SQL のユーザ、ロール、および特権

SQL 特権とシステム特権

SQL 固有のメカニズムを使用してテーブルやその他の SQL エンティティを操作するには、適切な SQL 特権が必要です。システム・レベルの特権では十分ではありません。ユーザに直接 SQL 特権を付与することも、ユーザが SQL 特権を持つロールに属することもできます。

Windows マシンの InterSystems IRIS インスタンスについて、以下の例を考えてみましょう。

• USER ネームスペースに User.MyPerson という永続クラスがあります。このクラスは SQL に SQLUser.MyPerson テーブルとして投影されます。

• Test という名前のユーザがいます。このユーザはどのロールにも属しません (したがって、システム特権を何も持ちません) が、SQLUser.MyPerson テーブルに対するすべての特権を持ちます (その他の SQL 特権は持ちません)。

• Test2 という 2 人目のユーザがいます。このユーザは、%DB_USER ロール (このため、USER データベースに対するデータの読み書きが可能)、および %SQL ロール (このため、%Service_Bindings サービスを通じた SQL アクセスが可能) を持ちます。また、カスタム・ロールを通じて、コンソールと %Development を使用するための特権を持ちます。

ユーザ Test が SQL 固有の任意のメカニズム (ODBC を使用するものなど) を通じて SQLUser.MyPerson テーブル内のデータに対して読み取りまたは書き込みを実行すると、この操作は成功します。これは、InterSystems IRIS がユーザ Test を %SQL ロール (%Service_SQL:Use 特権を含む) および %DB_USER ロールのメンバにして、ユーザが接続の確立に必要な特権を持つようにするためです。これは、%System/%Login/Login イベントなど、接続により生成される監査イベントで確認できます (ユーザ Test が、ターミナル・オブジェクト・メカニズムを使用しようとすると失敗します。これは、ユーザ Test がこれらの操作に必要な特権を持たないためです)。

ユーザ Test2 が SQL 固有の任意のメカニズム (ODBC を使用するものなど) を通じて SQLUser.MyPerson テーブル内のデータに対して読み取りまたは書き込みを実行すると、この操作は失敗します。これはユーザ Test2 がこのテーブルに対して必要な特権を持たないからです(ユーザ Test2 が、オブジェクト・メカニズムを使用してターミナルで同じデータを表示しようとすると、この操作は成功します。これはユーザ Test2 が、この種類の接続に必要な特権を持っているためです)。

SQL 特権に関する詳細は、"SQL 特権" を参照してください。

InterSystems IRIS の永続クラスは、行レベル・セキュリティの特権もサポートします。

%Admin_Secure 権限

USE 権限のある %Admin_Secure 管理リソースを持つユーザは、次の操作を実行できます・

• ユーザの作成、変更、削除。

• ロールの作成、変更、削除。

• ユーザに付与された特権の参照。

• ロールに付与された特権の参照。

• 別のユーザから付与された SQL 特権の取り消し。

%Admin_Secure を使用することにより、ユーザはシステム上で完全なセキュリティ特権が付与されていなくてもこれらの操作を実行できます。

%Admin_RoleEdit 権限

USE 権限のある %Admin_RoleEdit 管理リソースを持つユーザは、次の操作を実行できます。

• ロールの作成または削除。

%Admin_RoleEdit を使用することにより、ユーザはシステム上で完全なセキュリティ特権が付与されていなくてもこれらの操作を実行できます。%Admin_RoleEdit を持っているが、%Admin_Secure を持っていないユーザは、システム・ロール以外のロールと自身で作成したシステム・ロールを削除できます。

%Admin_UserEdit 権限

USE 権限のある %Admin_UserEdit 管理リソースを持つユーザは、次の操作を実行できます。

• ユーザの作成、変更、削除。

%Admin_UserEdit を使用することにより、ユーザはシステム上で完全なセキュリティ特権が付与されていなくてもこれらの操作を実行できます。%Admin_UserEdit を持っているが、%Admin_Secure を持っていないユーザは、自身で作成した他のユーザ、および自身で作成したユーザが作成したユーザを削除できます。このようなユーザは、システム・ユーザや自分自身を削除することはできません。

ユーザ

InterSystems SQL ユーザは、InterSystems セキュリティで定義されているユーザと同じです。SQL コマンドまたは管理ポータルを使用してユーザを定義できます。

• SQL でユーザを作成するには、CREATE USER 文を使用します。これによって、ユーザ名とユーザ・パスワードのみが作成されます。新規に作成したユーザにはロールがありません。ユーザに特権とロールを割り当てるには、GRANT 文を使用する必要があります。既存のユーザ定義を変更するには、ALTER USER 文と DROP USER 文を使用します。

• 管理ポータルで、[システム管理]、[セキュリティ]、[ユーザ] の順に選択します。ページ上部の [新規ユーザ作成] ボタンをクリックします。これによって、[ユーザ編集] ページが表示されます。ここで、ユーザ名、ユーザ・パスワード、およびその他のパラメータを指定できます。ユーザを作成すると、その他のタブが使用可能になります。これらのタブでは、ユーザのロール、ユーザの一般的な SQL 特権、ユーザのテーブルレベルの特権、使用可能なビュー、および実行可能なストアド・プロシージャを指定できます。

ユーザに SQL テーブルの特権または一般的な SQL 特権がある場合、ユーザの [ロール] タブで付与または削除されるロールは、ODBC などの SQL ベースのサービスを使用したテーブルへのユーザ・アクセスには影響しません。SQL ベースのサービスでは、テーブルベースの特権がリソース・ベースの特権よりも優先されるためです。

