16.20 - ユーザー タイプ別の権限について - Teradata Database - Teradata Vantage NewSQL Engine

Teradata Vantage™ NewSQL Engineセキュリティ管理

Product
Teradata Database
Teradata Vantage NewSQL Engine
Release Number
16.20
Published
2019年3月
Language
日本語
Last Update
2019-10-29
dita:mapPath
ja-JP/rmm1512082852218.ditamap
dita:ditavalPath
ja-JP/rmm1512082852218.ditaval

ユーザー タイプに応じてデータベース ユーザーに権限を割り当てることができます。

データベース ユーザー型についても参照してください。
ユーザーの種類 権限付与の方法
永久ユーザー
  • ユーザーに直接権限を付与します。
  • ロールを作成し、それらに権限を付与します。その後、1つ以上のロールのメンバーシップを各ユーザーに付与します(推奨)。
ディレクトリ ベースのユーザー
  • 各ディレクトリ ユーザーを、データベース権限をすでに持っている1人以上のデータベース ユーザーにマップします。
  • オプションで外部ロールを作成し、それらに権限を付与することができます。次に、各ディレクトリ ユーザーを1つ以上の外部ロールにマッピングします。
ディレクトリ ユーザーによって作成されたオブジェクトは、マップされた永久ユーザーを所有者兼作成者としてデータ ディクショナリに登録されます。
自動的にプロビジョニングされるユーザー
  • AutoProvision DBSControlフラグをtrueに設定します。
  • ディレクトリで、自動プロビジョニングされるユーザーの外部ロールまたはプロファイルを作成します。
  • データベースで、一致するロールとプロファイルを作成します。
  • 外部ロールを作成した場合は、外部ロールに権限を付与します。
  • ディレクトリ ユーザーを外部ロールまたはプロファイルにマップします。
自動プロビジョニングされたアカウントに付与される権限は、ディレクトリ ユーザーが割り当てられている外部ロールによって決まります。自動プロビジョニングされたディレクトリ ユーザーが外部ロールに割り当てられ、データベースにもロールが付与されている場合、ユーザーは両方のロールの権限を持つことができます。ただし、ユーザーは外部から認証されているため、セッションで有効になるのは外部ロールだけです。割り当てられたロールは明示的に有効にする必要があります。ディレクトリ プリンシパルがロールに割り当てられていない場合、ユーザーはEXTERNAL_AP(システム ユーザー)から権限を継承します。
プロキシ ユーザー
  • プロキシ ユーザーが永久データベース ユーザーまたはデータベースから認識できないユーザーのいずれかである場合、プロキシを定義するGRANT CONNECT THROUGH文に1つ以上のロールを指定できます。
  • 永久データベース ユーザーでもあるプロキシ ユーザーの場合:
    • WITHOUT ROLEを指定することで、永久ユーザーに付与された権限を使用できます。
    • 永久ユーザーまたはユーザー プロファイルに行レベル セキュリティ制約を割り当てることができます。プロキシ ユーザー セッションは、割り当てられている場合はプロファイル制約を使用します。プロファイルに制約が割り当てられていない場合、セッションはユーザー制約を使用します。ユーザーはSET SESSION CONSTRAINTコマンドを使用して、割り当てられたセキュリティ制約にアクセスすることもできます。