SQL データ制御言語 - Teradata - Information Products Home

Teradata Database
SQL データ制御言語
Release リリース 15.0
B035-1149-015K-JPN
2014 年 3 月
本書に記載されている製品は、 Teradata Corporation またはその関連会社がライセンスを有する製品です。
Teradata、 Active Data Warehousing、 Active Enterprise Intelligence、 Applications-Within、 Aprimo Marketing Studio、 Aster、 BYNET、
Claraview、 DecisionCast、 Gridscale、 MyCommerce、 SQL-MapReduce、 Teradata Decision Experts、 Teradata Labs ロゴ、 Teradata
ServiceConnect、 Teradata Source Experts、 WebAnalyst、および Xkoto は、 Teradata Corporation またはその関連会社の米国およびその
他の国における商標または登録商標です。
Adaptec および SCSISelect は、 Adaptec, Inc. の商標または登録商標です。
AMD Opteron および Opteron は、 Advanced Micro Devices, Inc. の商標です。
Apache、 Apache Hadoop、 Hadoop、および黄色い象のロゴは、 Apache Software Foundation の米国およびその他の国における登録商
標または商標です。
Apple、 Mac、および OS X すべては、 Apple Inc. の登録商標です。
Axeda は、 Axeda Corporation の登録商標です。 Axeda Agents、 Axeda Applications、 Axeda Policy Manager、 Axeda Enterprise、 Axeda
Access、 Axeda Software Management、 Axeda Service、 Axeda ServiceLink、および Firewall-Friendly は、 Axeda Corporation の商標であ
り、 Maximum Results および Maximum Support は、 Axeda Corporation の役務商標です。
Data Domain、 EMC、 PowerPath、 SRDF、および Symmetrix は、 EMC Corporation の登録商標です。
GoldenGate は、 Oracle の商標です。
Hewlett-Packard および HP は、 Hewlett-Packard Company の登録商標です。
Hortonworks、 Hortonworks ロゴおよびその他の Hortonworks 商標は、 Hortonworks Inc. の米国およびその他の国における商標です。
Intel、 Pentium、および XEON は、 Intel Corporation の登録商標です。
IBM、 CICS、 RACF、 Tivoli、および z/OS は、 International Business Machines Corporation の登録商標です。
Linux は、 Linus Torvalds の登録商標です。
LSI は、 LSI Corporation の登録商標です。
Microsoft、 Active Directory、 Windows、 Windows NT、および Windows Server は、 Microsoft Corporation の米国およびその他の国にお
ける登録商標です。
NetVault は、 Dell, Inc. の米国またはその他の国における商標または登録商標です。
Novell および SUSE は、 Novell, Inc. の米国およびその他の国における登録商標です。
Oracle、 Java、および Solaris は、 Oracle またはその関連会社の登録商標です。
QLogic および SANbox は、 QLogic Corporation の商標または登録商標です。
Quantum および Quantum ロゴは、 Quantum Corporation の商標であり、米国およびその他の国で登録されています。
Red Hat は、 Red Hat, Inc. の商標であり、米国およびその他の国で登録されています。ライセンスに基づいて使用されます。
SAS および SAS/C は、 SAS Institute Inc. の商標または登録商標です。
SPARC は、 SPARC International, Inc. の登録商標です。
Symantec、 NetBackup、および VERITAS は、 Symantec Corporation またはその関連会社の米国およびその他の国における商標また
は登録商標です。
Unicode は、 Unicode, Inc. の米国およびその他の国における登録商標です。
UNIX は、 The Open Group の米国およびその他の国における登録商標です。
その他記載されている製品名および企業名は、各社の商標です。
本書に記載されている情報は、「現状のまま」提供され、商用および特定の用途での使用に対する適合性、また
は権利侵害がないことに関する暗黙的な保証を含め、明示的または暗黙的なすべての保証は一切ありません。一
部の法域では暗黙的保証の除外を許可しないため、上記制限が適用されないことがあります。いかなる場合も
TERADATA CORPORATION は、逸失利益または逸失財産を含む、あらゆる間接的、直接的、特殊、付随的、または
必然的な損害に対し、たとえそのような損害の可能性を明示的に通知されていたとしても、責任を負うことはあ
りません。
本書に記載されている情報は、日本では発表されていないかもしくは利用できない機能、製品やサービスを参照または相互参照
している場合があります。これらの参照は、必ずしも Teradata Corporation が日本でこれらの機能、製品やサービスを発表する意図
があることを意味するものではありません。日本で利用可能な機能、製品やサービスについては、日本テラデータ株式会社の担
当者に確認ください。
本書に記載されている情報には、技術的に不正確な記述または誤植が含まれている可能性があります。本書の情報は、予告なし
に変更または更新される場合があります。また、 Teradata Corporation は、本書に記載されている製品やサービスを随時予告なしに
改良または変更することができます。
製品およびサービスの品質を維持するため、本書の正確性、明瞭性、構成、有用性についてコメントを頂けると幸いです。次の
アドレスに E メールで連絡ください。 [email protected]
Teradata Corporation に送られたコメントや資料 ( 「フィードバック」と総称する ) は、機密情報とは見なされません。 Teradata
Corporation は、フィードバックに関していかなる種類の義務も負わず、フィードバックとその派生物を無償で制限なしに使用、
複製、開示、公開、表示、変換、派生物の作成、および配布できるものとします。さらに、 Teradata Corporation は、そのような
フィードバックに含まれる、あらゆる考え、概念、ノウハウや技術を、フィードバックを組み込んだ製品やサービスの開発、製
造、または販売を含め、どのような目的にでも自由に使用できるものとします。
Copyright © 2000-2014 by Teradata. All Rights Reserved.
まえがき
目的
このマニュアルでは、システム内のデータベース・オブジェクトやデータへのアク
セスを管理するために使用される、 Teradata SQL データ制御言語 (DCL) 文について
説明します。 Teradata SQL は ANSI 準拠製品です。 Teradata では言語を独自に拡張し
ています。
Teradata Database セキュリティの詳細については、 < セキュリティ管理ガイド > を
参照してください。
対象読者
このマニュアルは以下の読者を対象とします。
• ユーザー権限の定義を通してデータベース・アクセスを制御することが許可さ
れた管理者およびその他のデータベース・ユーザー
• Teradata Database の設計と保守を担当する Teradata 技術担当者
サポートされるソフトウェア・リリースとオペレーティン
グ・システム
このマニュアルは、 Teradata® Database 15.0 用です。
Teradata Database 15.0 は、以下のオペレーティング・システムでサポートされてい
ます。
• SUSE Linux Enterprise Server 10 SP3
• SUSE Linux Enterprise Server 11 SP1
Teradata Database クライアント・アプリケーションは他のオペレーティング・シス
テムに対応しています。
SQL データ制御言語
3
まえがき
このマニュアルの改訂内容
このマニュアルの改訂内容
リリース
説明
Teradata Database 15.0
GRANT(SQL 形式 ) 構文図および CTCONTROL の表を更新
しました。
2014 年 3 月
GRANT(SQL 形式 ) 構文図および表から REPLCONTROL を
削除し、テキスト全体からその参照を削除しました。
追加情報
URL
説明
www.info.teradata.com/
「Teradata Information Products Publishing Library」サイトで
は、英語版について以下が可能です。
• マニュアルを表示またはダウンロードします。
1 [Downloadable Publications] で [General Search] を
選択します。
2 検索基準を入力して、 [Search] をクリックします。
• マニュアル CD-ROM をダウンロードします。
1 [Downloadable Publications] で [General Search] を
選択します。
2 [Title or Keyword] フィールドで CD-ROM と入力し、
[Search] をクリックします。
www.teradata.com
Teradata ホームページには、 Teradata に関する情報を得る
ためのリンクが多数用意されています。次のリンクがあ
ります。
• エグゼクティブ・レポート、ホワイト・ペーパー、
Teradata 導入企業の事例研究、およびソート・リー
ダーシップ
• 技術情報、ソリューション、および専門的アドバイス
• プレス・リリース、関連記事、およびメディア・
リソース
4
www.teradata.com/t/TEN/
Teradata Customer Education では、お客様の Teradata への
投資を最大化すべく、お客様の技能と能力を構築するた
めのトレーニングを提供しています。
tays.teradata.com/
Teradata @ Your Service を利用すれば、オレンジ・ブッ
ク、テクニカル・アラート、ナレッジ・リポジトリの参
照、フォーラムの閲覧と参加、ソフトウェア・パッチの
ダウンロードを行なうことができます。
SQL データ制御言語
まえがき
製品安全情報
URL
説明
developer.teradata.com/
Teradata Developer Exchange では、 Teradata 製品の使い
方、技術検討フォーラム、コードのダウンロードなど
のコーナーを提供しています。
製品およびサービスの品質を維持するため、本書の正確性、明瞭性、構成、有用性
についてコメントを頂けると幸いです。次のアドレスに E メールで連絡ください。
[email protected]
製品安全情報
このマニュアルには、数種類の製品の安全に関する注意書きが記載されている場合
があります。
安全情報の種類
説明
注記
注意を怠ると、機器やデータなどの財産に損傷を与える恐れがあ
るが、人がケガをする恐れはない状況を示します。
注意
注意を怠ると、人が軽微なケガまたは中程度のケガをする恐れが
ある危険な状況を示します。
警告
回避しなかった場合、死亡や重大な怪我が生じる可能性のある危
険な状況を示します。
例:
注記 :
Reconfiguration ユーティリティを不適切に使用すると、データが失われるおそれが
あります。
注意 :
ドライブ・トレイ・シャシーの重量は約 28.6 kg (63 lb) です。すべてのドライブお
よびモジュールが取り外されるまで、シャーシの取り外しや取り付けを行なわない
でください。
警告 :
感電の危険 ! 修理前は常に電源またはファン・モジュールに電力が残っていないよ
うにしてください。
Teradata Database のオプション機能
このマニュアルには、 Teradata Database の以下のオプション機能と製品に関する説
明が含まれている場合があります。
• Teradata Columnar
• Teradata 行レベル・セキュリティ
• Teradata SQL-H
SQL データ制御言語
5
まえがき
Teradata Database のオプション機能
• Teradata Temporal
• Teradata Virtual Storage (VS)
• Unity Source Link
これらの機能は適切なライセンスがないと使用できません。これらの機能が製品メ
ディアに含まれていたり、ダウンロードできたりしても、または入手した資料で説
明されていたとしても、適切なライセンスなしではそれらの機能を使用できません。
オプション機能の購入および有効化については、 Teradata 営業担当者までご連絡く
ださい。
6
SQL データ制御言語
目次
まえがき . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
サポートされるソフトウェア・リリースとオペレーティング・システム . . . . . . . . . 3
このマニュアルの改訂内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
追加情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
製品安全情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Teradata Database のオプション機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
第 1 章 : Teradata Database 権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9
データベース権限について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
権限レベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ユーザー権限の種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
ユーザー権限以外の権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
第 2 章 : 文の構文規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
GIVE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
GRANT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
GRANT (MONITOR 形式 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
GRANT ( ロール形式 ). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
GRANT (SQL 形式 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
GRANT CONNECT THROUGH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
GRANT LOGON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
REVOKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
