SQL - 権限 (GRANT / REVOKE 文)

■内容

権限
GRANT 文の基本

例題

REVOKE 文の基本

例題

構文

Top

■権限と特権

データベース・オブジェクトの所有者は、そのオブジェクトに対する権限を、別のユーザーに与えることができます。

Top

■権限

データベース・オブジェクトをあつかうための特権の集合で、つぎの 4 種類があります。

SYSADM 権限最高レベルの管理権限データベース・マネージャ－構成パラメータの変更、DBADM 権限の付与など SYSCTRL、SYSMAINT、DBADM 権限の全機能を持ちます。
SYSCTRL 権限最高レベルのシステム制御権限（データにはアクセスできません）
DATABASE/NODE/DCS ディレクトリの更新、データベースの作成 / 削除、アプリケーションの強制終了、表スペースの作成 / 削除 / 変更、他，SYSMAINT が可能な操作のすべてを持ちます。
SYSMAINT 権限 2 番目のレベルのシステム制御権限（データにはアクセスできません）
データベース構成パラメータの変更、データベース・インスタンスの起動 / 停止 / モニタリング、表スペースの状況照会などができます。
DBADM 権限 2 番目のレベルの管理権限（DBADM 権限を付与されている特定のデータベースのみ）
表 / 索引作成、データのロード、表スペース状況の照会などができます。

インスタンス・オーナーには自動的に管理権限（SYSADM）が与えられます。

SYSADM 権限	最高レベルの管理権限	データベース・マネージャ－構成パラメータの変更、DBADM 権限の付与など SYSCTRL、SYSMAINT、DBADM 権限の全機能を持ちます。
SYSCTRL 権限	最高レベルのシステム制御権限	（データにはアクセスできません） DATABASE/NODE/DCS ディレクトリの更新、データベースの作成 / 削除、アプリケーションの強制終了、表スペースの作成 / 削除 / 変更、他，SYSMAINT が可能な操作のすべてを持ちます。
SYSMAINT 権限	2 番目のレベルのシステム制御権限	（データにはアクセスできません）データベース構成パラメータの変更、データベース・インスタンスの起動 / 停止 / モニタリング、表スペースの状況照会などができます。
DBADM 権限	2 番目のレベルの管理権限	（DBADM 権限を付与されている特定のデータベースのみ）表 / 索引作成、データのロード、表スペース状況の照会などができます。

SYSADM / SYSCTRL / SYSMAINT 権限はデータベース・マネージャー構成ファイル内のパラメーターに各権限が付与されるグループ名を設定します。

> DB2 GET DBM CFG

 SYSADM グループ名                                           (SYSADM_GROUP) =
 SYSCTRL グループ名                                         (SYSCTRL_GROUP) =
 SYSMAINT グループ名                                       (SYSMAINT_GROUP) =
 SYSMON グループ名                                           (SYSMON_GROUP) =

> DB2 UPDATE DBM CFG USING 権限 グループ名

Top

■特権

ユーザー / グループがデータベース・オブジェクトを作成したり、アクセスするための権限です。

図. DB2 特権

特権は、つぎの 3 種類があります。

CONTROL 特権 / 所有者特権
個別特権
暗黙特権

各オブジェクトに対する特権

データベース特権 BINDADD, CONNECT, CREATETAB, CREATE_NOT_FENCED, IMPLICIT_SCHEMA, LOAD, QUIESCE_CONNECT, CREATE_EXTERNAL_ROUTINE
スキーマ特権 CREATEIN, ALTERIN, DROPIN
表スペース特権 USE
表およびビューに対する特権 CONTROL, ALTER, DELETE, INDEX, INSERT, REFERENCES, SELECT, UPDATE
パッケージ特権 CONTROL, BIND, EXECUTE
索引特権 CONTROL
シーケンス特権 USAGE
ルーチン特権 EXECUTE ON
サーバー特権 PASSTHRU

