×
×
SYSADMはSECADM、DBADM権限を付与できないSYSADMには暗黙的にDBADM権限が付与されない(SYSADMが作成した場合はDBADMが付与される)
新規DB環境を構築すると…
データベース
インスタンスレベルの権限
SYSMON ・・・システム・モニター権限
•インスタンスやデータベースのモニター・データを取得するための権限
•各種スナップショットを取得することができる
SYSADM ・・・システム管理権限
•最高位の権限
•sysadm_group DBM構成パラメーターによって指定されたグループに割り当てられる
•DB2インスタンスの構成(DBM CFGパラメータの設定)を行うことができる データベースのアップグレード/データベースのリストアが可能
•他ユーザーやグループへの権限付与/取り消しを行うことができる(SECADM以外)
•DBを作成した場合は、自動的にDBADM、SECADM権限を付与されるが、SYSADMに対し て、暗黙のDBADM,SECADM権限は付与されない
SYSCTRL ・・・システム制御権限
•sysctrl_group DBM構成パラメーターによって指定されたグループに割り 当てられる
•インスタンスの開始/停止
•データベースや表スペースの作成・削除
•既存データベースのバックアップ/リストアを行うことができる
•データベース内のデータへの直接アクセスはできない
SYSMAINT ・・・システム保守権限
•データベースの構成(DB CFGパラメータの設定)を行うことができる
•データベースや表スペースのバックアップ/リストアを行うことができる
•データベースの作成/削除、データへの直接アクセスはできない
©日本IBMシステムズ・エンジニアリング(株) データ・プラットフォーム部 187
データベースレベルの権限
ACCESSCTRL
Grant/revoke権限 DATAACCESS
データへのアクセス権限 WLMADM
Workload manager用の権限 SQLADM
SQLチューニング用の権限 EXPLAIN
EXPLAIN実行用の権限
SECADM ・・・セキュリティー管理者権限
•セキュリティー関連のデータベース・オブジェクトの作成および管理
•すべてのデータベース権限と特権の付与および取り消し
•カタログ表とカタログ・ビューからの SELECT はできるが、ユーザー表データにアクセスできない
DBADM ・・・データベース管理権限
• データベースに対する管理権限
• 非セキュリティー関連のデータベース・オブジェクトの作成、変更、およびドロップ
• ログ・ファイルの読み取り
• イベント・モニターの作成、活動化、およびドロップ
• 表スペースの状態の照会
• ログ履歴ファイルの更新
• 表スペースの静止
• 表の再編成
• RUNSTATS の実行
CREATE DATABASEのRESTRICTIVE オプション
データベース作成時に、RESTRICTIVEオプションを指定
(例) CREATE DATABASE database名 RESTRICTIVE
RESTRICT_ACCESS データベース構成パラメーターが、YES に設定される