REVOKE (MONITOR 形式 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
REVOKE ( ロール形式 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
REVOKE (SQL 形式 ). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
REVOKE CONNECT THROUGH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
REVOKE LOGON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
SQL データ制御言語
7
目次
付録 A: 表記法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .133
構文図の規則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
このマニュアルで使用している文字簡略表記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
付録 B: 権限ディクショナリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
単一のキーワードによる複数の権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
必要な DBC 権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
デフォルト PUBLIC 権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
データベース管理に必要な権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
ユーザーの権限の判別 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
用語集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
8
SQL データ制御言語
第1章:
Teradata Database 権限
この章では、 Teradata Database の各種権限について概説し、それぞれの権限でサ
ポートされているアクセス制御 ( セキュリティ ) のタイプを要約します。
データベース権限について
データベース権限とは、データベース・オブジェクトやデータにアクセスしたり、
そのオブジェクトやデータを操作したりするための許可のことです。 Teradata
Database で可能なほとんどすべての処理において、特定の権限が必要とされます。
権限は「アクセス権」または「許可」と呼ばれることがありますが、このマニュアル
では、 ANSI/ISO SQL:2011 仕様に準拠して「権限」という語を使用しています。
管理者は Teradata Database 権限を使用して、データベース・オブジェクトやデータ
へのアクセスを制御したり、ユーザーが使用可能なアクションやアクティビティの
タイプを制御したりします。権限の完全なリストについては、 < セキュリティ管理
ガイド > の「Appendix B Privilege Dictionary ( 付録 B 権限ディクショナリ )」を参照
してください。
これらの権限は、どのユーザーが次のことを実行できるかを制御するために使用し
ます。
• 特定のデータベース・オブジェクトおよびデータのアクセス、作成、変更、
または削除
• 特定のマクロ、ストアド・プロシージャ、および UDF の実行
•
システム全体のアクティビティのモニター
• 他のユーザーに対する権限付与
Teradata データ制御言語 (DCL) 要求は、ユーザーがこれらのアクションやアクティ
ビティを実行できるようにする権限を付与したり、取り消したりします。
必要な権限
権限を付与するには、ユーザーがオブジェクトに対する権限と権限を付与する権
利を持っている必要があります。
SQL データ制御言語
9
第 1 章 : Teradata Database 権限
権限レベル
権限レベル
Teradata Database は以下をサポートしています。
•
システム・レベルの権限。以下のトピックを参照してください。
• オブジェクト・レベルの権限。「オブジェクト・レベルの権限」 (10 ページ ) を
参照してください。
• データベース
•
表
•
行または列
•
その他のオブジェクト・タイプ
• 行レベルの権限。「行レベルの権限」 (11 ページ ) を参照してください。
システム・レベルの権限
システム・レベルの権限は、システム全体に適用され、データベース・オブジェ
クトに対して定義することはできません。通常、この権限は管理者が使用します。
システム・レベルの権限には次のものがあります。
• CONSTRAINT ASSIGNMENT
• CONSTRAINT DEFINITION
• CREATE ROLE
• CREATE PROFILE
• CTCONTROL
• DROP ROLE
• DROP PROFILE
• MONITOR
•
ABORTSESSION
•
MONRESOURCE
•
MONSESSION
•
SETRESRATE
•
SETSESSRATE
オブジェクト・レベルの権限
Teradata Database のオブジェクト・レベルの権限は以下に対して付与できます。
• データベース・オブジェクト ( データベース、表、列およびその他のオブジェ
クト ) に対して。
• データベース・オブジェクトの作成者または所有者により、他のユーザーに対
してシステムによって自動的にオブジェクト作成者とオブジェクト所有者に付
与される権限については、 < データベースの管理 > の「自動的に付与される権
限」のセクションを参照してください。
10
SQL データ制御言語
第 1 章 : Teradata Database 権限
権限レベル
オブジェクトに対する権限が付与された後、ユーザーはその権限によって許可され
る特定のアクションをオブジェクトに対して実行できます。
行レベルの権限
表やビューなどの Teradata Database オブジェクトへのアクセスは、主に、オブジェ
クト・レベルのユーザー権限に基づきます。オブジェクト・レベルの権限は、基本
的なアクセス制御を提供しますが、自由裁量に任されます。つまり、オブジェクト
所有者には、自動的に、所有するオブジェクトに対するアクセス権を他のユーザー
に付与する権利が与えられます。
オブジェクト・レベルの権限に加えて、 Teradata 行レベル・セキュリティ (RLS) を
使用して、 SQL 操作による表の行単位のユーザー・アクセスを制御できます。 RLS
アクセス・ルールは、各ユーザーの RLS アクセス権限と各行の RLS アクセス要件
の比較に基づきます。
オブジェクト所有者は、行アクセス権を他のユーザーに付与するための任意裁量権
限を持っていません。行レベルのアクセス制御を管理できるのはセキュリティ制約
管理権限を持つユーザーだけです。
通常、政府機関はセキュリティ・ラベル ( 分類 ) を作成し、それらを使用してユー
ザー・アクセス権限と行アクセス要件を定義します。
行レベル・セキュリティのセットアップ方法の詳細については、 < セキュリティ管理
ガイド > を参照してください。
行レベル・セキュリティの要素に関する情報が格納される場所
現在のすべての行レベル・セキュリティ制約、制約の割り当ておよび制約関数に関
する情報は、以下の < データ・ディクショナリ > 表に格納されます。
情報
データ・ディクショナリ表
行レベル・セキュリティ制約の名前と値
DBC.SecConstraints ( 名前 )
DBC.ConstraintValues
SQL データ制御言語
行レベル・セキュリティ制約と文アクション用の制約
関数
DBC.ConstraintFunctions
行レベル・セキュリティ制約値の現在の割当て
DBC.AsgdSecConstraints
11
第 1 章 : Teradata Database 権限
ユーザー権限の種類
ユーザー権限の種類
すべてのデータベース権限は暗黙的か明示的のいずれかです。
暗黙的権限
権限
説明
所有権
Teradata Database は、データベース・オブジェクトに対する暗黙的権限をそ
のオブジェクトが含まれる領域の所有者に付与します。
権限
説明
自動
ユーザーがデータベース・オブジェクトを作成すると、 Teradata Database に
よって自動的に以下に権限が付与されます。
明示的権限
• オブジェクトの作成者
• 新しく作成されたユーザーまたはデータベース
付与
次のように権限を付与できます。
• ユーザーまたはデータベースに直接付与する
• ロールに付与してから、そのロール内のメンバーシップを 1 人以上の
ユーザーに付与する
• 外部ロールに付与してから、そのロールを 1 つ以上のディレクトリ・
ユーザーのグループにマップする
継承
ユーザーが間接的に取得する権限 :
• すべてのユーザーに、自動的に、ロールに似たデフォルト権限の集合で
ある PUBLIC の権限が付与されます。 PUBLIC の権限も付与したり、取り
消したりできます。
• ユーザーは、それが属しているロールに付与されたすべての権限を継承
します。
• ディレクトリ・ユーザーは、データベース・ユーザーとそれらがマップ
された外部ロールの権限を継承します。
12
SQL データ制御言語
第 1 章 : Teradata Database 権限
詳細情報
権限
説明
割り当て
セキュリティ制約によって、対応するセキュリティ制約列で保護された表の
行へのユーザー・アクセスが定義されます。
CONSTRAINT オブジェクト内のセキュリティ制約を以下に割り当てること
ができます。
• ユーザー。以下で CONSTRAINT オブジェクトを指定することによって
• CREATE USER 文または MODIFY USER 文
• CREATE PROFILE または MODIFY PROFILE 文 ( その後で、ユーザー
にプロファイルを割り当てる )
注 : ユーザーに行レベルのセキュリティ保護の省略を許可する制約
OVERRIDE 権限は、 GRANT OVERRIDE CONSTRAINT 文を使用し
て付与されます。
• 表。 CREATE TABLE 文または ALTER TABLE 文に含まれる CONSTRAINT
オブジェクトに対して指定された制約列を定義することによって。
詳細情報
特定の DCL 文の構文と必要な権限については、第 2 章 : 「文の構文規則」を参照し
てください。各種のユーザー・タイプと、それらに付随する権限戦略については、
< セキュリティ管理ガイド > を参照してください。
ユーザー権限の確認
ユーザーまたはロールに対して明示的に権限を付与する前に、以下のデータ・ディ
クショナリ・ビューにアクセスして、すでに付与されている権限を確認してくだ
さい。
ビュー
含まれる情報
AllRightsV
ユーザーごとに有効になっている明示的な権限と自動的な
権限。
AllRoleRights
ロールごとに有効になっている明示的な権限。
RoleMembersV
ロールごとのメンバー ( ユーザー )。
Teradata Database では、所有権から派生する権限については記録されないため、
それらの権限については DBC.AllRightsV では保守されません。
データ・ディクショナリ・ビューの詳細については、 < データ・ディクショナリ > を
参照してください。
SQL データ制御言語
13
第 1 章 : Teradata Database 権限
ユーザー権限以外の権限
ユーザー権限以外の権限
次に示すような場合には、ユーザー以外のオブジェクトに権限を割り当てることが
必要になることがあります。
• 特定のユーザー・グループのデータベース・アクセス要件に基づいて、ロール
に対して権限を付与することができます。その後で、そのロールのメンバー
シップを各ユーザーに個別に付与します。
• 個別のビューのデータベースをセットアップするときには、そのデータベース
に格納されるビューの基になる表に対するデータベース権限を付与する必要が
あります。
14
SQL データ制御言語
第2章:
文の構文規則
この章では、 Teradata Database でサポートされている権限を付与したり、取り消し
たりするための Teradata DCL 文について説明します。
各文について以下の情報が提供されます。
• 説明
• 構文
• ANSI/ISO SQL 規格への準拠
• 必要な権限 ( 文を使用するのに必要な権限 )
• 使用例
SQL データ制御言語
15
第 2 章 : 文の構文規則
GIVE
GIVE
目的
GIVE 文は、データベースまたはユーザー領域の所有権を別のユーザーに譲渡しま
す。また、譲渡されたデータベースまたはユーザーが所有するすべてのデータベー
スとユーザーも譲渡します。
構文
GIVE
database_name
TO
recipient_name
;
user_name
FF07A025
説明
構文要素
指定内容
database_name
user_name
所有権を譲られる側のデータベースまたはユーザーの名前を指定し
ます。
TO
この後に続く受領者の名前を指定します。
recipient_name
譲られたデータベースまたはユーザーの新しい直接所有者の名前を
指定します。
ANSI 準拠
GIVE は、 ANSI/ISO SQL:2011 規格の Teradata 拡張機能です。
その他の SQL 用語では、 TRANSFER OWNERSHIP などの同様の非 ANSI 規格文を
サポートしています。
必要な権限
指定したオブジェクトに対する DROP DATABASE 権限と、受領者に対する
CREATE DATABASE 権限が必要です。
GIVE 文は、特定のデータベースまたはユーザーに対するどの権限も取り消しま
せん。 GIVE 文の結果として、与えられたデータベースまたはユーザーへのどの明
示権限も新しい所有権の階層構造に付与されることはありません。また、与えられ
るデータベースまたはユーザーも、何の明示権限も受け取りません。
GIVE 文の受領者は、与えられるオブジェクトに所有されることはできません。
すなわち、 A が B を所有しているのなら、 A を B に譲ることはできません。
16
SQL データ制御言語
第 2 章 : 文の構文規則
GIVE
スペース割り当て譲渡
所有権を譲渡すると、指定されたデータベースまたはユーザーに割り当てられた固
定領域も譲渡されます。これにより、システムのスペース割り当ては次のような影
響を受けます。
• 元の所有者 (GIVE 文を発行する所有者と、階層構造内でこの所有者より上位の
所有者 ) が利用できる固定領域のバイト総数は、譲られるデータベースの固定領
域のバイト数分減らされます。これは、データベースに割り当てられた総領域
に、譲られるデータベースが所有するすべてのデータベースとユーザーを加え
たものです。
• 譲渡されるデータベースが削除された場合、譲渡されたデータベースの新しい
直接所有者に割り当てられる固定領域のバイト数は、削除されたデータベース
の固定領域のバイト数分だけ増えます。さらに、階層構造内でこの所有者の上
位の所有者が利用できる固定領域の総バイト数は、譲渡されたデータベースに
割り当てられていた固定領域のバイト数分だけ増えます。
たとえば、次の階層構造を考えます。
DBC
A (60)
B (80)
C (40)
D (30)
F (10)
FF07A070
データベース C の所有権がデータベース D に渡される場合、その階層構造は、
次のように変化します。
DBC
A (60)
B (80)
D (30)
C (40)
F (10)
FF07A071
SQL データ制御言語
17
第 2 章 : 文の構文規則
GIVE
データベース C が譲渡された場合 :
• C が所有するデータベース F も譲渡されます。
• データベース A に割り当てた固定領域のバイト数に変化はありませんが、デー
タベース A で利用可能な固定領域の集約バイト数は 50 ( データベース C および
F に割り当てられた固定領域の合計バイト数 ) 減少します。
• データベース D および B に割り当てられているバイト数は変わりません。
•
ただし、利用可能な固定領域のバイト数は 50 増加します。つまり、データベー
ス C および F が削除されると、 C および F に割り当てられたバイト数がデータ
ベース D に譲渡されることになります。
• A が所持していた C および F に対する権限は、暗黙的に取り消されています。
