権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。権限は、 このユーザーがジオデータベースの管理に関与するか、 データを編集または作成できる必要があるか、 データを検索できれば十分かといった、組織内でのユーザーの職務に基づいて割り当てる必要があります。
権限は、さまざまなレベルで設定されます。このトピックの表に、一般的なジオデータベース ユーザー (データ参照者、データ編集者、データ作成者、ジオデータベース管理者) に最低限必要なデータベース権限とデータセット権限をまとめます。
Linux、UNIX、および Windows 上の Db2 のジオデータベースでユーザーに必要な権限と、IBM z オペレーティング システム (z/OS) 上の Db2 のジオデータベースで必要な権限は異なります。したがって、2 つの表に分けてユーザー権限を説明します。
Db2 ツールまたは SQL ステートメントを使用してデータベース権限を管理できます。
ジオデータベースのデータセットの権限の付与や取り消しは、ArcGIS クライアントを使用して、データセット所有者が行う必要があります。
Linux、UNIX、および Windows 上の Db2
Db2 によって、CREATETAB、BINDADD、CONNECT、IMPLICITSCHEMA データベース権限に加えて、USERSPACE1 表スペースの USE 権限とシステム カタログ ビューの SELECT 権限が PUBLIC グループに付与されます。これらのデータベース権限を削除するには、データベース管理者が PUBLIC から明示的に削除する必要があります。
これらの権限のうちで PUBLIC から削除されているものがあれば、個々のデータベース ユーザーまたはグループに対して割り当てる必要があります。たとえば、CONNECT が PUBLIC から削除されている場合は、データベースに接続する必要があるユーザーに割り当てる必要があります。同様に、システム カタログ ビューまたはテーブルの SELECT が PUBLIC から削除されている場合は、個々のユーザーまたはグループに次の SELECT を付与する必要があります。そうでない場合、ジオデータベースに接続することができません。
- SYSIBM.SYSDUMMY1 (カタログ ビュー)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
Db2 の最小権限
ユーザーの種類 | データベースの権限 | データセットの権限 | 備考 |
---|---|---|---|
データ参照者 |
| データベース オブジェクトの SELECT、SYSIBM.SYSDUMMY1、SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT | 共有ログ ファイル テーブルを使用するようにデータベースが設定されている場合 (デフォルト)、次の追加権限が必要です。
MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。 |
データ編集者 |
|
| テーブルとフィーチャクラスの所有者は、ArcGIS の [権限] ダイアログ ボックスまたは [権限の変更 (Change Privileges)] ジオプロセシング ツールを使用して、データに対する編集権限を他のユーザーに付与します。 MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。 |
データ作成者 |
| データベース オブジェクトの CONTROL、SYSIBM.SYSDUMMY1 の SELECT SYSCAT.ROLEAUTH、SYSCAT.DBAUTH、および SYSCAT.TABAUTH の SELECT | MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。 |
ジオデータベース管理者 (sde ユーザー) |
| DBADM 権限は、sde ユーザーに対し、データベースのすべてのオブジェクトに対するすべての権限を付与し、それらの権限を他のユーザーに付与することを許可します。これは、ジオデータベースを作成またはアップグレードするために必要です。 DBADM 権限は、データベースからクライアント接続を削除する場合にも必要となります。また、sde ユーザーは、データベースからクライアント接続を削除するために、SYSCTRL または SYSADM のいずれかの権限を持つ必要があります。 MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION テーブルから消去します。sde ユーザーは、接続を消去するために、MON_GET_CONNECTION を実行できる必要があります。 |
Db2 for z/OS
z/OS は、他のプラットフォームよりも高いセキュリティを備えます。デフォルトでは、PUBLIC にはほとんどの権限が自動的に付与されず、ユーザー ID またはグループに対して個別に権限を付与する必要があります。
Db2 z/OS の最小権限
ユーザーの種類 | データベースの権限 | データセットの権限 | 備考 |
---|---|---|---|
データ参照者 | ユーザー定義データベース オブジェクトの SELECT と次のシステム テーブルの SELECT
| ||
データ編集者 | データ参照者の権限に加え、データベース オブジェクトに対する CONTROL、ALTER、DELETE、INSERT、SELECT、UPDATE REFERENCES | ||
データ作成者 | CREATETAB および CREATETS | データ参照者の権限に加え、データベース オブジェクトに対する CONTROL | |
ジオデータベース管理者 (sde ユーザー) |
| データ参照者と同じ |