여할 때

특징

•

세분화된 권한 관리: 데이터베이스, 테이블, 컬럼 단위로 권한 부여 가능

•

권한 상속: ROLE을 통해 권한을 계층적으로 관리

•

동적 권한 관리: 실시간으로 권한 부여 및 철회 가능

•

보안성: 최소 권한 원칙에 따른 접근 제어 구현

USER 종류

유형	설명	접근 범위
로컬 사용자	localhost에서만 접속 가능한 사용자	'username'@'localhost'
원격 사용자	특정 IP에서 접속 가능한 사용자	'username'@'192.168.1.%'
와일드카드 사용자	모든 호스트에서 접속 가능한 사용자	'username'@'%'
패턴 매칭 사용자	특정 패턴의 호스트에서 접속 가능한 사용자	'username'@'%.domain.com'

ROLE 종류

역할 이름	설명	부여 권한 예시
read_only	읽기 전용 사용자	SELECT 권한
data_writer	데이터 쓰기 사용자	INSERT, UPDATE, DELETE 권한
admin	관리자, 전체 권한 보유	ALL PRIVILEGES 또는 모든 권한 (SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, ALTER, 등)
backup_user	데이터 백업 전용 사용자	SELECT, LOCK TABLES, SHOW VIEW, EVENT, TRIGGER 등
developer	개발자, 객체 생성 가능	SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER
auditor	감사/모니터링 전용 사용자	SELECT, SHOW DATABASES, PROCESS

권한 종류

권한 이름	설명
ALL PRIVILEGES	해당 데이터베이스 또는 서버에 부여 가능한 모든 권한을 의미함
LOCK TABLES	테이블을 잠그는 권한. 백업 시 데이터 정합성 확보에 활용됨
SHOW DATABASES	서버 내 모든 데이터베이스 목록을 조회할 수 있는 권한
PROCESS	현재 실행 중인 쿼리 및 프로세스 목록을 조회할 수 있는 권한
EVENT	이벤트 스케줄러에 등록된 이벤트를 생성/수정/삭제할 수 있는 권한
TRIGGER	테이블에 정의된 트리거를 생성/삭제/조회/실행할 수 있는 권한

코드

사용자 생성 및 권한 부여

-- 사용자 생성
CREATE USER 'username'@'host' IDENTIFIED BY 'password';

-- 특정 데이터베이스에 대한 모든 권한 부여
GRANT ALL PRIVILEGES ON database_name.* TO 'username'@'host';

-- 특정 테이블에 대한 읽기 권한만 부여
GRANT SELECT ON database_name.table_name TO 'username'@'host';
SQL
복사

권한 수정

-- 추가 권한 부여
GRANT INSERT, UPDATE ON database_name.table_name TO 'username'@'host';

-- 권한 철회
REVOKE INSERT ON database_name.table_name FROM 'username'@'host';
SQL
복사

사용자 삭제

-- 사용자 삭제
DROP USER 'username'@'host';

-- 모든 권한 철회
REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'username'@'host';
SQL
복사

ROLE 관리

-- ROLE 생성
CREATE ROLE 'role_name';

-- ROLE에 권한 부여
GRANT SELECT, INSERT ON database_name.* TO 'role_name';

-- 사용자에게 ROLE 부여
GRANT 'role_name' TO 'username'@'host';
SQL
복사

-- 역할 생성
CREATE ROLE 'read_only';
CREATE ROLE 'data_writer';
CREATE ROLE 'admin';

-- 권한 부여
GRANT SELECT ON mydb.* TO 'read_only';
GRANT INSERT, UPDATE, DELETE ON mydb.* TO 'data_writer';
GRANT ALL PRIVILEGES ON *.* TO 'admin' WITH GRANT OPTION;

-- 사용자에게 역할 부여
GRANT 'read_only' TO 'user1';
GRANT 'data_writer' TO 'user2';
GRANT 'admin' TO 'admin_user';

-- 기본 역할 설정
SET DEFAULT ROLE 'read_only' TO 'user1';
SQL
복사