•
この時点で、 B および D は、 C および F に対する権限を暗黙的に所持してい
ます。
• 特定のデータベースまたはユーザーによって保持されていた明示的権限も変更
されます。
例えば、 A がそれ自体に、 C または F ( または、それらに収容されているオブ
ジェクト ) に対する明示的権限を付与していた場合に、 GIVE 文が実行される
と、それらの明示的権限はそのまま D が所持することになります。
例
次の文では、 finance データベースの所有権を、ユーザー administrator からユーザー
Chin に譲渡しています。
GIVE Finance TO Chin;
18
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT
GRANT
目的
GRANT は、 1 人または複数のユーザー、プロキシ・ユーザー、データベース、ま
たはロールに対して明示権限を規定します。これには次のいくつかの形式がありま
す。これらの機能と構文規則は異なります。
GRANT の形式
目的
GRANT (MONITOR 形式 )
Teradata Database の性能監視。「GRANT
(MONITOR 形式 )」 (20 ページ ) を参照
してください。
GRANT ( ロール形式 )
ロールのメンバーシップをユーザーおよび
他のロールに与えます。「GRANT ( ロール
形式 )」 (23 ページ ) を参照してください。
GRANT (SQL 形式 )
Teradata の各種データベース・オブジェ
クトに対するアクセスや作成、ロギング
の権限を与えます。「GRANT (SQL 形式 )」
(26 ページ ) を参照してください。
GRANT CONNECT THROUGH
信頼済みユーザーを介したプロキシ永久
ユーザーまたはプロキシ・アプリケー
ション・ユーザーとして接続するための
権限を与えます。「GRANT CONNECT
THROUGH」 (80 ページ ) を参照してくだ
さい。
GRANT LOGON
システム・ログオン権限を与えます。
「GRANT LOGON」 (94 ページ ) を参照
してください。
GRANT (SQL 形式 ) はデータベース・オブジェクトへのアクセスおよび操作を制御
するのに対して、 GRANT (MONITOR 形式 ) 権限セットはシステム全体の性能監視
に関係します。ユーザーに、 MONITOR を含むすべての権限を与えるためには、
以下の要求を両方とも実行しなければなりません。
GRANT ALL PRIVILEGES ON object
TO user
WITH GRANT OPTION;
GRANT MONITOR PRIVILEGES
TO user
WITH GRANT OPTION;
ALL PRIVILEGES は、データベース関連の権限だけを参照します。 MONITOR
PRIVILEGES は、すべての監視関連の権限を示します。
GRANT MONITOR には、 ON object 句が含まれていません。この文では、システム
全体に影響を与えることができるため、許可が暗黙的に ON PUBLIC になります。
SQL データ制御言語
19
第 2 章 : 文の構文規則
GRANT (MONITOR 形式 )
GRANT (MONITOR 形式 )
目的
システム全体の性能監視の権限を与えます。
構文
GRANT
A
TO
MONITOR
PRIVILEGES
,
BUT NOT
monitor_privilege
,
monitor_privilege
,
A
user_name
WITH GRANT OPTION
ALL
;
PUBLIC
,
role_name
FF07B056
説明
構文要素
指定内容
MONITOR
PRIVILEGES
指定された受領者に、 MONITOR に関連するすべての権限を付与します。 WITH
GRANT OPTION を指定しない限り、 MONITOR[PRIVILEGES] は、指定された権
限を別のユーザーに与えることを許可しません。
MONITOR BUT NOT
指定した受領者は、 BUT NOT の後に指定したものを除いて、付与可能なすべての
権限を受け取ることになります。これらの権限を付与する能力を含める場合には、
WITH GRANT OPTION を明示的に指定しなければなりません。
monitor_privilege
有効なモニター権限。有効なモニター権限のリストについては、「モニター権限」
(22 ページ ) を参照してください。
ALL
指定したオブジェクト権限セットを、指定したデータベースまたはユーザー、およ
びそのデータベースまたはユーザーによって現在と将来に所有されるすべてのデー
タベースまたはユーザーに与えます。
user_name
指定した MONITOR 権限を与えられるユーザーまたはデータベースの名前。最大
25 個の名前を指定することができます。
user_name は、すでにシステムに定義されているユーザーの識別子でなければな
りません。
PUBLIC
20
権限が、すべての Teradata Database ユーザーに継承されることを指定します。
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (MONITOR 形式 )
構文要素
指定内容
WITH GRANT OPTION
権限を与えられるユーザーが、 WITH GRANT OPTION とともに権限を受け取るこ
とを指定します。このオプションを指定しない場合、受領者は付与オプションのな
い権限セットを受け取ります。
ANSI 準拠
GRANT の MONITOR 形式は、 ANSI/ISO SQL:2011 規格の拡張機能です。
必要な権限
監視形式の GRANT を使用する場合は、 MONITOR 権限を持っていることが必要
です。
これらの権限は、すべてのセッションのすべてのアプリケーションを監視する許可を
得たユーザーにのみ与えられるべきです。
低いレベルの MONITOR 権限は、存在しません。この権限の有効範囲は、常にグ
ローバルです。たとえば、データベース管理者は、ユーザー Addams に自分のアプ
リケーションのみをセッション・レベルで監視する能力を与えることができません。
代わりに、データベース管理者は、 Addams にすべてのセッションによるすべての
アプリケーションをセッション・レベルで監視する許可を与えなければなりません。
現在 MONITOR パーティションを使用している人を判別するためには、以下の問合
わせを発行します。
SELECT UserName, IFPNo
FROM DBC.SessionInfoV
WHERE partition = 'MONITOR';
GRANT 文は、特定の権限の指定にだけ使用されます。データベースまたはユー
ザーの所有権を譲渡するには、「GIVE」 (16 ページ ) を参照してください。
GRANT (SQL 形式 ) および GRANT (MONITOR 形式 )
GRANT (SQL 形式 ) はデータベース・オブジェクトへのアクセスおよび操作を制御
するのに対して、 GRANT (MONITOR 形式 ) 権限セットはシステム全体の性能監視
に関係します。ユーザーに、 MONITOR を含むすべての権限を与えるためには、
以下の要求を両方とも実行しなければなりません。
GRANT ALL PRIVILEGES ON object
TO user
WITH GRANT OPTION;
GRANT MONITOR PRIVILEGES
TO user
WITH GRANT OPTION;
SQL データ制御言語
21
第 2 章 : 文の構文規則
GRANT (MONITOR 形式 )
ALL PRIVILEGES は、データベース関連の権限だけを参照します。 MONITOR
PRIVILEGES は、すべての監視関連の権限を示します。
GRANT MONITOR には、 ON object 句が含まれていません。この文では、システム
全体に影響を与えることができるため、許可が暗黙的に ON PUBLIC になります。
権限は即座に付与される
GRANT MONITOR は、次の文が実行されると直ちに有効になります。与えられた
権限を受け取るためにログアウトする必要はありません。
モニター権限
以下のいずれの権限も、 GRANT (MONITOR 形式 ) 文を使用して指定できます。
オプション
説明
ABORTSESSION
1 つまたは複数の Teradata Database のセッションの未解決の要求また
は実行中のトランザクションをアボートします。また、任意選択で
セッションをログオフします。
MONRESOURCE
各 PE および AMP の性能および可用性についての情報を収集します。
MONSESSION
ログオンしたセッションと、システム全体の使用状況についての情
報を、セッションごとに収集します。
SETRESRATE
プロセッサの資源の使用状況のデータが、システム内で更新される
頻度を設定します。
SETSESSRATE
セッション・レベルの性能のデータが、システム内で更新される頻
度を設定します。
詳細情報
MONITOR 形式の GRANT によって与えられる権限の取り消しについては、
「REVOKE (MONITOR 形式 )」 (101 ページ ) を参照してください。
アクセスの試みのセキュリティ・ログ
アクセスの試みのセキュリティ・ログを維持するには、 <SQL データ定義言語－
構文規則および例 > の「BEGIN LOGGING」を参照してください。
22
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT ( ロール形式 )
GRANT ( ロール形式 )
目的
ユーザーおよび他のロールにロールを与えます。
注 : この GRANT 文によって外部ロールを付与することはできません。 Teradata
Database 内では、個別の権限とデータベース・ロールを外部ロールに付与すること
だけが可能です。詳細は、 < セキュリティ管理ガイド > および < データベースの管
理 > を参照してください。
構文
,
,
GRANT
role_name
TO
user_name
role_name
WITH ADMIN OPTION
;
KZ01a008
説明
構文要素
指定内容
role_name
指定したユーザーまたは他のロールに与える、 1 つまたは複数
のカンマで区切られたロールの名前を指定します。
システムでは重複したロール名は無視されます。
TO
user_name
role_name
ロールの受領者の名前を指定します。
GRANT 要求につき最大 25 個の名前を指定できます。
受領者はユーザーまたはロールのいずれかですが、ロールを
ロール自体または PUBLIC に与えることはできません。
指定したロールがすでに受領者に与えられている場合、 GRANT
はエラーを生成しません。
WITH ADMIN OPTION
ロールの受領者が DROP ROLE、 GRANT、および REVOKE 文を
使用して、指定したロールを管理する権限を持つことを指定し
ます。
過去に WITH ADMIN OPTION を指定して付与された権限を変
更するには、 GRANT 文に WITH ADMIN OPTION を含める必要
があります。
ANSI への準拠
GRANT は、 ANSI/ISO SQL:2011 に準拠しています。
SQL データ制御言語
23
第 2 章 : 文の構文規則
GRANT ( ロール形式 )
必要な権限
ロールを与える場合は、ロールに対する WITH ADMIN OPTION 権限を持っている
ことが必要です。以下のユーザーが、ロールをユーザーまたは他のロールに付与で
きます。
• ユーザー DBC。
• WITH ADMIN OPTION 付きで指定されたロールを与えられたユーザー。
ロールの作成者には、 WITH ADMIN OPTION 付きで指定されたロールが自動的
に与えられます。
• WITH ADMIN OPTION で指定されたロールが与えられたアクティブ・ロールを
持つユーザー。アクティブ・ロールは、現行ロールまたは現行ロールの入れ子
ロールです。
受領者がロールであってもユーザーであっても、付与者が受領者に権限を与えるた
めに WITH ADMIN OPTION などの権限を受領者に対して持っている必要はありま
せん。
制限付きの権限
ロールはそれ自体に対しても、 PUBLIC に対しても付与できません。また、次に示
すどの権限に対してもロールを付与することはできません。
• CREATE PROFILE
• CREATE ROLE
• CREATE USER
• CTCONTROL
• DROP PROFILE
• DROP ROLE
• DROP USER
ロールについて
ロールは、データベース・オブジェクトに対する複数のユーザーの権限を定義する
ために使用します。ロールを割り当てられているユーザーは、ロールと入れ子ロー
ルが権限を持っているすべてのオブジェクトにアクセスできます。ユーザーには、
ユーザーに付与されたロールだけを割り当てることができます。
新しく作成したロールがデータベース・オブジェクトに対する権限をまだ持ってい
なくても、そのロールをユーザーまたは他のロールに付与できます。
ロールまたはユーザーに付与できるロールの数に制限はありません。
ロールの階層構造
ロールは深さにして 1 つのレベルでのみ入れ子にできます。つまり、入れ子ロールを
持つロールは、入れ子ロールにはなれません。
ANSI/ISO SQL:2011 規格は複数の入れ子レベルを使用できるので、この点で異なり
ます。
24
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT ( ロール形式 )
例
以下の文は、 services および sales というロールを作成します。
CREATE ROLE services;
CREATE ROLE sales;
sales を services の入れ子ロールにするには、以下の GRANT 文を使用する必要があ
ります。
GRANT sales TO services;
sales ロールをユーザー marks に与え、他のメンバーを sales に追加する権限を marks
に与えるには、以下の GRANT 文を使用する必要があります。
GRANT sales TO marks WITH ADMIN OPTION;
詳細情報
内容
参照先
データベース・オブジェクトに対する権限を
ロールに付与する方法と CREATE ROLE シ
ステム権限を取得する方法の詳細
「GRANT (SQL 形式 )」 (26 ページ )
GRANT のロール形式によって付与された権
限を取り消す方法の詳細
「REVOKE ( ロール形式 )」 (105 ページ )
CONNECT THROUGH プロキシ接続権限に
ロールのセットを付加して、永久ユーザー
またはアプリケーション・ユーザーに付与
する方法の詳細
「GRANT CONNECT THROUGH」
(80 ページ )
ユーザーへのデフォルト・ロールの割当て
方法の詳細
• <SQL データ定義言語－構文規則およ
び例 > の「CREATE USER」
• <SQL データ定義言語－構文規則およ
び例 > の「MODIFY USER」
セッションに関する現在のロールの変更方
法の詳細
SQL データ制御言語
<SQL データ定義言語－構文規則および
例 > の「SET ROLE」
25
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
GRANT (SQL 形式 )
目的
データベース、ユーザー、プロキシ・ログオン・ユーザー、表、ハッシュ索引、結
合索引、ビュー、ストアド・プロシージャ、ユーザー定義関数 (UDF)、ユーザー定
義メソッド (UDM)、ユーザー定義タイプ (UDT)、またはマクロに対する 1 つ以上の
明示的権限をロール、ロールのグループ、ユーザー、あるいはユーザーまたはデー
タベースのグループに付与します。
Teradata Database 権限のリストについては、「付録 B: 権限ディクショナリ」 (141
ページ ) を参照してください。
NONTEMPORAL 権限の付与については、 < テンポラル表サポート > を参照して
ください。
26
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
構文
ALL
GRANT
ON
database_name
PRIVILEGES
,
database_name.object_name
privilege
user_name.object_name
,
ALL BUT
A
user_name
object_name
privilege
procedure_name
CTCONTROL
database_name.
user_name.
