データベース ユーザーの作成と編集
データベースのセキュリティの確立 への移動
目次
データのセキュリティを確保するために最も重要な方法の 1 つは、データベースのアクセス権限やシステム権限をユーザーとグループに付与することです。
データベースのロールとユーザーを作成し、それらに適切なアクセス許可を付与することで、論理モデルのユーザーに付与されるアクセス許可を管理して、論理データベースのエンティティおよびビューの操作(INSERT、SELECT、UPDATE、DELETE、REFERENCES、および ALTER)を制限できます。データベース プラットフォームの種類によっては、この機能は物理データ モデルのテーブルおよびビューでもサポートされます。さらに、ユーザーを特定の物理モデルに適用してシステム権限を付与することもできます。システム権限は、データベースやログのバックアップ、またはデータベース、デフォルト、プロシージャ、ルール、テーブル、およびビューを作成する際に必要になります。使用できるシステム権限はデータベースの種類によって異なります。ユーザー ウィザードのステップ2、およびユーザー エディタの[システム権限]タブに一覧表示されます。
データベース ユーザーは、論理データ モデル、および次のプラットフォームの物理データ モデルでサポートされます。
- IBM DB2 for LUW 5.x、6.x、7.x、8.x、9.x、10.x
- IBM DB2 for OS/390 5.x および 6.x、DB2 for z/OS 7.x、8.x、9.x および 10.x
- Microsoft SQL Server 4.x、6.x、7.x、2000、2005、2012、2014
- Oracle 7.x、8.x、9i、10g、11g、12c
- Sybase ASE 11.0、11.5、11.9、12.0、12.5、15
- ユーザー ウィザードとユーザー エディタには同じオプションが表示されます。ただし、[アタッチメントのバインド]オプションはエディタのみに表示されます。
- モデル エクスプローラで、論理[メイン モデル]を展開するか、データベース ユーザーをサポートする物理メイン モデルを展開します。次に、[ユーザー]ノードを右クリックし、ショートカット メニューの[データベース ユーザーの作成]をクリックします。
- [ユーザー ウィザード]で、必要なアクセス許可を割り当てて、[完了]をクリックします。
- 使用できるオプションとアクセス許可の種類は、プラットフォームによって異なります。
次に、一部のオプションについて補足説明します。
[全般]ページ/タブ
- [ユーザー名]: ユーザー名とグループ名を定義するときに許可される文字数の制限は、データベース プラットフォームによって異なります。
- [グループ]: ユーザー グループのメンバは、自動的にグループ権限を継承します。ユーザーに付与された権限は、所属するグループに関連付けられた権限を上書きします。上書きされた権限は、後でそのユーザーがグループから削除された場合も保持されます。明示的にユーザーに付与された権限は、明示的に取り消す必要があります。
- [パスワード]: ユーザーはローカル ユーザーです。データベースにアクセスするには、パスワードを指定する必要があります。
- [外部]: ユーザーは外部ユーザーです。データベースにアクセスするには、外部サービス(オペレーティング システムやサードパーティのサービスなど)によって認証される必要があります。
- [グローバル]: ユーザーはグローバル ユーザーです。ログイン時に、データベースの使用をエンタープライズ ディレクトリ サービスによって認証される必要があります。
- [追加]: [ロールの選択]ダイアログ ボックスが開き、ユーザーに割り当てるロールを選択できます。複数のロールを選択するには、Ctrl キーを押しながらクリックします。定義済みのロールがない場合、一覧は空白になります。
- [テーブルスペース クォータ]: 物理モデルの種類によっては、テーブルスペースの使用パラメータを 10 KB 単位で定義できます。これにより、ユーザーがテーブルスペースを拡張できる割合を制限できますが、設計上の範囲制限の代わりに使用すべきではありません。
[システム権限]ページ/タブ
カラム名をクリックすると、そのカラム全体が選択されます。複数のオブジェクトを選択するには、Ctrl キーを押しながらクリックします。使用できるシステム権限は、選択された物理プラットフォームによって異なります。
