Db2 でのジオデータベースの権限

権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。 権限は、 このユーザーがジオデータベースの管理に関与するか、 データを編集または作成できる必要があるか、 データを検索できれば十分かといった、組織内でのユーザーの職務に基づいて割り当てる必要があります。

権限は、さまざまなレベルで設定されます。 このページでは、一般的なジオデータベース ユーザー (データ参照者、データ編集者、データ作成者、およびジオデータベース管理者) の最小のデータベース権限およびデータセット権限の要件を示します。

IBM Db2 ツールまたは SQL ステートメントを使用してデータベース権限を管理できます。

ジオデータベースのデータセットに対する権限の付与や取り消しは、ArcGIS を使用して、データセット所有者が行う必要があります。

Db2 の最小権限

ユーザーの種類最小限必要な権限備考

データ参照者

  • データベースへの CONNECT
  • BINDADD
  • IMPLICIT_SCHEMA
  • USERSPACE1 テーブル スペースに対する USE
  • 以下のシステム カタログ テーブルとビューに対する SELECT:
    • SYSIBM.SYSDUMMY1 (カタログ ビュー)
    • SYSCAT.ROLEAUTH
    • SYSCAT.DBAUTH
    • SYSCAT.TABAUTH
  • DB2GSE.ST_GEOMETRY_COLUMNS システム テーブルに対する SELECT
  • 他のユーザーのテーブルおよびフィーチャクラスに対する SELECT
  • MON_GET_CONNECTION 関数に対する EXECUTE
  • ジオデータベースの作成時に作成された USER TEMPORARY TABLESPACE に対する USE

テーブルとフィーチャクラスの所有者は、ArcGIS の [権限] ダイアログ ボックスまたは [権限の変更 (Change Privileges)] ジオプロセシング ツールを使用して、データに対する選択権限を他のユーザーに付与する必要があります。

MON_GET_CONNECTION 関数は、ユーザーが接続したときに、使用されていないプロセスを PROCESS_INFORMATION システム テーブルから消去します。 接続を消去するには、MON_GET_CONNECTION を実行できる必要があります。

1,000 件を超えるレコードを含む選択セットを格納するために使用されるグローバル一時テーブルをソフトウェアが作成できるようにするため、USER TEMPORARY TABLESPACEUSE 権限が必要です。

データ編集者

データ編集者には、データ参照者に必要なすべての権限に加えて、以下の権限が必要です。

  • 他のユーザーのテーブルに対する INSERTUPDATE、および DELETE
  • SYSIBM.SYSDUMMY1 に対する CONTROLALTERDELETEINSERT、および UPDATE REFERENCES

テーブルとフィーチャクラスの所有者は、ArcGIS の [権限] ダイアログ ボックスまたは [権限の変更 (Change Privileges)] ジオプロセシング ツールを使用して、データに対する挿入、更新、削除の各権限を他のユーザーに付与する必要があります。

編集者が必要とする操作に基づいて、INSERTUPDATE、および DELETE 権限を任意に組み合わせて付与できます。 したがって、複数の編集者グループを作成して、それぞれに対し適切な権限を付与できます。 たとえば、full_edit グループには 3 つすべての権限とグループ メンバーが編集に必要とするテーブルの SELECT 権限を付与し、updates_only グループにはグループ メンバーが編集に必要とするテーブルの SELECTUPDATE の権限のみを付与します。

データ作成者

データ作成者には、データ参照者に必要なすべての権限に加えて、以下の権限が必要です。

  • データベースの CREATETAB
  • データベース オブジェクトに対する CONTROL

ジオデータベース管理者 (sde ユーザー)

  • Db2 11.5 以降では、SDE ユーザーには、データ作成者に必要なすべての権限に加えて、データベースの DBADM 権限も必要です。
  • Db2 12.1 以降では、SDE ユーザーには、データ作成者に必要なすべての権限に加えて、データベースに対する DBADM WITH DATAACCESS WITH ACCESSCTRL も必要です。

DBADM または DBADM WITH DATAACCESS WITH ACCESSCTRL 権限は、SDE ユーザーに対し、データベースのすべてのオブジェクトに対するすべての権限を付与し、それらの権限を他のユーザーに付与することを許可します。これは、ジオデータベースの作成または更新に必要です。

データベースからクライアント接続を削除するため、SDE ユーザーは、SYSCTRL または SYSADM 権限も必要です。