PROCEDURE
SPECIFIC FUNCTION
specific_function_name
database_name.
user_name.
a
function_name
database_name.
user_name.
FUNCTION
,
a
(
)
data type
parameter_name
TYPE
UDT_name
SYSUDTLIB.
,
role_privilege
,
profile_privilege
CONSTRAINT ASSIGNMENT
CONSTRAINT DEFINITION
1149-001A
,
A
25
user_name
TO
ALL
database_name
WITH GRANT OPTION
;
PUBLIC
,
role_name
SQL データ制御言語
1101B754
27
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
data type
INTEGER
SMALLINT
BIGINT
BYTEINT
DATE
TIME
TIMESTAMP
(fractional_seconds_precision)
WITH TIME ZONE
INTERVAL YEAR
(precision)
TO MONTH
INTERVAL MONTH
(precision)
INTERVAL DAY
(precision)
TO
HOUR
MINUTE
SECOND
( fractional_seconds_precision )
INTERVAL HOUR
(precision)
TO
MINUTE
SECOND
( fractional_seconds_precision )
INTERVAL MINUTE
(precision)
TO SECOND
( fractional_seconds_precision )
INTERVAL SECOND
(precision
)
,fractional_seconds_precision
PERIOD(DATE)
PERIOD(TIME
PERIOD(TIMESTAMP
A
28
)
(precision)
WITH TIME ZONE
B
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
A
B
REAL
DOUBLE PRECISION
FLOAT
( integer )
NUMBER
(
integer
*
)
,
integer
DECIMAL
( integer
NUMERIC
)
, integer
CHAR
( integer )
BYTE
GRAPHIC
( integer )
VARCHAR
CHAR VARYING
VARBYTE
VARGRAPHIC
LONG VARCHAR
LONG VARGRAPHIC
BINARY LARGE OBJECT
( integer
BLOB
(
G
K
M
CHARACTER LARGE OBJECT
CLOB
XML
XMLTYPE
JSON
( integer )
CHARACTER SET
UNICODE
LATIN
UDT_name
SYSUDTLIB.
ST_Geometry
MBR
ARRAY_name
VARRAY_name
SQL データ制御言語
29
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
説明
構文要素
指定内容
ALL [PRIVILEGES]
ユーザーまたはデータベースが、指定されたオブジェクトに対して付与可能なすべ
ての権限を受け取るように指定します。 GRANT ALL の場合は、そのタイプのオブ
ジェクトに関して WITH GRANT OPTION 付きの付与者が所有するすべての暗黙およ
び明示オブジェクト権限だけが指定のデータベース・オブジェクトに関して付与さ
れます。
他のユーザーまたはデータベースへの GRANT オブジェクト権限に対する指定した
ユーザーの能力を含めるには、 WITH GRANT OPTION 句を指定します。
注 : ALL をロールに付与することはできません。
付与者が、オブジェクトに対する WITH GRANT OPTION 権限を持っていない場合
には、エラーが返されます。
モニター権限を与えるには、監視形式の GRANT 文を使用する必要があります。
「GRANT (MONITOR 形式 )」 (20 ページ ) を参照してください。
権限
「付録 B: 権限ディクショナリ」 (141 ページ ) のトピックにリストされている権限の
いずれか、または権限組合わせ用のキーワードのいずれか。
有効な組み合わせ権限キーワードとその意味のリストについては、「単一のキーワー
ドによる複数権限の付与」 (36 ページ ) を参照してください。
INSERT、 REFERENCES、 SELECT および UPDATE の各権限には、表レベルのオプ
ションと列レベルのオプションがあります。「REFERENCES」 (41 ページ ) を参照し
てください。
DELETE 権限は DELETE DML 文だけに適用され、 DELETE USER または DELETE
DATABASE には適用されません ( これらは、それぞれ DROP USER および DROP
DATABASE によって権限が与えられます )。
「privilege キーワードのルール」 (38 ページ ) も参照。特定の文に必要な権限の詳細
については、 SQL マニュアル一式の該当する巻でその「許可」の節を参照してく
ださい。
ALL BUT 権限
ユーザーが、権限リストで指定されたオブジェクトを除くすべての指定されたオブ
ジェクトに対して付与可能なすべての権限を受け取るように指定します。 ALL の場
合と同様に、付与者が WITH GRANT OPTION を所有しているオブジェクト権限だけ
が与えられます。
ALL BUT は、 ANSI/ISO SQL:2011 規格の Teradata 拡張機能です。
データベースまたはユーザーへの権限の付与は、 ANSI/ISO SQL:2011 規格に対する
Teradata の拡張機能です。
database_name |
user_name
権限のセットが付与されるデータベースまたはユーザーの名前。
database_name.object_
name |
user_name.object_name
指定されたデータベース・オブジェクトを直接所有しているデータベースまたは
ユーザーの名前と、権限のセットが付与されるデータベース・オブジェクト ( 表、
ビュー、ストアド・プロシージャ、またはマクロ ) の名前。指定された権限のセッ
トは、指定されたデータベース・オブジェクトにのみ付与されます。
指定されたデータベースまたはユーザーの領域に格納されているすべてのオブジェ
クトに、指定された権限のセットが付与されます。
権限が与えられるオブジェクト ( 表、ビュー、ストアド・プロシージャ、またはマ
クロ ) を直接所有しているデータベースまたはユーザーの名前と、そのオブジェク
ト名を指定します。指定したオブジェクトだけに有効です。
30
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
構文要素
指定内容
object_name
権限のセットが付与されるデータベース・オブジェクト ( 表、ビュー、結合索引、
関数、ストアド・プロシージャ、またはマクロ ) の名前。
Teradata Database はオブジェクト名を検証する前にデータベース名と一致するかどう
かを検証するので、権限を与える際には常にオブジェクト名を修飾する必要があり
ます。
• オブジェクト名が修飾されておらず、同じ名前を持つデータベースがシステムに
より見つかった場合、 Teradata Database はそれがデータベース名であるとみなし
ます。
• オブジェクト名が修飾されておらず、同じ名前を持つデータベースが見つからな
かった場合、 Teradata Database はそれが現在のデフォルト・データベース内のオ
ブジェクトであるとみなします。
• 指定された名前を持つデータベースとオブジェクトのいずれも見つからなかった
場合、 Teradata Database はその要求をアボートして要求側にエラーを返します。
[PROCEDURE]
[database_name |
user_name]
procedure_name
オブジェクトがストアド・プロシージャであることを指定します。
付与される権限に PROCEDURE キーワードが含まれている場合、 PROCEDURE は任
意です。「ストアド・プロシージャ固有の権限」 (57 ページ ) を参照してください。
必要に応じて、 procedure_name は、それを収容している database_name または
user_name で修飾できます。
PROCEDURE を指定する場合は、次の権限を付与できます。
• EXECUTE を指定すると、 EXECUTE PROCEDURE 権限が付与されます。
• DROP を指定すると、 DROP PROCEDURE 権限が付与されます。
ALTER EXTERNAL PROCEDURE 権限および CREATE EXTERNAL PROCEDURE 権
限を明示的に付与する必要があります。
SPECIFIC FUNCTION
[database_name |
user_name]
specific_function_name
権限セットを付与する関数の名前を指定します。
オーバーロード関数に対する権限を付与する場合は、 SPECIFIC FUNCTION キーワー
ドを指定する必要があります。
必要に応じて、 specific_function_name は、それを収容している database_name または
user_name で修飾できます。
FUNCTION
[database_name |
user_name]
function_name
権限セットを付与する UDF の名前を指定します。
付与される権限に FUNCTION キーワードが含まれている場合、 FUNCTION は任意
です。
UDF に関する権限を呼出し名によって付与する場合は、 FUNCTION キーワードを
指定する必要があります。
必要に応じて、 function_name は、それを収容している database_name または
user_name で修飾できます。
SQL データ制御言語
31
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
構文要素
指定内容
[parameter_name]
data_type
UDF に渡す変数についての、括弧に入れたカンマ区切りのデータ・タイプと任意指
定のパラメータ名のリスト。同じ名前のオーバーロード関数を区別するためにデー
タ・タイプが必要です。
BLOB および CLOB タイプは、ロケーターで表わす必要があります ( ロケーターの
説明は、 <SQL データ操作言語 > の「USING 要求修飾子」を参照 )。 Teradata
Database は、メモリ内 LOB パラメータをサポートしていません。 LOB パラメータ
と戻り値ごとに、 AS LOCATOR 句を指定する必要があります。
関数に渡すパラメータがない場合でも、開き括弧と閉じ括弧を指定する必要があり
ます。
パラメータ名を 1 つでも指定した場合には、関数に渡されるすべてのパラメータ名を
指定する必要があります。 <SQL データ定義言語－構文規則および例 > の「HELP
FUNCTION」を参照してください。
各パラメータに関連したデータ型は、パラメータまたは戻り値の型です。すべての
Teradata Database のデータ型は有効です。文字データは、 CHARACTER SET 句も指
定できます。
TYPE [SYSUDTLIB.]
UDT_name
権限セットを付与する UDT の名前を指定します。
UDT_name を含むデータベースを指定する場合、データベースは SYSUDTLIB でなけ
ればなりません。
以下のリストに、 UDT に付与できる各種の TYPE 権限を示します。
• UDTMETHOD は SYSUDTLIB データベースに対してのみ付与できます。
• UDTTYPE は SYSUDTLIB データベースに対してのみ付与できます。
• UDTUSAGE は、 SUSUDTLIB データベースまたは TYPE、あるいはその両方に対
して付与できます。
role_privilege
以下のロール権限うちの 1 つです。
• CREATE ROLE
• DROP ROLE
• ROLE
ROLE 自体は単独の特権ではありません。 CREATE ROLE と DROP ROLE の両方を
指定する簡便な方法です。
ロール権限は、ロールまたは PUBLIC に対して付与できません。
CREATE ROLE および DROP ROLES 権限を付与するには、 ROLE を指定します。
32
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
構文要素
指定内容
profile_privilege
以下の権限のうちの 1 つです。
• CREATE PROFILE
• DROP PROFILE
• PROFILE
PROFILE は単独の権限ではありません。 CREATE PROFILE と DROP PROFILE
の両方を指定する簡便な方法です。
プロファイル権限は、ユーザーのセットまたはロールに対してのみ付与できます。
オブジェクトに付与することはできません。
プロファイルに行レベル・セキュリティ権限を割り当てて、その後、そのプロファ
イルにディレクトリ・ユーザーをマップできます。そのディレクトリ・ユーザーが
永久ユーザーにマップされていなくても、そのユーザーに制約が適用されます。詳
細は、 < セキュリティ管理ガイド > を参照してください。
CREATE PROFILE および DROP PROFILE 権限を付与するには、 PROFILE を指定し
ます。
database_name |
user_name | role_name |
PUBLIC
明示的に与えられた権限が付与されるデータベース、ユーザー、ロールの名前、ま
たは PUBLIC を指定します。このデータベースまたはユーザー領域に含まれるすべ
てのオブジェクトが対象になります。
行レベル・セキュリティ権限を PUBLIC に付与することはできません。
database_name |
user_name
権限が与えられるデータベースまたはユーザーの名前を指定します。このデータ
ベースまたはユーザー領域内のすべてのオブジェクトが対象になります。
database_name.