[オブジェクト権限]ページ/タブ
テーブルやビューなどのオブジェクトに、ユーザーのアクセス許可を設定します。一部のデータベース プラットフォームでは、プロシージャ、パッケージ、マテリアライズド ビュー、シーケンス、およびファンクションなどのデータベース オブジェクトにも詳細なアクセス許可を設定できます。カラム名をクリックすると、そのカラム全体が選択されます。複数のオブジェクトを選択するには、Ctrl キーを押しながらクリックします。
[依存関係]ページ/タブ
アクセス許可を割り当てたオブジェクトに依存関係がある場合、その情報が表示されます。依存関係を持つのは、ファンクション、トリガー、およびプロシージャのような SQL コードです。詳細は、「ファンクションの作成と編集」、「トリガーの作成と編集」、「プロシージャの作成と編集」を参照してください。
[定義]ページ/タブ
ユーザーのアクセス制限を定義する理由を記述します。ロールの定義を入力または編集します。対象データベースでサポートされる場合、SQL コードの生成時に、この定義がコメントとして追加されます。
[DDL]タブ
ユーザーを構築するには、CREATE USER 文を表示します。または、データベース接続時にユーザー権限を設定するには、GRANT ... ON CONNECT 文を表示します。物理モデルでは、モデルで選択されたデータベース プラットフォームに固有のパーサーを使用して、ビューを生成します。論理データ モデルにビューを追加する場合、デフォルト パーサーである ANSI SQL が使用されます。ただし、[論理モデル オプション]ダイアログ ボックスの[全般オプション]タブにある[ビュー パーサー]で、他のパーサーを選択することもできます。詳細は、「 選択したモデルのモデル オプションの定義」を参照してください。
[アタッチメントのバインド]タブ
アタッチメント(外部情報)をユーザーにバインドします。また、オブジェクトからアタッチメントを削除したり、アタッチメントのバインドのデフォルト値を上書きしたり、バインドされたアタッチメントの位置を変更することもできます。選択したアタッチメントのグリッド(画面の右側)に移動したアタッチメントの値をオーバーライドするには、対象となるアタッチメントの[値]フィールドをダブルクリックします。アタッチメントのデータ型に応じて、[上書き値エディタ]またはリスト ボックスが表示されます。アタッチメントは[データ ディクショナリ]タブの[アタッチメント]フォルダで作成されます。その際、アタッチメント タイプ エディタの[アタッチメント タイプの使用]タブで[ユーザー]チェック ボックスをオンにする必要があります(デフォルトでオンになっています)。そうでない場合、ユーザー エディタの[アタッチメントのバインド]タブにそのアタッチメント タイプが表示されません。詳細は、「データ モデルへの外部ドキュメントの関連付け」を参照してください。
メモ
- 作成したユーザーをモデル ウィンドウに表示するには、[表示|ダイアグラムとオブジェクトの表示オプション|セキュリティ オブジェクト]の[すべてのセキュリティ オブジェクトの表示]チェック ボックスをオンにします。リバース エンジニアリングしたダイアグラムでは、デフォルトでセキュリティ オブジェクトが表示されません。ただし、ゼロから作成したモデルでは、デフォルトでセキュリティ オブジェクトが表示されます。
- 作成したユーザーは、ロール エディタまたはロール ウィザードで、特定のロールに割り当てることができます。詳細は、「データベース ユーザーと新しいデータベース ロールの関連付け」および「データベース ロールと新しいデータベース ユーザーの関連付け」を参照してください。
- ユーザーに割り当てられたアクセス許可を変更するには、ユーザー エディタ、またはエンティティ/テーブル エディタの[アクセス許可]タブを使用します。詳細は、「エンティティおよびテーブルの作成と編集」を参照してください。
- 論理モデルで作成されたデータベース ユーザーは、データベース ユーザーをサポートする物理モデルの生成時に、物理モデルに移行されます。
- データベース プラットフォームの種類によっては、データベース ユーザーを使用して、エンティティ、テーブル、ファンクション、マテリアライズド ビュー、パッケージ、プロシージャ、およびシーケンスのセキュリティを設定できます。