セキュリティ：ビューとプロシージャを使用して、ユーザがアクセスできるデータを制限

高レベルのセキュリティが必要なデータベースでは、テーブルに対して直接アクセスを許可することには限界があります。ユーザに与えたテーブルの権限は、テーブル全体に対して適用されます。ところが、テーブルごとでなくユーザの権限をより厳密に定義する必要がある場合が、数多くあります。次に例を示します。

ビューがデータへのアクセスを制限するに対し、プロシージャはユーザの行動を制限します。ユーザは、プロシージャの対象になるテーブルに対する権限がなくても、プロシージャの EXECUTE 権限を持つことができます。

セキュリティを完全にするには、基本となるテーブルへのアクセスをすべて禁止し、ユーザまたはユーザのグループには、特定のストアドプロシージャを実行する権限だけを付与します。この方法では、データベースのデータの修正方法を厳密に定義できます。

Sales Manager は、自分の部署の営業部員に関するデータベースの情報にアクセスする必要があります。しかし、他部署の従業員の情報にアクセスしなければならない理由はありません。

例として、Sales Manager のユーザ ID を作成してから必要な情報を得るためのビューを作成し、Sales Manager のユーザ ID に適切な権限を与える手順を次に示します。

接続し、GRANT 文を使用して、新しいユーザ ID を作成します。

CONNECT DBA IDENTIFIED by sql;
CREATE USER SalesManager
IDENTIFIED BY sales;

営業部の従業員だけを見るビューを、次のように定義します。

CREATE VIEW EmployeeSales AS
  SELECT EmployeeID, GivenName, Surname
  FROM Employees
  WHERE DepartmentID = 200;

テーブル参照を所有者で修飾することによって、同じ名前のテーブルの参照と混同されるおそれがなくなります。

SalesManager にビューを見る権限を与えます。
GRANT SELECT ON EmployeeSales TO SalesManager;
まったく同じ文を使用して、ビューおよびテーブルに対する権限を与えます。

次の例では、Sales Manager が注文のまとめを確認できるようにするビューを作成します。このビューは、複数のテーブルからの情報を必要とします。

ビューを作成します。

CREATE VIEW OrderSummary AS
  SELECT OrderDate, Region, SalesRepresentative, CompanyName
  FROM SalesOrders
    KEY JOIN Customers;

プロセスが正常に動作したことをチェックするには、ユーザ ID SalesManager に接続し、作成したビューを見ます。

CONNECT SalesManager
IDENTIFIED BY sales;
SELECT *
FROM DBA.EmployeeSales;
SELECT *
FROM DBA.OrderSummary;

Sales Manager には、基本となるテーブルを見る権限は付与されていません。次の文は権限エラーを引き起こします。

SELECT * FROM GROUPO.Employees;
SELECT * FROM GROUPO.SalesOrders;