object_name |
user_name.object_name
権限が与えられるオブジェクト ( 表、ビュー、ストアド・プロシージャ、またはマ
クロ ) を直接所有しているデータベースまたはユーザーの名前と、そのオブジェク
ト名を指定します。指定したオブジェクトだけに有効です。
CONSTRAINT
ASSIGNMENT
システム・レベルの CONSTRAINT ASSIGNMENT 権限。
CONSTRAINT ASSIGNMENT は、ユーザーが、ユーザー、プロファイル、および表
への行レベル・セキュリティ制約オブジェクト割り当てを維持できるようにします
(ALTER TABLE、 CREATE PROFILE、 CREATE TABLE、 CREATE USER、 MODIFY
PROFILE、 MODIFY USER など )。
CONSTRAINT ASSIGNMENT は、特定のユーザーまたはロールにのみ付与できます。
表やデータベースには付与できません。
CONSTRAINT ASSIGNMENT を PUBLIC に付与することはできません。
詳細は、「CONSTRAINT ASSIGNMENT 権限」 (64 ページ ) を参照してください。
CONSTRAINT
DEFINITION
システム・レベルの CONSTRAINT DEFINITION 権限。
CONSTRAINT DEFINITION は、ユーザーが、行レベル・セキュリティ制約を作成し
て維持できるようにします (ALTER CONSTRAINT、 CREATE CONSTRAINT、 DROP
CONSTRAINT など )。
CONSTRAINT DEFINITION は、特定のユーザーまたはロールにのみ付与できます。
表やデータベースには付与できません。
CONSTRAINT DEFINITION を PUBLIC に付与することはできません。
詳細は、「CONSTRAINT DEFINITION 権限」 (65 ページ ) を参照してください。
SQL データ制御言語
33
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
構文要素
指定内容
CTCONTROL
システム・レベルの CTCONTROL 権限。
CTCONTROL では、 GRANT CONNECT または REVOKE CONNECT 文を使用して、
ユーザーが CONNECT THROUGH 権限 ( 「GRANT CONNECT THROUGH」 (80 ペー
ジ ) を参照 ) を付与したり、あるいは取り消したりすることを許可します。
ON 句で CTCONTROL を付与できるのはユーザーのみです。データベース・オブ
ジェクトの他のタイプには付与できません。
CTCONTROL を PUBLIC に付与することはできません。
CTCONTROL 権限はシステム内のすべてのデータベース・オブジェクトに適用され
るため、この権限の付与には十分な注意が必要です。
詳細は、「CTCONTROL 権限」 (53 ページ ) を参照してください。
[ALL] user_name |
database_name
権限が与えられるデータベースまたはユーザーの名前を指定します。 user_name は、
すでにシステム内に定義済みのユーザーの識別子でなければなりません。
GRANT 要求につき最大 25 個の名前を指定できます。
ALL を指定すると、そのオブジェクト権限が、指定したデータベースまたはユー
ザー、およびそのデータベースまたはユーザーによって現在と将来に所有されるす
べてのデータベースまたはユーザーに与えられます。
[ALL] user_name は、 ANSI/ISO SQL:2011 規格に対する Teradata の拡張機能です。
PUBLIC
権限が、既存および今後のすべての Teradata Database ユーザーおよびデータベース
に継承されることを指定します。
WITH GRANT
OPTION
権限を与えられるユーザーが、 WITH GRANT OPTION とともに付与された権限を受
け取ることを指定します。
このオプションは、ロールの受領者には適用されません。
受領者のリスト内にロールがある場合に、 GRANT 文に WITH GRANT OPTION を指
定すると、アボートしてエラー・メッセージが返されます。
database_name |
user_name
role_name が含まれているデータベースまたはユーザーを指定します ( 現在のデータ
ベースまたはユーザー以外の場合 )。
role_name
既存のロールの名前。 Teradata Database ロールまたは EXTERNAL ロールを指定でき
ます。
注 : 行レベル・セキュリティ制約値をロールに割り当てることはできません。これ
らはユーザーやプロファイルにのみ割当て可能です。
これらの権限は、データベース、ユーザーおよびロールに付与できます。例外とし
て、 USER 権限をロールに付与することはできません。
• CREATE DATABASE
• CREATE FUNCTION
• CREATE MACRO
• CREATE TABLE
• CREATE VIEW
• CREATE PROCEDURE
• CREATE USER ( ロールには付与できない )
• DROP DATABASE
• DROP USER ( ロールには付与できない )
34
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
ANSI への準拠
SQL 形式の GRANT は、拡張機能付きで ANSI/ISO SQL:2011 に準拠しています。
必要な権限
オブジェクトに SQL GRANT 文を使用して権限を与える場合には、ユーザーは以下
のいずれかでなければなりません。
• ユーザー DBC
• オブジェクトの所有者
所有者権限に関連するセキュリティ問題の詳細については、「CREATE MACRO
権限のセキュリティに関する考慮事項」 (42 ページ ) を参照してください。
• 付与する各権限を所有しているユーザー
ユーザーは、明示的に権限を付与されていたり、ビュー、マクロ、またはスト
アド・プロシージャを作成した結果としてロールから権限を継承したりするこ
とで、権限を所持していることがあります。
以下の権限を付与するには、 CONSTRAINT ASSIGNMENT 権限を持っている必要が
あります。
• OVERRIDE DELETE CONSTRAINT
• OVERRIDE DUMP CONSTRAINT
• OVERRIDE INSERT CONSTRAINT
• OVERRIDE RESTORE CONSTRAINT
• OVERRIDE SELECT CONSTRAINT
• OVERRIDE UPDATE CONSTRAINT
GRANT (SQL 形式 ) 要求を実行するために必要な権限については、以下の詳細情報
に注意してください。
• ユーザーは、権限を受け取るために所有権を介して付与者と関係する必要はあ
りません。
受領者がロール、ユーザー、データベース、または PUBLIC のいずれであって
も、付与者が受領者に権限を与えるために WITH ADMIN OPTION などの権限を
受領者に対して持っている必要はありません。
• GRANT 文がデータベースまたはユーザーを対象としている場合には、今後その
領域に作成されるすべてのオブジェクトに権限が適用されます。
後で REVOKE 文によって権限を取り消した場合には、オブジェクトがいつ作成
されたかに関係なく、その権限はすべてのオブジェクトから取り消されます。
オブジェクト・レベルの REVOKE 文は、データベースまたはユーザーに対して
与えられたオブジェクトの権限を取り消すことはできません。
• WITH GRANT OPTION 句を指定すると、権限の受領者はその権限を他のユー
ザーに付与できるようになります。
所有者は、所有するすべてのデータベース、ユーザー、またはオブジェクトに
対する WITH TRANT OPTION 権限を暗黙的に所持しています。
SQL データ制御言語
35
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
所有者が明示的に付与できるすべてまた
は任意の権限
• 子データベース
• 子ユーザー
• データベース・オブジェクト
実行内容
• 他の任意のデータベース
• 他の任意のユーザー
• ロール
• PUBLIC
行レベル・セキュリティ権限を
PUBLIC に割り当てることはでき
ません。
• 自動的に与えられた、または明示して与えられたすべての権限は、 REVOKE 文を
使用して取り消すことができます。「REVOKE (SQL 形式 )」 (108 ページ ) を参照
してください。
• 暗黙権限は、取り消すことができません。
詳細情報
Teradata Database 権限のリストについては、「付録 B: 権限ディクショナリ」 (141
ページ ) を参照してください。
単一のキーワードによる複数権限の付与
Teradata Database には、複数の権限を付与するために使用できる、特別なカテゴ
リのキーワードがあります。たとえば、次に示す GRANT 要求では、キーワード
DATABASE を使用することで、 CREATE DATABASE 権限と DROP DATABASE 権
限の両方を user_name に付与します。
GRANT DATABASE on user_name;
次の表では、このクラスのキーワードをリストし、そのキーワードによってユー
ザーまたはデータベースに対して付与される複数の権限を示します。
キーワード
権限
ALL
指定したオブジェクトのタイプに関係する WITH GRANT
OPTION 付きの付与者が、暗黙的および明示的に所有するすべ
てのオブジェクト権限のみが、指定したデータベース・オブ
ジェクトに対して付与される。
AUTHORIZATION
• CREATE AUTHORIZATION
• DROP AUTHORIZATION
CHECKPOINT
• CHECKPOINT SQL 文を実行できるようになる
• HUT CHECKPOINT コマンドを実行できるようになる
DATABASE
• CREATE DATABASE
• DROP DATABASE
36
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
キーワード
権限
DROP
• ON 句で FUNCTION が指定されている場合、付与される権限
は DROP FUNCTION です。
• ON 句で PROCEDURE が指定されている場合、付与される権
限は DROP PROCEDURE です。
EXECUTE
• ON 句で FUNCTION が指定されている場合、付与される権限
は EXECUTE FUNCTION です。
• ON 句で PROCEDURE が指定されている場合、付与される権
限は EXECUTE PROCEDURE です。
• ON 句で何も指定されていない場合、付与される権限は
EXECUTE MACRO です。
FUNCTION
• CREATE FUNCTION
• DROP FUNCTION
GLOP
• CREATE GLOP
• DROP GLOP
INDEX
• CREATE INDEX
• DROP INDEXDROP INDEX
MACRO
• CREATE MACRO
• DROP MACRO
PROCEDURE
• CREATE PROCEDURE
• DROP PROCEDURE
PROFILE
• CREATE PROFILE
• DROP PROFILE
RESTORE
指定したオブジェクトに対して、次の HUT コマンドを実行でき
るようになる。
• DELETE JOURNAL
• ROLLBACK
• ROLLFORWARD
ROLE
• CREATE ROLE
• DROP ROLE
SHOW
次の SQL 文のみを実行できるようなる。
• HELP database_object
• SHOW database_object
STATISTICS
• COLLECT STATISTICS
• DROP STATISTICS
TABLE
• CREATE TABLE
• DROP TABLE
SQL データ制御言語
37
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
キーワード
権限
TRIGGER
• CREATE TRIGGER
• DROP TRIGGER
USER
• CREATE USER
• DROP USER
VIEW
• CREATE VIEW
• DROP VIEW
データ・ディクショナリの権限の略語
権限と DBC.AccessRights で維持されるその略語の完全なリストは、「付録 B: 権限
ディクショナリ」 (141 ページ ) を参照してください。 GRANT (SQL 形式 ) 要求で
は、これらの略語を使用できません。完全な権限名を指定する必要があります。
privilege キーワードのルール
privilege キーワードの使用時には、以下のルールが適用されます。
• 権限は任意の組合わせで指定することができます。ただし、文を実行するユー
ザーは、それらを許可するための所定の権限を持っている必要があります。
• 権限の受領者は、権限を与えられたオブジェクトに対して、対応する文を実行
することができます。
たとえば、 user_1 がデータベース DBTest に対する CREATE TABLE 権限を受領
した場合、 user_1 は、新しい表が DBTest に作成される CREATE TABLE 文を実
行できます ( 宛先データベースは、 user1 のデフォルトのデータベースによって
暗黙のうちに、または完全修飾の表名によって明示的に解釈されます )。
• STATISTICS 権限は COLLECT STATISTICS 文を許可します。 STATISTICS は、
表レベルおよびデータベース・レベルで付与できます。
• CHECKPOINT 権限は、 SQL 文とホスト・ユーティリティ (HUT) コマンドの実
行を参照します。
DUMP および RESTORE 権限は、指定されたオブジェクトに対して実行される、
対応する HUT コマンドを参照します。
RESTORE も、 HUT コマンドの ROLLBACK、 ROLLFORWARD、および
DELETE JOURNAL の実行を参照します。
• DATABASE、 FUNCTION、 MACRO、 TABLE、 VIEW、 PROCEDURE、または
USER の CREATE 形式、および DATABASE、 USER の DROP 形式は、データ
ベースまたはユーザーに対してのみ許可されます。
• DROP TABLE は、表に対する次の文を許可します。
• ALTER TABLE
38
•
CREATE INDEX
•
DROP INDEX
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
• DROP MACRO、 PROCEDURE、または VIEW には、 REPLACE MACRO、
PROCEDURE、または VIEW が含まれます。
