セキュア ゾーン ユーザー タイプ - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理
Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval
dita:id
B035-1100
Product Category
Software
Teradata Vantage

以下では、ゾーンに関連付けられている各種のユーザーについて説明しています。

  • ゾーン作成者

    ゾーンを作成し、ユーザーまたはデータベースをゾーン ルートとして割り当てます。ゾーン作成者は、自分が作成したゾーン内のオブジェクトまたはデータにはアクセスできません。WITH GRANT OPTION付きのZONE権限を持っているユーザーは、CREATE ZONE権限およびDROP ZONE権限を付与することができます。

    rootとプライマリDBAをゾーンに追加したり、rootとプライマリDBAをゾーンから削除できるのはゾーン作成者のみです。

    ユーザーをrootとするゾーンを作成する場合、ゾーン作成者は、そのユーザーに対するDROP USER権限を持っている必要があります。rootがゾーンに割り当てられると、rootユーザーに対するすべての権限がゾーン作成者から取り消されます。

    データベースをrootとするゾーンを作成する場合、ゾーン作成者は、rootになるデータベースに対するCREATE USER権限を持っている必要があります。rootがゾーンに割り当てられると、CREATE USER権限を除くrootデータベースに対するすべての権限がゾーン作成者から取り消されます。

    ゾーン作成者は、ゾーンの外部に存在するユーザーまたはロールにゾーン アクセス権を付与することができ、ゾーンへのアクセス権を取り消す責任も負います。

    ゾーン作成者はCREATE ZONE権限とDROP ZONE権限を持っている必要があります。ゾーン自体が削除されるまでゾーン作成者を削除することはできません。

    複数のゾーンを作成するゾーン作成者は、それらのゾーンのシステム レベル ゾーン管理者として機能します。

  • ゾーン ルート

    ゾーン作成者がゾーンを作成する空のデータベースまたはユーザー。

    ゾーン作成者はゾーンを作成し、データベースまたはユーザーをそのゾーンのrootとして関連付けます。ゾーンのrootデータベースまたはrootユーザーは空である必要があり、自身に関連付けられたオブジェクト、ユーザー、データベース、ロールまたはプロファイルを持つことはできません。また、他のユーザーに対する権限を持つこともできません。同様に、ゾーン作成者、rootの所有者およびrootの作成者を除くいずれのユーザーもrootに対する権限を持つことはできません。

    ゾーン ルートがデータベースである場合、ゾーン作成者はゾーンの作成後、ゾーンにプライマリDBAを割り当てる必要があります。ゾーン ルートがユーザーである場合は、そのユーザーが自動的にゾーンのプライマリDBAになります。

  • プライマリ ゾーンDBA

    プライマリゾーンDBAは、ゾーンのデータベース管理者として機能します。

    ゾーン作成者はプライマリ ゾーンDBAを作成します。プライマリ ゾーンDBAは、ゾーンのユーザー、データベース、オブジェクト、およびロールやプロファイルなどのゾーンレベル オブジェクトを作成することができます。

  • ゾーン ユーザー

    ゾーン内の権限を持つ永久データベース ユーザー。ゾーン ユーザーはゾーン内の別のユーザーに従って作成され、ゾーン ルートの階層に所属するユーザーです。ゾーン ユーザーは既存のCREATE USER構文を使用して作成されます。ゾーン ユーザーは別のゾーンのゾーン ゲストになれません。

    ゾーン内のデータベース オブジェクトに対する権限をゾーン ゲストに付与できるのはゾーン ユーザーのみです。

  • ゾーン ゲスト

    ゾーン ゲストは、ゾーンの外部に存在しながら、自分がゲストになっているゾーン内のオブジェクトの作成権限およびアクセス権限を付与されているロールまたはユーザーです。ゾーンは複数のゾーン ゲストを持つことができ、ユーザーまたはロールは複数のゾーンのゲストになることができます。

    ゾーン ゲストは、ゾーン オブジェクトに対する権限を他のユーザーに付与できません。

    ゾーン作成者はGRANT ZONE構文を使用して外部ロールにゾーン アクセス権限を付与することに従って外部LDAPユーザーをゾーン ゲストにすることができます。そのロールでログオンする外部ユーザーは、自分が権限を持っているゾーン オブジェクトにアクセスすることができます。

    ゾーン ユーザーのみがゾーン内のデータベース オブジェクトに対する権限をゾーン ゲストに付与することができます。ゾーン ユーザーがゾーン ゲストにWITH GRANT OPTION付きで権限を付与することはできません。

    必要とされる権限を持っているゾーン ゲストは、ゾーン内でユーザー、データベースおよびTVMオブジェクトを作成することができますが、ゾーンに別のゲストを追加することはできません。

    ゾーン ゲストは固定領域内のゾーン オブジェクトのビュー、トリガー、およびマクロを作成できます。