%Library.SQLCatalogPrivOpens in a new tab クラスのクエリを使用して、以下を示すことができます。

• すべてのユーザ SQLUsers()

• 指定したユーザに付与されているすべての特権 SQLUserPrivs(“username”)

• 指定したユーザに付与されているすべてのシステム特権 SQLUserSysPrivs(“username”)

• 指定したユーザに付与されているすべてのロール SQLUserRole(“username”)

以下の例は、現在のユーザに付与されている特権を示しています。

   SET statemt=##class(%SQL.Statement).%New()
   SET cqStatus=statemt.%PrepareClassQuery("%Library.SQLCatalogPriv","SQLUserPrivs")
     IF cqStatus'=1 {WRITE "%PrepareClassQuery failed:" DO $System.Status.DisplayError(cqStatus) QUIT}
   SET rset=statemt.%Execute($USERNAME)
   WRITE "Privileges for ",$USERNAME
   DO rset.%Display()

ロール

ユーザまたはロールには SQL 特権が割り当てられます。ロールを使用すれば、複数のユーザに同じ特権を設定できます。SQL セキュリティとシステム・レベルのセキュリティで、ロールを共有できます。つまり、システム特権と SQL 特権の両方を 1 つのロールに備えることができます。

管理ポータルの [システム管理]→[セキュリティ]→[ロール] ページに、InterSystems IRIS インスタンスのロール定義のリストが含まれています。特定のロールの詳細を表示または変更するには、そのロールの [名前] リンクを選択します。表示される [ロール編集] ページには、ロール特権と、その特権を持つユーザまたはロールに関する情報が含まれています。

[一般] タブには、InterSystems セキュリティ・リソースに対するロールの特権が示されます。ロールに SQL 特権のみが含まれている場合、[一般] タブのリソース・テーブルには、ロールの特権として “定義なし” が示されます。

[SQL権限] タブには、InterSystems SQL リソースに対するロールの特権が示されます。ここでネームスペースのドロップダウン・リストを使用すると、各ネームスペースのリソースを表示できます。特権はネームスペース別に示されているため、特定のネームスペースで特権を持たないロールのリストは “なし” と表示されます。

例えば、あるアクセス特権を持つ “ACCOUNTING” というロールを定義するとします。Accounting Department (経理部) の人員が増加するにつれ、新しいユーザを定義し、ACCOUNTING ロールに追加します。ACCOUNTING へのアクセス権を変更する必要がある場合、1 回変更を加えれば、その変更が経理部のすべてのメンバに対し自動的に適用されます。

ロールには、他のロールを含めることができます。例えば、ACCOUNTING ロールには BILLINGCLERK ロールを含めることができます。ACCOUNTING ロールを付与されたユーザは、ACCOUNTING ロールと BILLINGCLERK ロールの両方の特権を持つことになります。

CREATE USER、CREATE ROLE、ALTER USER、GRANT、DROP USER、および DROP ROLE の各 SQL コマンドを使用してユーザおよびロールを定義することもできます。

%Library.SQLCatalogPrivOpens in a new tab クラスのクエリを使用して、以下を示すことができます。

• すべてのロール SQLRoles()

• 指定したロールに付与されているすべての特権 SQLRolePrivileges(“rolename”)

• 指定したロールに付与されているすべてのロールまたはユーザ SQLRoleUser(“rolename”)

• 指定したユーザに付与されているすべてのロール SQLUserRole(“username”)

SQL 特権

ユーザまたはロールには SQL 特権が割り当てられます。ロールを使用すれば、複数のユーザに同じ特権を設定できます。

InterSystems SQL は、管理とオブジェクトという 2 つのタイプの特権をサポートしています。

• 管理特権はネームスペース固有のものです。

  管理特権は、テーブルの作成に必要な %CREATE_TABLE 特権などの、オブジェクトのタイプの作成、変更、および削除を管理します。%ALTER_TABLE 特権は、テーブルを変更するためだけでなく、インデックスの作成または削除、トリガの作成または削除、および TUNE TABLE の実行にも必要です。

  管理特権には、%NOCHECK、%NOINDEX、%NOLOCK、%NOJOURN、および %NOTRIGGER も含まれます。これらにより、INSERT、UPDATE、INSERT OR UPDATE、または DELETE を実行するユーザが、対応するキーワード制約を適用できるかどうかが決まります。TRUNCATE TABLE を実行するユーザには、%NOTRIGGER 管理特権を割り当てる必要があります。

• オブジェクト特権は、テーブル、ビュー、またはストアド・プロシージャに固有です。オブジェクト特権は、(テーブル、ビュー、列、またはストアド・プロシージャという SQL 用語での) 特定の名前付き SQL オブジェクトに対するアクセスのタイプを指定します。ユーザが SQL オブジェクトの所有者 (作成者) である場合、ユーザにはそのオブジェクトに対するすべての特権が自動的に付与されます。

  テーブルレベルのオブジェクト特権では、テーブルまたはビューのすべての列のデータにアクセス (%ALTER、DELETE、SELECT、INSERT、UPDATE、EXECUTE、REFERENCES、CANCEL) できます。現在存在している列と今後追加される列の両方が対象です。

  列レベルのオブジェクト特権では、テーブルまたはビューの指定した列のデータのみにアクセスできます。RowID や Identity (ID) などのシステム定義の値を使用して列に列レベルの特権を割り当てる必要はありません。

  ストアド・プロシージャ・オブジェクト特権では、プロシージャの EXECUTE 特権の割り当てが指定のユーザまたはロールに対して許可されます。

詳細は、"GRANT コマンド" を参照してください。