特権を調べるには、つぎのシステム・カタログ視点を照会します。

内容                  システム・カタログ視点
--------------------- -----------------------
シーケンス特権        SYSCAT.SEQUENCEAUTH
表スペース特権        SYSCAT.TBSPACEAUTH
ルーチン特権          SYSCAT.ROUTINEAUTH
データベース特権      SYSCAT.DBAUTH
サーバー特権          SYSCAT.PASSTHRUAUTH
スキーマ特権          SYSCAT.SCHEMAAUTH
パッケージ特権        SYSCAT.PACKAGEAUTH
索引特権              SYSCAT.INDEXAUTH
表／視点の列の特権    SYSCAT.COLAUTH
表特権および視点特権  SYSCAT.TABAUTH

現在接続しているユーザーが特権を持つ表を照会します。

> DB2 SELECT * FROM SYSCAT.TABAUTH WHERE GRANTEE IN (USER, 'PUBLIC')

                  GRANTEE                       CONTROL ALTER DELET INDEX INSERT SELECT REF  UPDATE
GRANTOR GRANTEE   TYPE    TABSCHEMA TABNAME     AUTH    AUTH  AUTH  AUTH  AUTH   AUTH   AUTH AUTH
------- --------  ------- --------- ----------- ------- ----- ----- ----- ------ ------ ---- ------
SYSIBM  PUBLIC    G       SYSCAT    TABOPTIONS  N       N     N     N     N      Y      N    N     
SYSIBM  PUBLIC    G       SYSIBM    SYSTABLES   N       N     N     N     N      Y      N    N     
SYSIBM  PUBLIC    G       SYSIBM    SQLUDTS     N       N     N     N     N      Y      N    N     
SYSIBM  PUBLIC    G       SYSIBM    SQLTYPEINFO N       N     N     N     N      Y      N    N     
  :
SYSIBM  JAVAFT002 U       JAVAFT002 STAFF       Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 STAFFG      Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 DEPARTMENT  Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 EMPLOYEE    Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 EMP_ACT     Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 PROJECT     Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 EMP_PHOTO   Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 EMP_RESUME  Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 SALES       Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 CL_SCHED    Y       G     G     G     G      G      G    G     
SYSIBM  JAVAFT002 U       JAVAFT002 IN_TRAY     Y       G     G     G     G      G      G    G     

  251 レコードが選択されました。

データベース特権	BINDADD, CONNECT, CREATETAB, CREATE_NOT_FENCED, IMPLICIT_SCHEMA, LOAD, QUIESCE_CONNECT, CREATE_EXTERNAL_ROUTINE
スキーマ特権	CREATEIN, ALTERIN, DROPIN
表スペース特権	USE
表およびビューに対する特権	CONTROL, ALTER, DELETE, INDEX, INSERT, REFERENCES, SELECT, UPDATE
パッケージ特権	CONTROL, BIND, EXECUTE
索引特権	CONTROL
シーケンス特権	USAGE
ルーチン特権	EXECUTE ON
サーバー特権	PASSTHRU

Top

■GRANT 文の基本

一般形式(基本)

       |データベース特権        |      |DATABASE                           | 
       |表/視点/ニックネーム特権|      |TABLE      表名/視点名/ニックネーム| 
       |索引特権                |      |INDEX      索引名                  | 
       |パッケージ特権          |      |PACKAGE    パッケージ名            |
GRANT -|スキーマ特権            |- ON -|SCHEMA     スキーマ名              |-
       |表スペース特権          |      |TABLESPACE 表スペース名            |
       |シーケンス特権          |      |SEQUENCE   シーケンス名            |
       |ルーチン特権            |      |FUNCTION   関数名                  |
       |                        |      |METHOD     メソッド名              |
       |                        |      |PROCEDURE  プロシージャー名        |
       |サーバー特権            |      |SERVER     サーバー名              |