• DROP MACRO および EXECUTE のみがマクロに対して許可されます。
• ALTER PROCEDURE、 DROP PROCEDURE、 EXECUTE PROCEDURE、および
CREATE OWNER PROCEDURE のみがストアド・プロシージャに対して許可さ
れます。
• CREATE OWNER PROCEDURE は、明示的にユーザーまたはデータベースに付
与しなければならない明示権限です。
• ALTER PROCEDURE ( 外部形式 ) 文を使用して、 PROTECTED 状態と NOT
PROTECTED 状態との間で外部プロシージャの実行状態を変更するには、
ALTER EXTERNAL PROCEDURE が必要です。 <SQL データ定義言語－構文規
則および例 > の「ALTER PROCEDURE ( 外部形式 )」を参照してください。
• UDF で使用できるのは、 ALTER FUNCTION、 DROP FUNCTION、および
EXECUTE FUNCTION のみです。
• UDF に対して ALTER FUNCTION 権限を付与することはできません。
• DUMP、 RESTORE、 INDEX、および CHECKPOINT は、ビューに対して許可さ
れません。
• DATABASE、 FUNCTION、 INDEX、 GLOP、 MACRO、 PROCEDURE、
PROFILE、 ROLE、 TABLE、 USER、および VIEW を指定すると、 CREATE およ
び DROP の権限が与えられます。
DATABASE、 FUNCTION、 INDEX、 GLOP、 MACRO、 PROCEDURE、
PROFILE、 ROLE、 TABLE、 USER、または VIEW キーワードに CREATE または
DROP を指定しないと、デフォルトで CREATE および DROP が与えられます。
• INDEX は、表に対する次の文を許可します。
• CREATE INDEX
•
DROP INDEX
• INSERT、 REFERENCES、 SELECT および UPDATE には、表レベルのオプション
と列レベルのオプションがあります。
• GENERATED BY DEFAULT の識別列に対する UPDATE 権限は付与できません。
• 権限は、トリガーに付与することはできません。そのトリガーが適用される
データベースまたは表にのみ付与できます。
CREATE TRIGGER および DROP TRIGGER 権限は、指定されたデータベースま
たはトリガーの対象となる表に対して、ユーザーに付与されます。
• CREATE ROLE、 DROP ROLE、 CREATE PROFILE、および DROP PROFILE 権限
は、ユーザーのみに付与でき、ロール、データベース、または PUBLIC には付
与できません。
• CREATE ROLE、 DROP ROLE、 CREATE PROFILE、および DROP PROFILE はシ
ステム権限です。この権限はユーザーに付与するもので、特定のオブジェクト
に対して付与するものではありません。
• CONSTRAINT ASSIGNMENT、 CONSTRAINT DEFINITION、 CTCONTROL シス
テム権限に対する GRANT または REVOKE 要求は、ユーザー DBC か、事前に
WITH GRANT OPTION 権限を付与されているユーザーのみが実行できます。
これらの権限を PUBLIC や EXTUSER に付与することはできません。
SQL データ制御言語
39
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
• CONSTRAINT ASSIGNMENT、 CONSTRAINT DEFINITION、 CTCONTROL 権限を
付与する際に指定するユーザーやロールの名前は、既存のユーザーやロールに
割り当てられている固有な識別子にする必要があります。 PUBLIC や EXTUSER を
指定することはできません。
• SHOW 権限により、ユーザーは、データベース・オブジェクトの定義を表示
(SHOW object_type 要求 ) したり、データベース・オブジェクトの定義とその他
の情報についてのヘルプを要求 (HELP object_type 要求 ) できるようになります
が、オブジェクトの定義を変更したり、オブジェクトから行を取得することは
できません。
明示的に付与する必要がある SHOW は、オブジェクト・レベルおよびデータ
ベース・レベルで付与できます。オブジェクトの作成者が、作成したオブジェ
クトに対する SHOW 権限を自動的に受け取ることはありません。ユーザー DBC
は、ディクショナリ表に対するこの権限を他のユーザーやデータベースに付与
することもできます。
SHOW CONSTRAINT には CONSTRAINT ASSIGNMENT または CONSTRAINT
DEFINITION 権限が必要です。
SHOW を使用すると、 SHOW TABLE、 HELP TABLE および HELP STATISTICS
のような、あらゆる種類のすべての権限が必要な文へのアクセスを提供できま
す。また、あらゆる権限が必要なすべての文に SHOW が使用できます。
DBA はこの権限によって、表に対して SELECT アクセスすることなく、表や
ビューの SHOW または、 HELP STATISTICS などを実行する能力をユーザーに
付与できるようになります。
GRANT と GIVE の相違点
GRANT 文は特定の権限を割り当てるためだけに使用し、 GIVE 文はデータベース
またはユーザーの所有権を他のデータベースやユーザーに譲渡するために使用しま
す。詳細は「GIVE」 (16 ページ ) を参照してください。
権限が付与されるタイミング
GRANT は、後続の文が実行されると直ちに有効になります。直前に付与された権
限を受け取るために、ログアウトする必要はありません。
オブジェクト名
object_name 要素は、表、結合索引、ハッシュ索引、ビュー、ストアド・プロシー
ジャ、 UDF、 UDM、 UDT、またはマクロの名前です。権限オプションの形式に一
連の列名が含まれている場合は、 object_name で表またはビューのどちらかを指定
する必要があります。
object_name がデータベース名またはユーザー名で修飾されておらず、実行する
ユーザーの現在のデータベースと受領者のデータベースの両方に、その同じ名前を
持つオブジェクトがある場合には、そのオブジェクトは、実行するユーザーの現在
のデータベース内にあると想定されます。唯一の例外は、 UDT 関連の UDF および
メソッドを含む、 UDT に関係するすべてのオブジェクトの場合です。これらはすべ
て SYSUDTLIB データベースに含まれていなければなりません。
40
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
修飾されていない object_name が現在のデータベースのオブジェクトの名前でもあ
り、現在のデータベース内または受領者のデータベース内の表の名前でもある場合
には、現在のデータベースのオブジェクトであるとみなされます。
REFERENCES
REFERENCES 権限は、表レベルと列レベルの両方に適用されます。 CREATE
TABLE または ALTER TABLE 文の FOREIGN KEY 句で暗黙にまたは明示的に参照
されるすべての列に必須です。システムは、表の作成者に対して、付与権限ととも
にこの権限を自動的に与えます。所有者は、権限を暗黙的に取得します。
キーワード INSERT、 REFERENCES、 SELECT または UPDATE とともに列リスト
( カンマで区切られて括弧で囲まれた列名のリスト－例えば、 (column_name_1,
..., column_name_n)) を指定したとき、指定された一連の受領者が、表レベルの
指定された権限と該当する付与権限をすでに持っている場合、システムでは、
その文を受け付けますが、何も処理しません。これは、表レベルでの INSERT、
REFERENCES、 SELECT または UPDATE 権限を持っていることでも、そのすべて
の列に対するその動作が許可されるからです。
INDEX
INDEX 権限は、表レベルでのみ適用されます。 CREATE INDEX 文または DROP
INDEX 文を実行するには、この権限と DROP TABLE のどちらかを持っている必要
があります。システムは、表の直接の所有者に対して、付与権限とともにこの権
限を作成時に暗黙に与えます。
列レベルの権限
DBC.AccessRights 表には、 INSERT、 REFERENCES、 SELECT、または UPDATE 権
限が与えられている列のフィールド ID が保管されます。列のタイプは SMALLINT
です。ヌルにはなりません。行によって定義された権限が列レベルでない場合に
は、その列の値はゼロに設定されます。
列レベルの権限は、表の所有者によって暗黙に保持されます。暗黙権限の場合には
常に当てはまることですが、列レベルの暗黙権限の場合も DBC.AccessRights に行が
挿入されません。
INSERT、 REFERENCES、 SELECT、または UPDATE 権限が表レベルで与えられた
場合、 DBC.AccessRights には個々の列に対する行は生成されません。
行が DBC.AccessRights で生成されるのは、受領者が表レベルの権限を持っていない
場合に、 GRANT 文の実行によって列レベルで権限が与えられたときだけです。
唯一の例外は、 GRANT 権限なしで表レベルの権限を持っているユーザーまたは
データベースが、個々の列に対してその権限を、付与権限とともに与えられた
場合です。
SQL データ制御言語
41
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
データの変更に必要な権限
何らかの形式の更新、削除、または挿入操作 (MERGE 要求によって実行される挿
入および更新操作を含む ) を行なう必要のあるユーザーは、削除、挿入、マージま
たは更新要求で読み取られるすべての列に対して、そのユーザーが値を読み取るた
めの SELECT 権限を所持している必要があります。
INSERT 文については、自身に対して実行される INSERT … SELECT 文によって表
自体が再帰的に拡大する場合のみ、 SELECT 権限が必要になります。
更新、削除または挿入先の列が UDT 型の場合、その UDT に対する UDTUSAGE ま
たは UDTTYPE 権限も必要となります。
ユーザーがビューを通して行を削除すると、ビューで定義されていない列内のデー
タ ( 場合によっては企業にとって重要なデータ ) が誤って削除されてしまう可能性
があるため、ビューを通して削除を行なう権限の付与には注意が必要です。
CREATE MACRO 権限のセキュリティに関する考慮事項
データベースまたはユーザーに対する CREATE MACRO 権限を付与する前に、権限
の受領者がそのデータベースまたはユーザーのすべての権限を持つマクロを作成し
て実行できることを理解しておいてください。これは、 CREATE MACRO では、
権限はマクロの作成者でなく所有者から継承されるためです。
その結果、受領者は作成者の権限が検査されない DCL および DDL 文を含むマク
ロを作成できます。つまり、マクロ作成者には、実行する明示的、暗黙的、または
自動的な権限を持たない権限が、暗黙に割り当てられることになります。これは望
ましい結果にならないことがあるので、この権限を与える際は十分に注意する必要
があります。
たとえば、次の図で示されているシナリオを考えます。
SysAdmin DBA
DBA
GRANT CREATE MACRO
ON Compensation
TO CompAnalyst 6;
CompAnalyst 6
Compensation
CREATE MACRO everything AS
(GRANT ALL PRIVILEGES ON Compensation
TO CompAnalyst 6;);
1101B001
compensation データベースは DBA によって所有されています。
compensation のシステム管理者であるユーザー SysAdminDBA は、 compensation に
対する権限 (CREATE MACRO WITH GRANT OPTION を含む ) と、 compensation に
よって所有されるすべてのオブジェクトに対する権限を所持しています。
42
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
SysAdminDBA は、結果的に次のものを自身に与えることもできます。
• compensation によって所有されるオブジェクトに対する権限
• compensation が WITH GRANT OPTION を持っている権限
• compensation によって所有される暗黙権限
SysAdminDBA は、州および連邦の規制局によって実行された日常的な監査につい
ての補正報告を作成する作業を担当する基本レベルのプログラマ用に、ユーザー
CompAnalyst6 を作成します。重要機密である従業員の基本給およびボーナス情報に
アクセスできないようにするため、 CompAnalyst6 には、 compensation データベース
内のオブジェクトに対する権限の制限セットだけを与えられます。
CompAnalyst6 がレポートを作成しやすくするため、 SysAdminDBA は、次のように
compensation に対する CREATE MACRO 権限も CompAnalyst6 に与えます。
GRANT CREATE MACRO
ON compensation
TO companalyst6;
compensation でマクロを実行する権限は compensation から派生するので、 CompAnalyst6
は、表示を制限される種類の私用データについてのみ報告するマクロを作成して実
行できます。
たとえば、次のプロシージャで概要を示している 3 つの手順により、 CompAnalyst6
は、単純なマクロを介してすべての表への完全アクセスを与えてから、データベー
ス・オブジェクトを作成したり、企業内の各従業員の給与およびボーナスのデータ
について報告する問合わせを実行したりすることができます。
1
CREATE MACRO everything AS
(GRANT ALL PRIVILEGES ON compensation
TO companalyst6;);
2
EXECUTE everything;
3
SELECT *
FROM salary, bonus;
CompAnalyst6 は、 compensation データベース内のデータを変更し、表を削除するこ
ともできます。
ロギング・アクセスの試み
アクセス試行に関するセキュリティ・ログを保守する必要がある場合は、アクセ
