Db2 でのジオデータベースの権限—Db2 のジオデータベース

Linux、UNIX、および Windows 上の Db2
Db2 for z/OS

権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。権限は、このユーザーがジオデータベースの管理に関与するか、データを編集または作成できる必要があるか、データを検索できれば十分かといった、組織内でのユーザーの職務に基づいて割り当てる必要があります。

権限は、さまざまなレベルで設定されます。このトピックの表に、一般的なジオデータベースユーザー (データ参照者、データ編集者、データ作成者、ジオデータベース管理者) に最低限必要なデータベース権限とデータセット権限をまとめます。

Linux、UNIX、および Windows 上の Db2 のジオデータベースでユーザーに必要な権限と、IBM z オペレーティングシステム (z/OS) 上の Db2 のジオデータベースで必要な権限は異なります。したがって、2 つの表に分けてユーザー権限を説明します。

Db2 ツールまたは SQL ステートメントを使用してデータベース権限を管理できます。

ジオデータベースのデータセットの権限の付与や取り消しは、ArcGIS クライアントを使用して、データセット所有者が行う必要があります。

Linux、UNIX、および Windows 上の Db2

Db2 によって、CREATETAB、BINDADD、CONNECT、IMPLICITSCHEMA データベース権限に加えて、USERSPACE1 表スペースの USE 権限とシステムカタログビューの SELECT 権限が PUBLIC グループに付与されます。これらのデータベース権限を削除するには、データベース管理者が PUBLIC から明示的に削除する必要があります。

これらの権限のうちで PUBLIC から削除されているものがあれば、個々のデータベースユーザーまたはグループに対して割り当てる必要があります。たとえば、CONNECT が PUBLIC から削除されている場合は、データベースに接続する必要があるユーザーに割り当てる必要があります。同様に、システムカタログビューまたはテーブルの SELECT が PUBLIC から削除されている場合は、個々のユーザーまたはグループに次の SELECT を付与する必要があります。そうでない場合、ジオデータベースに接続することができません。

SYSIBM.SYSDUMMY1 (カタログビュー)
SYSCAT.ROLEAUTH
SYSCAT.DBAUTH
SYSCAT.TABAUTH

Db2 の最小権限


ユーザーの種類	データベースの権限	データセットの権限	備考
データ参照者	データベースへの CONNECT MON_GET_CONNECTION に対する EXECUTE	データベースオブジェクトの SELECT、SYSIBM.SYSDUMMY1、SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT	共有ログファイルテーブルを使用するようにデータベースが設定されている場合 (デフォルト)、次の追加権限が必要です。 CREATETAB IMPLICIT_SCHEMA MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。
データ編集者	データベースへの CONNECT 必要なスキーマの CREATEIN、ALTERIN、DROPIN MON_GET_CONNECTION に対する EXECUTE	他のユーザーのテーブルに対する SELECT、INSERT、ALTER、および DELETE 権限 CONTROL、ALTER、DELETE、INSERT、SELECT、UPDATE REFERENCES、SYSIBM.SYSDUMMY1 の SELECT SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT	テーブルとフィーチャクラスの所有者は、ArcGIS の [権限] ダイアログボックスまたは [権限の変更 (Change Privileges)] ジオプロセシングツールを使用して、データに対する編集権限を他のユーザーに付与します。 MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。
データ作成者	データベースへの CONNECT データベースの CREATETAB 必要なスキーマの CREATEIN、ALTERIN、DROPIN MON_GET_CONNECTION に対する EXECUTE	データベースオブジェクトの CONTROL、SYSIBM.SYSDUMMY1 の SELECT SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT	MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。
ジオデータベース管理者 (sde ユーザー)	DBADM 権限 SYSCTRL または SYSADM 権限 MON_GET_CONNECTION に対する EXECUTE		DBADM 権限は、sde ユーザーに対し、データベースのすべてのオブジェクトに対するすべての権限を付与し、それらの権限を他のユーザーに付与することを許可します。これは、ジオデータベースを作成またはアップグレードするために必要です。 DBADM 権限は、データベースからクライアント接続を削除する場合にも必要となります。また、sde ユーザーは、データベースからクライアント接続を削除するために、SYSCTRL または SYSADM のいずれかの権限を持つ必要があります。 MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。sde ユーザーは、接続を消去するために、MON_GET_CONNECTION を実行できる必要があります。

Db2 for z/OS

z/OS は、他のプラットフォームよりも高いセキュリティを備えます。デフォルトでは、PUBLIC にはほとんどの権限が自動的に付与されず、ユーザー ID またはグループに対して個別に権限を付与する必要があります。

Db2 z/OS の最小権限


ユーザーの種類	データベースの権限	データセットの権限
データ参照者		ユーザー定義データベースオブジェクトの SELECT と次のシステムテーブルの SELECT SYSIBM.SYSTABAUTH SYSIBM.SYSDBAUTH SYSIBM.SYSROUTINES SYSIBM.SYSTABCONST SYSIBM.SYSINDEXES SYSIBM.SYSKEYS SYSIBM.SYSCOLUMNS SYSIBM.SYSCHECKS SYSIBM.SYSSCHEMAAUTH SYSIBM.SYSTABLES SYSIBM.SYSSEQUENCES SYSIBM.SYSDUMMY1
データ編集者		データ参照者の権限に加え、データベースオブジェクトに対する CONTROL、ALTER、DELETE、INSERT、SELECT、UPDATE REFERENCES
データ作成者	CREATETAB および CREATETS	データ参照者の権限に加え、データベースオブジェクトに対する CONTROL
ジオデータベース管理者 (sde ユーザー)	BINDADD CREATE ON COLLECTION SDE DBADM	データ参照者と同じ