                                       |USER   userid |
                                   TO -|GROUP  groupid|-
                                       |PUBLIC        |

Top

■例題

Top

■REVOKE 文の基本

一般形式(基本)

Top

■例題

結果

Top

■構文

GRANT 文

□ データベース権限

          .-,-----------------------------.
          V                               |
>>-GRANT----+-BINDADD-------------------+-+--ON DATABASE-------->
            +-CONNECT-------------------+
            +-CREATETAB-----------------+
            +-CREATE_EXTERNAL_ROUTINE---+
            +-CREATE_NOT_FENCED_ROUTINE-+
            +-IMPLICIT_SCHEMA-----------+
            +-DBADM---------------------+
            +-LOAD----------------------+
            '-QUIESCE_CONNECT-----------'

       .-,-----------------------------------.
       V                                     |
>--TO----+-+-------+-- authorization-name -+-+-------------------><
         | +-USER--+                       |
         | '-GROUP-'                       |
         '-PUBLIC--------------------------'

□ 表、ビュー、またはニックネーム特権

                 .-PRIVILEGES-.
>>-GRANT--+-ALL--+------------+---------------------------+----->
          | .-,-----------------------------------------. |
          | V                                           | |
          '---+-ALTER---------------------------------+-+-'
              +-CONTROL-------------------------------+
              +-DELETE--------------------------------+
              +-INDEX---------------------------------+
              +-INSERT--------------------------------+
              +-REFERENCES--+-----------------------+-+
              |             |   .-,-------------.   | |
              |             |   V               |   | |
              |             '-(--- column-name -+-)-' |
              +-SELECT--------------------------------+
              '-UPDATE--+------------------------+----'
                        |   .-,-------------.    |
                        |   V               |    |
                        '-(--- column-name -+--)-'

       .-TABLE-.
>--ON--+-------+--+- table-name -----+---------------------------->
                  +- view-name ------+
                  '- nickname -------'

       .-,-----------------------------------.
       V                                     |
>--TO----+-+-------+-- authorization-name -+-+-------------------->
         | +-USER--+                       |
         | '-GROUP-'                       |
         '-PUBLIC--------------------------'

>--+-------------------+---------------------------------------><
   '-WITH GRANT OPTION-'

REVOKE 文

□ データベース権限

           .-,-----------------------------.
           V                               |
>>-REVOKE----+-BINDADD-------------------+-+--ON DATABASE------->
             +-CONNECT-------------------+
             +-CREATETAB-----------------+
             +-CREATE_EXTERNAL_ROUTINE---+
             +-CREATE_NOT_FENCED_ROUTINE-+
             +-IMPLICIT_SCHEMA-----------+
             +-DBADM---------------------+
             +-LOAD----------------------+
             '-QUIESCE_CONNECT-----------'

         .-,-----------------------------------.
         V                                     |  .-BY ALL-.
>--FROM----+-+-------+-- authorization-name -+-+--+--------+-----><
           | +-USER--+                       |
           | '-GROUP-'                       |
           '-PUBLIC--------------------------'

□ 表、ビュー、またはニックネーム特権

                  .-PRIVILEGES-.        .-TABLE-.
>>-REVOKE--+-ALL--+------------+-+--ON--+-------+--------------->
           | .-,--------------.  |
           | V                |  |
           '---+-ALTER------+-+--'
               +-CONTROL----+
               +-DELETE-----+
               +-INDEX------+
               +-INSERT-----+
               +-REFERENCES-+
               +-SELECT-----+
               '-UPDATE-----'

>--+- table-name -+----------------------------------------------->
   +- view-name --+
   '- nickname ---'

         .-,-----------------------------------.
         V                                     |  .-BY ALL-.
>--FROM----+-+-------+-- authorization-name -+-+--+--------+-----><
           | +-USER--+                       |
           | '-GROUP-'                       |
           '-PUBLIC--------------------------'

Top