ス・ロギング機能を使用できます (<SQL データ定義言語－構文規則および例 >
の「BEGIN LOGGING」を参照 )。
付与権限の制限
他のユーザー、データベース、ロール、または PUBLIC へ明示して権限を与える場
合、その要求された権限が、与えられるか、どのように与えられるのか、およびど
のオブジェクトに対して与えることがきるのかを決める一定の規則があります。明
示的に付与される権限に対する制限について、次のページの表で詳しく説明します。
SQL データ制御言語
43
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
この表の最初の列では権限のタイプを示し、 2 番目の列ではその権限をデータベー
ス、ユーザー、ロール、または PUBLIC に付与するときの制限を説明し、 3 番目の
列では表、ビュー、関数、ストアド・プロシージャ、、メソッド、 UDT、またはマ
クロに付与するときの制限を説明しています。
権限
ALL
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
付与者がオブジェクトに対して付与でき
るすべての権限。
以下は、付与者が権限を所有している場
合にのみ適用されます。
• SYSUDTLIB データベースに対して
UDTMETHOD を付与します。
• マクロに対する EXECUTE と DROP
の付与。
• データの表に対する DROP、
DELETE、 INDEX、 INSERT、
REFERENCES、 SELECT、 UPDATE、
RESTORE、 CREATE TRIGGER、
DROP TRIGGER、および DUMP
の付与。
• ハッシュ索引と結合索引に対する
DROP の付与。
• ビューに対する DROP、 DELETE、
INSERT、 SELECT、および UPDATE
の付与。
• ジャーナル表に対する INSERT、
DUMP、 RESTORE、および
CHECKPOINT の付与。
• ストアド・プロシージャに対する
ALTER PROCEDURE、 DROP
PROCEDURE、および EXECUTE
PROCEDURE 権限の付与。
• 指定された UDF に対する ALTER
FUNCTION、 DROP FUNCTION、およ
び EXECUTE FUNCTION 権限の付与。
• ユーザーへの CREATE GLOP、 GLOP、
および DROP GLOP の付与。
• 指定したユーザーまたはデータベース
への GLOP MEMBER の付与。
• 指定したユーザー、データベースまた
は表への NONTEMPORAL の付与。
詳細は、 < テンポラル表サポート > を
参照してください。
WITH GRANT OPTION 付きで付与さ
れた場合、権限を与えられるユー
ザーは他のユーザーに UDTMETHOD、
UDTTYPE、および UDTUSAGE を付
与でき、任意に WITH GRANT
OPTION 付きで付与することも可能
です。
44
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
ALTER FUNCTION
ALTER PROCEDURE
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
指定された領域内のすべての外部 UDF
または内部ストアド・プロシージャに適
用される権限。
ALTER FUNCTION は UDF に対して無
効です。
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
指定された外部 UDF またはストアド・
プロシージャに適用される権限。
ALTER FUNCTION は UDF に対して無効
です。
ALTER EXTERNAL
PROCEDURE
指定された領域内のすべての外部ストア
ド・プロシージャに適用される権限。
指定された外部ストアド・プロシージャ
に適用される権限。
CHECKPOINT
指定したデータベース内のジャーナル表
に適用される権限。
指定したジャーナル表に適用される
権限。
CONSTRAINT
ASSIGNMENT
WITH GRANT OPTION が指定された
ユーザー DBC に付与されるシステム・
レベルの権限。 DBC はこの権限を、シ
ステム用に定義された他の任意のユー
ザーまたはロールに付与できます。
CONSTRAINT ASSIGNMENT は、プロ
ファイル、表およびユーザーに関する制
約割り当てを保守するために使用される
以下の SQL 文に適用されます。
• ALTER TABLE
• CREATE PROFILE
• CREATE TABLE
• CREATE USER
• MODIFY PROFILE
• MODIFY USER
• SHOW CONSTRAINT
CONSTRAINT
DEFINITION
WITH GRANT OPTION が指定された
ユーザー DBC に付与されるシステム・
レベルの権限。 DBC はこの権限を、
システム用に定義された他の任意のユー
ザーまたはロールに付与できます。
CONSTRAINT DEFINITION は、以下の
SQL 文を実行する際に適用されます。
• ALTER CONSTRAINT
• CREATE CONSTRAINT
• DROP CONSTRAINT
CREATE DATABASE
CREATE USER
SQL データ制御言語
指定した領域に対する CREATE 権限。
適用されない。
45
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
CREATE EXTERNAL
PROCEDURE
CREATE FUNCTION
CREATE MACRO
CREATE PROCEDURE
CREATE TABLE
CREATE VIEW
指定した領域のオブジェクトに対する
CREATE 権限。
CREATE GLOP
指定したユーザーに対する CREATE 権限。
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
適用されない。
この権限は、ユーザーまたはデータベースの作成時に、自動的には付与されない。
CREATE PROFILE
CREATE ROLE
オブジェクトに対する CREATE
PROFILE および CREATE ROLE
は付与できない。
オブジェクトに対する CREATE
PROFILE および CREATE ROLE
は付与できない。
CREATE TRIGGER
指定した領域のオブジェクトに対する
CREATE 権限。
指定した表に対する CREATE 権限。
CTCONTROL
総合的なシステム権限であり、特定の表またはデータベースに対しては付与または
取消しされない権限。
CTCONTROL 権限は、ユーザーに対してのみ付与できる。
ユーザー DBC は、 WITH GRANT OPTION で他のどのユーザーにでも CTCONTROL
権限を付与できる。
DATABASE
FUNCTION
GLOP
INDEX
MACRO
PROCEDURE
PROFILE
ROLE
TABLE
TRIGGER
USER
VIEW
指定した領域の指定した種類に対する
CREATE および DROP 権限。
適用されない。
DELETE
INSERT
SELECT
UPDATE
指定したデータベース内のすべての表ま
たはビューに適用される権限。
指定された表、ビューまたは列にだけ適
用される権限。
UPDATE、 INSERT および SELECT は、
表、またはその表の列セットに適用さ
れる。
GENERATED ALWAYS の識別列に対す
る UPDATE は付与できない。
ビューに対して与えられた権限を受領者
が使用するために、ビューの直接所有者
は、そのビューによって参照される表お
よびビューに対する適切な権限を持って
いる必要がある。
46
TRIGGER は、トリガーが定義されてい
る表に適用される。
ビューに対して与えられた権限を受領者
が使用するために、ビューの直接所有者
は、そのビューによって参照される表お
よびビューに対する適切な権限を持って
いる必要がある。
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
DROP
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
適用されない。
指定した以下のものに対する DROP
権限。
•
ストアド・プロシージャ。
PROCEDURE をプロシージャ名の前
に、または指定した関数に対して指定
する場合。
• 関数。 FUNCTION または SPECIFIC
FUNCTION を関数名の前に指定する
場合。
DROP DATABASE
DROP USER
指定した領域に対する DROP 権限。
適用されない。
DROP FUNCTION
DROP MACRO
DROP PROCEDURE
DROP TABLE
DROP TRIGGER
DROP VIEW
指定した領域のオブジェクトに対する
DROP 権限。
指定された UDF、マクロ、ストアド・プ
ロシージャ、表、またはビューに対する
DROP 権限。
DROP GLOP
指定のユーザーまたはデータベースに指定した GLOP セットに対する DROP 権限。
DROP TRIGGER は、トリガーが定義さ
れている表に適用される。
この権限は、ユーザーまたはデータベースの作成時に、自動的には付与されない。
この権限は、 GLOP セットの作成者および所有者に、自動的に付与される。
DROP PROFILE
DROP ROLE
DROP PROFILE および DROP ROLE は、
ユーザーまたはロールに対してだけ付与
できる。オブジェクトに付与することは
できない。
DROP PROFILE および DROP ROLE は、
ユーザーまたはロールに対してだけ付与
できる。オブジェクトに付与することは
できない。
DUMP
RESTORE
指定したデータベース内のすべての表に
適用される権限。
指定したデータ表またはジャーナル表に
だけ適用される権限。
EXECUTE
指定されたデータベース内のすべての
UDF またはマクロに適用される権限。
キーワード FUNCTION、 SPECIFIC
FUNCTION、または PROCEDURE が指
定されていない場合、権限は、指定した
マクロに適用される。
UDF またはマクロに対する権限を受領
者が使用するために、マクロまたは
UDF の直接所有者は、そのマクロまた
は UDF によって参照されるオブジェク
トに対する適切な権限を持っている必要
がある。
UDF またはマクロに対する権限を受領者
が使用するために、マクロの直接所有者
は、そのマクロによって参照されるオブ
ジェクトに対する適切な権限を持ってい
る必要がある。
キーワード FUNCTION、 SPECIFIC
FUNCTION、または PROCEDURE が指
定されている場合、権限は、指定された
UDF またはストアド・プロシージャに適
用される。
SQL データ制御言語
47
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
EXECUTE FUNCTION
EXECUTE PROCEDURE
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
指定された領域内のすべての UDF また
はストアド・プロシージャに適用される
権限。
プロシージャに対する権限を受領者が使
用するために、ストアド・プロシージャ
の直接所有者は、そのストアド・プロ
シージャが参照するオブジェクトに対す
る適切な権限を持っている必要がある。
GLOP MEMBER
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
指定された UDF またはストアド・プロ
シージャに適用される権限。
プロシージャに対する権限を受領者が使
用するために、ストアド・プロシージャ
の直接所有者は、そのストアド・プロ
シージャが参照するオブジェクトに対す
る適切な権限を持っている必要がある。
外部ルーチンが、定義内の MEMBER OF GLOP SET 句で指定した GLOP セットにア
クセスできるようにする権限 ( その GLOP セットが、外部ルーチンを含むユーザー
またはデータベース内に含まれていない場合 )。
この権限は、ユーザーまたはデータベースの作成時に、自動的には付与されない。
INDEX
適用されない。
表、ハッシュ索引、および結合索引に適
用される権限。
NONTEMPORAL
表、データベース、またはユーザーに適
用する権限。
表レベルで付与される権限。詳細は、
< テンポラル表サポート > を参照し
てください。
この権限は自動的には付与されません。
また、ユーザー DBC、あるいは WITH
GRANT OPTION 権限がすでに付与され
ているユーザーによって、明示的に付与
される必要があります。詳細は、 < テン
ポラル表サポート > を参照してください。
48
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
OVERRIDE DELETE
CONSTRAINT
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
表、データベース、列またはユーザー
に付与できるオブジェクト・レベルの
権限。
OVERRIDE INSERT
CONSTRAINT
行レベル・セキュリティ関数が文アク
ション・タイプ用に作成されていない場
合、そのタイプの文は、その文を実行す
るために必要な上書き権限を持っている
ユーザーだけが実行できます。
OVERRIDE SELECT
CONSTRAINT
OVERRIDE UPDATE
CONSTRAINT
ユーザーが上書き権限を持っている場
合、要求では宛先行の制約列に割り当
てられる値を指定する必要があります。
これらの権限を付与するには、
CONSTRAINT ASSIGNMENT 権限が必要
です。
• オブジェクトが表である場合は、その
すべての制約列で OVERRIDE 権限が
付与されます。
• オブジェクトがデータベースやユー
ザーである場合は、そのデータベース
またはユーザー内に含まれるすべての
表のすべての制約列に対して
OVERRIDE 権限が付与されます。
これらの権限を指定する GRANT 要求で
は、権限が付与される CONSTRAINT オ
ブジェクトも指定する必要があります。
OVERIDE DUMP
CONSTRAINT
OVERIDE RESTORE
CONSTRAINT
OVERIDE DUMP CONSTRAINT と
OVERIDE RESTORE CONSTRAINT は、
ユーザーとロールにのみ付与できます。
ユーザーやロールに付与できるオブジェ
クト・レベルの権限。
これらの権限を付与するには、
CONSTRAINT ASSIGNMENT 権限が必要
です。
• オブジェクトが表である場合、少なく
とも 1 つの行レベル・セキュリティ制
約がそれと共に定義されている必要が
あります。
• オブジェクトがユーザーである場合、
