グループ

グループは、メンバーを持つことができるなどの特殊なパーミッションを持つユーザー ID と考えることができます。グループのパーミッションや権限の付与と取り消しは、ユーザーの場合とまったく同じように行います。

グループの階層を構成し、各グループを別のグループのメンバーにできます。ユーザー ID は複数のグループに属することができます。ユーザーとグループの関係は多対多です。

パスワードなしのグループも作成できます。これによって、グループのユーザー ID を使用したデータベースへの接続を防ぐことができます。パスワードのないグループを参照してください。

グループの権限とパーミッションを管理するには、ユーザーのパーミッションと権限を管理する場合と同じ手順に従います。ユーザーを参照してください。

グループの REMOTE パーミッションの管理については、SQL Remote 用のリモートパーミッションの付与および取り消しを参照してください。

パーミッションと権限の継承

ユーザーとグループは、メンバーであるグループの継承可能なすべてのパーミッションを継承します。同じパーミッションを他のユーザーに付与するパーミッション (GRANT....WITH GRANT OPTION 文を使用) は、グループのメンバーには継承されません。

グループのメンバーは、属しているグループの次のパーミッションだけを継承できます。

ALL
ALTER
DELETE
INSERT
REFERENCES
SELECT
UPDATE

グループのメンバーは、属しているグループに設定されている次の権限だけを継承できます。

READCLIENTFILE
READFILE
WRITECLIENTFILE

例

次の例では、group1 と group2 の 2 つのグループを作成します。ユーザー bobsmith を両方のグループに作成し、メンバーシップを付与します。テーブル table1 を作成し、この新しいテーブルに対する SELECT パーミッションと INSERT パーミッションを group2 に付与します。

GRANT CONNECT, GROUP TO group1;
GRANT CONNECT, GROUP TO group2;
GRANT CONNECT TO bobsmith IDENTIFIED BY sql;
GRANT MEMBERSHIP IN GROUP group1 TO bobsmith;
GRANT MEMBERSHIP IN GROUP group2 TO bobsmith;

CREATE TABLE DBA.table1( column1 INT, modified_by VARCHAR(128) DEFAULT USER );
GRANT SELECT, INSERT ON DBA.table1 TO group2;

bobsmith は group2 のメンバーなので、table1 に対する SELECT パーミッションと INSERT パーミッションを継承し、次に示すようにテーブルに値を挿入できます。

CONNECT USER bobsmith IDENTIFIED BY sql;
INSERT INTO DBA.table1(column1) VALUES(1);

ユーザーパーミッションの評価方法
 グループの作成
 グループメンバーシップを既存のユーザーまたはグループに付与する
 グループメンバーシップの取り消し
 グループのパーミッションと権限
 グループが所有するテーブルの参照
 パスワードのないグループ
 特殊なグループとユーザー
 グループをデータベースから削除する

DocCommentXchange で意見交換できます