DB2数据库权限管理是确保数据安全和合规访问的关键。核心权限包括系统权限、数据库权限和对象权限。通过GRANT和REVOKE命令进行授权和回收。实践技巧：遵循最小权限原则，使用角色分组权限，定期审计权限使用。示例：GRANT CONNECT ON DATABASE mydb TO USER myuser; 这允许用户连接数据库。另一个技巧是使用ADMIN权限组进行集中管理，避免直接赋予SYSADM。

DB2权限体系概述

DB2的权限体系分为系统权限、数据库权限和对象权限三层。系统权限如SYSADM允许管理整个实例，数据库权限如CONNECT允许连接数据库，对象权限如SELECT允许查询表。使用db2 GRANT命令授权，例如db2 "GRANT DATAACCESS ON DATABASE TO USER testuser"。注意，PUBLIC组默认有CONNECT权限，但不包括其他操作。

权限授予实践

授予权限的基本语法是GRANT privilege ON object TO user_or_group。示例：CONNECT TO sampledb; GRANT BINDADD ON DATABASE TO GROUP dbusers; 这允许dbusers组绑定应用程序。回收权限用REVOKE，如REVOKE CONNECT ON DATABASE FROM PUBLIC; 实践技巧：先创建组，再授权给组，便于批量管理用户。

角色与权限管理

DB2支持角色（ROLES）来简化权限管理。从v10.5开始引入。创建角色：CREATE ROLE myrole; GRANT SELECT ON TABLE myschema.mytable TO ROLE myrole; GRANT ROLE myrole TO USER myuser; 这让用户继承角色权限。技巧：为不同应用场景创建专用角色，如READONLY_ROLE只给SELECT权限。

审计与监控权限

使用db2audit工具监控权限使用。启用审计：db2audit ALL ON SYSTEM。查询审计日志：db2audit query context。实践：定期运行db2 "SELECT * FROM SYSCAT.DBAUTH WHERE grantee='MYUSER'" 检查用户权限。发现异常立即REVOKE。

常见权限问题解决

用户无法连接？检查CONNECT权限和实例配置。绑定失败？确保BINDADD权限。实践技巧：使用db2 get dbm cfg | grep AUTH 查看认证模式。另一个：为应用用户创建专用schema，避免权限冲突，如CREATE SCHEMA appschema AUTHORIZATION appuser;。

高级权限技巧

使用SECADM权限管理安全，如GRANT SECADM ON DATABASE TO USER secadmin; 数据加密访问控制结合TDE。实践：实施列级权限，从v11.1支持，如GRANT SELECT(COL1,COL2) ON TABLE t1 TO USER u1; 这精确控制列访问。

FAQ
Q: 如何查看当前用户的所有权限？
A: 执行db2 "SELECT * FROM SYSCAT.DBAUTH WHERE grantee=SESSION_USER";
Q: PUBLIC组权限如何管理？
A: REVOKE CONNECT ON DATABASE FROM PUBLIC; 以移除默认连接权。
Q: 角色和组的区别？
A: 组是OS级，角色是DB2级，更灵活继承权限。
Q: 如何批量授予表权限？
A: 使用存储过程循环GRANT，或授权给schema所有对象。