ArcMap

DB2 でのジオデータベースの権限

権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。権限は、 このユーザーがジオデータベースの管理に関与するか、 データを編集または作成できる必要があるか、 データを検索できれば十分かといった、組織内でのユーザーの職務に基づいて割り当てる必要があります。

権限は、さまざまなレベルで設定されます。このトピックの表に、一般的なジオデータベース ユーザー (データ参照者、データ編集者、データ作成者、ジオデータベース管理者) に最低限必要なデータベース権限とデータセット権限をまとめます。

Linux、UNIX、および Windows 上の DB2 のジオデータベースでユーザーに必要な権限と、IBM z オペレーティング システム (z/OS) 上の DB2 のジオデータベースで必要な権限は異なります。したがって、2 つの表に分けてユーザー権限を説明します。

DB2 ツールまたは SQL ステートメントを使用してデータベース権限を管理できます。

データセットに対する権限は、ArcGIS を使用して、データベース所有者によって付与または削除されます。手順については、「データセット権限の付与と取り消し」をご参照ください。

Linux、UNIX、および Windows の DB2

DB2 によって、CREATETAB、BINDADD、CONNECT、IMPLICITSCHEMA データベース権限に加えて、USERSPACE1 表スペースの USE 権限とシステム カタログ ビューの SELECT 権限が PUBLIC グループに付与されます。これらのデータベース権限を削除するには、データベース管理者が PUBLIC から明示的に削除する必要があります。

これらの権限のうちで PUBLIC から削除されているものがあれば、個々のデータベース ユーザーまたはグループに対して割り当てる必要があります。たとえば、CONNECT が PUBLIC から削除されている場合は、データベースに接続する必要があるユーザーに割り当てる必要があります。同様に、システム カタログ ビューまたはテーブルの SELECT が PUBLIC から削除されている場合は、個々のユーザーまたはグループに次の SELECT を付与する必要があります。そうでない場合、ジオデータベースに接続することができません。

  • SYSIBM.SYSDUMMY1 (カタログ ビュー)
  • SYSCAT.ROLEAUTH
  • SYSCAT.DBAUTH
  • SYSCAT.TABAUTH

DB2 の最小権限

ユーザーの種類データベースの権限データセットの権限注意事項

データ参照者

  • データベースへの CONNECT
  • MON_GET_CONNECTION に対する EXECUTE

データベース オブジェクトの SELECT、SYSIBM.SYSDUMMY1、SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT

共有ログ ファイル テーブルを使用するようにデータベースが設定されている場合 (デフォルト)、次の追加権限が必要です。

  • CREATETAB
  • IMPLICIT_SCHEMA

MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。

データ編集者

  • データベースへの CONNECT
  • 必要なスキーマの CREATEIN、ALTERIN、DROPIN
  • MON_GET_CONNECTION に対する EXECUTE

  • 他のユーザーのテーブルに対する SELECT、INSERT、ALTER、および DELETE 権限
  • CONTROL、ALTER、DELETE、INSERT、SELECT、UPDATE REFERENCES、SYSIBM.SYSDUMMY1 の SELECT
  • SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT

テーブルとフィーチャクラスの所有者は、ArcGIS の [権限] ダイアログ ボックスまたは [権限の変更 (Change Privileges)] ジオプロセシング ツールを使用して、データに対する編集権限を他のユーザーに付与します。

MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。

データ作成者

  • データベースへの CONNECT
  • データベースの CREATETAB
  • 必要なスキーマの CREATEIN、ALTERIN、DROPIN
  • MON_GET_CONNECTION に対する EXECUTE

データベース オブジェクトの CONTROL、SYSIBM.SYSDUMMY1 の SELECT

SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT

MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。

ジオデータベース管理者 (sde ユーザー)

  • DBADM 権限
  • SYSCTRL または SYSADM 権限
  • MON_GET_CONNECTION に対する EXECUTE

DBADM 権限は、sde ユーザーに対し、データベースのすべてのオブジェクトに対するすべての権限を付与し、それらの権限を他のユーザーに付与することを許可します。これは、ジオデータベースを作成またはアップグレードするために必要です。

DBADM 権限は、データベースからクライアント接続を削除する場合にも必要となります。また、sde ユーザーは、データベースからクライアント接続を削除するために、SYSCTRL または SYSADM のいずれかの権限を持つ必要があります。

MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。sde ユーザーは、接続を消去するために、MON_GET_CONNECTION を実行できる必要があります。

DB2 for z/OS

z/OS は、他のプラットフォームよりも高いセキュリティを備えます。デフォルトでは、PUBLIC にはほとんどの権限が自動的に付与されず、ユーザー ID またはグループに対して個別に権限を付与する必要があります。

DB2 z/OS の最小権限

ユーザーの種類データベースの権限データセットの権限注意事項

データ参照者

ユーザー定義データベース オブジェクトの SELECT と次のシステム テーブルの SELECT

  • SYSIBM.SYSTABAUTH
  • SYSIBM.SYSDBAUTH
  • SYSIBM.SYSROUTINES
  • SYSIBM.SYSTABCONST
  • SYSIBM.SYSINDEXES
  • SYSIBM.SYSKEYS
  • SYSIBM.SYSCOLUMNS
  • SYSIBM.SYSCHECKS
  • SYSIBM.SYSSCHEMAAUTH
  • SYSIBM.SYSTABLES
  • SYSIBM.SYSSEQUENCES
  • SYSIBM.SYSDUMMY1

データ編集者

データ参照者の権限に加え、データベース オブジェクトに対する CONTROL、ALTER、DELETE、INSERT、SELECT、UPDATE REFERENCES

データ作成者

CREATETAB および CREATETS

データ参照者の権限に加え、データベース オブジェクトに対する CONTROL

ジオデータベース管理者 (sde ユーザー)

  • BINDADD
  • CREATE ON COLLECTION SDE
  • DBADM

データ参照者と同じ