1 つ以上の行レベル・セキュリティ制
約を持つ表が少なくとも 1 つ含まれて
いる必要があります。
注 : データベースに、 1 つ以上の行レ
ベル・セキュリティ制約を持つ表が含
まれている必要はありません。
SQL データ制御言語
49
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
PROFILE
ROLE
CREATE PROFILE、 DROP PROFILE、
CREATE ROLE、および DROP ROLE
は、ユーザーおよびロールに対してだけ
付与できる。オブジェクトに付与するこ
とはできない。
CREATE PROFILE、 DROP PROFILE、
CREATE ROLE、および DROP ROLE は、
ユーザーおよびロールに対してだけ付与
できる。オブジェクトに付与することは
できない。
REFERENCES
適用されない。
表または表の列に対して適用される権限。
SHOW
適用されない。
表、ハッシュ索引、結合索引またはデー
タベースに対して適用される権限。
権限
受領者が権限を付与されたデータベー
ス・オブジェクトに対して、 HELP また
は SHOW 要求以外のあらゆる操作を実
行する能力が許可されない権限。
STATISTICS
50
適用されない。
表、ハッシュ索引、結合索引、または
データベースに関する統計を収集するた
めの権限。
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
UDTMETHOD
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
SYSUDTLIB データベースに対してのみ
付与できます。
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
適用されない。
SYSUDTLIB データベース内に含まれる
すべての UDT、メソッド、および UDF
に適用される権限。
実質的には、 SYSUDTLIB データベース
内に含まれるすべての UDT に対して
UDTUSAGE を付与し、 SYSUDTLIB デー
タベースに対して UDTTYPE を付与し
ます。
指定した UDT オブジェクトに適用され
る権限。
• 表またはビューの UDT 列にアクセス
できるようにします。
• メソッド・シグネチャを含んでいる
場合、 CREATE TYPE、 ALTER
TYPE、および DROP TYPE を付与し
ます。
• CREATE ORDERING および DROP
ORDERING を付与します。
• CREATE CAST および DROP CAST を
付与します。
• CREATE TRANSFORM および DROP
TRANSFORM を付与します。
• UDT 列に対する CREATE TABLE を
付与します。
• UDF またはストアド・プロシージャ
に含まれる UDT を参照できるように
します。
• すべてのメソッドを実行できるよう
にします。
• CREATE METHOD、 ALTER
METHOD、および REPLACE
METHOD を付与します。
SQL データ制御言語
51
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
UDTTYPE
オブジェクト ( データベース、
ユーザー、ロール、 PUBLIC)
SYSUDTLIB データベースに対してのみ
付与できます。
表、ビュー、関数、 GLOP、
メソッド、 UDT、プロシージャ、制約、
またはマクロ
適用されない。
SYSUDTLIB データベース内に含まれる
すべての UDT、メソッド、および UDF
に適用される権限。
実質的には、 SYSUDTLIB データベース
内に含まれるすべての UDT に対して
UDTUSAGE を付与します。
指定した UDT オブジェクトに適用され
る権限。
• 表またはビューの UDT 列にアクセス
できるようにします。
• メソッド・シグネチャが指定されて
いない場合にのみ、 CREATE TYPE お
よび ALTER TYPE を付与します。
• DROP TYPE を付与します。
• CREATE ORDERING および DROP
ORDERING を付与します。
• CREATE CAST および DROP CAST を
付与します。
• CREATE TRANSFORM および DROP
TRANSFORM を付与します。
• UDT 列に対する CREATE TABLE を
付与します。
• UDF またはストアド・プロシージャ
に含まれる UDT を参照できるように
します。
• すべてのメソッドを実行できるよう
にします。
UDTUSAGE
付与する対象
• SYSUDTLIB データベース
• TYPE
SYSUDTLIB データベース内に含まれる
すべての UDT、メソッド、および UDF
に適用される権限。
指定した UDT オブジェクトに適用され
る権限。
• 表またはビューの UDT 列にアクセス
できるようにします。
• 指定した UDT にのみ関連付けられて
いるすべてのメソッドを実行できるよ
うにします。
グローバル一時表および揮発表の権限の付与
GRANT は、常にグローバル一時表の実表に適用され、実体化されたインスタンス
には適用されません。永久表の場合と同様に、ユーザーは、 GRANT 要求を実行す
る前に適切な権限を持っていなければなりません。
52
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
Teradata Database では権限のチェックが行なわれないため、揮発表に権限を GRANT
することはできません。
ビュー、マクロ、およびストアド・プロシージャに対する権限の検証
この文が実行されるタイミング
作成者に対するシステムによる検証
CREATE MACRO
マクロ本体の SQL 文を実行するために必要な権限を
検証する。
CREATE PROCEDURE
(SQL 形式 )
ストアド・プロシージャ本体の SQL 文を実行するた
めに必要な権限を検証する。
• CREATE PROCEDURE
( 外部形式 )
• ALTER PROCEDURE
( 外部形式 )
CREATE EXTERNAL PROCEDURE 権限と、有効な
API 関数呼出しのいずれかを使用して指定した表、
列およびビューにアクセスするために必要な権限を
検証。
CREATE PROCEDURE … SQL
SECURITY OWNER ( 両方の
形式 )
CREATE OWNER PROCEDURE 権限と、以下のいずれ
かの権限を検証します。
CREATE VIEW
下層の基本表およびビューに対する SELECT 権限を検
証する。
• SQL 形式の場合は、基礎となる表、列および
ビューに対してストアド・プロシージャ本体にある
SQL 文を実行するために必要な権限。
• 外部形式の場合は、基礎となる表、列およびビュー
に対して有効な API 関数呼出しを使用するために
必要な権限。
また、 Teradata Database は、ビューにアクセスするか、マクロまたはストアド・プロ
シージャを実行するユーザーに対しても、対象となるオブジェクトに適切な権限が存在する
かどうかを検証します。したがって、対象のオブジェクトを変更しても、そのオブ
ジェクトを参照するビュー、マクロ、ストアド・プロシージャのいずれかが呼び出さ
れたときに、権限の違反が発生しないようになっています。
CTCONTROL 権限
CTCONTROL では、 GRANT CONNECT または REVOKE CONNECT 文を使用して、
ユーザーが CONNECT THROUGH 権限の付与するか取り消すことを可能にします。
CTCONTROL 権限は、特定のユーザーにのみ付与できます。
CTCONTROL 権限の不要に適用されるルールは、次のとおりです。
• user_name で指定したユーザーは、システムで既存のユーザーにする必要があり
ます。 user_name に、ロールを指定することはできません。ロールに CTCONTROL
権限を付与しようとすると、その要求はアボートされ、ユーザーにメッセージ
が返されます。
• ユーザー DBC は、 WITH GRANT OPTION で他のどのユーザーにでも
CTCONTROL 権限を付与できます。
SQL データ制御言語
53
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
• ユーザーに対して CTCONTROL 権限の GRANT 要求を実行するには、ユーザー
DBC か、事前に WITH GRANT OPTION で CTCONTROL 権限が付与されている
ユーザーである必要があります。
WITH GRANT OPTION は、受領者が他のユーザーに権限を付与することを許可
します。
SHOW 権限
SHOW 権限により、その権限が付与されたオブジェクトに収容されているデータに
対するアクセス権がなくても、データベース・オブジェクトの定義および作成テキ
ストにアクセスできます。たとえば、 SHOW により、ユーザーはオブジェクトから
の SELECT が実行できないままで、そのオブジェクトに対する HELP および
SHOW 要求を実行することが許可されます。実行になんらかの権限を必要とする
(HELP や SHOW 文など )SQL 文に、 SHOW 権限を付与することができます。
SHOW は、明示権限です。 Teradata Database では、作成したユーザー、データベー
スまたはデータベース・オブジェクトに対するこの権限を、オブジェクトの作成者
に自動的に付与することはありません。 SHOW は、明示的に付与する必要がありま
す。この権限を明示的に他のユーザーおよびデータベースに付与できるようにする
ために、 WITH GRANT OPTION で SHOW 権限を所持している必要があります。
ユーザー DBC は自動的に SHOW 権限を所持するので、ディクショナリ表に対する
その権限を他のユーザーおよびデータベースに付与できます。
キュー表に対する権限の付与
ユーザーが CONSUME モードの SELECT 文を実行するユーザー、データベース、
ロール、または PUBLIC に、キュー表に関する SELECT 権限および DELETE 権限
の両方を付与します。
GLOP 権限
Teradata Database は、データベースまたはユーザーの作成時に、どの GLOP 権限も
自動的には付与しません。 GLOP 権限は、 WITH GRANT OPTION 権限を処理する
ユーザーが付与する場合でも、明示的に付与する必要があります。
GLOP 権限には、次の 3 つの権限があります。
• CREATE GLOP は、 CREATE GLOP SET 文を実行する権限が付与されたユーザー
に対して、新しい GLOP セットを作成できるようにします。
• DROP GLOP は、 DROP GLOP SET 文を実行する権限が付与されたユーザーに対
して、既存の GLOP セットを削除できるようにします。 DROP GLOP は、 GLOP
セットの作成者および所有者に自動的に付与されます。
• GLOP MEMBER は、外部ルーチンが、その外部ルーチンを含むユーザーまたは
データベースに含まれていない GLOP セットにアクセスできるようにします。
具体的には、 GLOP MEMBER は、関数、メソッドまたはプロシージャの定義で
参照する GLOP セットの句が、 MEMBER OF GLOP SET 句で指定した GLOP
セットを使用できるようにします。
54
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
キーワード GLOP そのものを指定することで、 CREATE GLOP 権限と DROP
GLOP 権限の両方を表わすこともできます。「単一のキーワードによる複数の
権限」 (145 ページ ) を参照してください。
NONTEMPORAL 権限
NONTEMPORAL 権限について、詳細は < テンポラル表サポート > を参照してくだ
さい。
ストアド・プロシージャに対する権限の付与
以下の表で、ストアド・プロシージャ固有の権限に関連した、様々なタイプのユー
ザー / 付与者の権限を説明します。
権限
付与先
付与者
ALTER PROCEDURE
と CREATE
PROCEDURE
暗黙的にユーザー
DBC に
ユーザー DBC
明示的に、他の
ユーザー、ロール、
データベース、
または PUBLIC に
• ユーザー DBC
• 自分自身に対してこの権限を WITH
GRANT OPTION 付きで持つユーザー
またはデータベースの所有者
• 権限が付与されるデータベースまたは
ユーザーに対してこの権限を WITH
GRANT OPTION 付きで持つデータベー
スまたはユーザー
暗黙的にユーザー
DBC に
ユーザー DBC
明示的に他のユー
ザーに
• ユーザー DBC
• 自分自身に対してこの権限を WITH
GRANT OPTION 付きで持つデータベー
スまたはユーザー
明示的に、すべて
のユーザー、ロー
ル、データベース、
または PUBLIC に
デフォルト
ALTER EXTERNAL
PROCEDURE
DROP PROCEDURE
SQL データ制御言語
55
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限
付与先
付与者
EXECUTE
PROCEDURE または
EXEC PROCEDURE
暗黙的にユーザー
DBC に
ユーザー DBC
自動的に、ストア
ド・プロシージャ
の作成者に
作成者
ユーザー DBC を除いて、所有者はこの権
限を暗黙的に持ちません。
プロシージャの直接所有者が作成者とは異
なる場合、所有者がこの権限を自動的に受
け取ることはありません。
明示的に、他の
ユーザー、ロール、
データベース、
および PUBLIC に
• ユーザー DBC
• 自分自身に対してこの権限を WITH
GRANT OPTION 付きで持つユーザー
またはデータベースの所有者
• 権限が付与されるデータベースまたは
ユーザーに対してこの権限を WITH
GRANT OPTION 付きで持つデータベー
スまたはユーザー
外部ストアド・プロシージャには、 ALTER EXTERNAL PROCEDURE および CREATE
EXTERNAL PROCEDURE 権限も必要です。 ALTER PROCEDURE ( 外部形式 ) 文を
使用するには、 ALTER EXTERNAL PROCEDURE 権限が必要です。
ALTER PROCEDURE( 外部形式 ) 文は、既存の外部ストアド・プロシージャを再コンパ
イルするために使用できます。 ALTER EXTERNAL PROCEDURE 権限の目的は、現行
のライブラリが破損した場合、またはシステムが再ロードされた場合に、 DBA が
実行モードを変更したり既存の外部ストアド・プロシージャを再コンパイルできるよ
うにすることです。この権限は、 DBA 以外のユーザーに付与しないでください。
ALTER EXTERNAL PROCEDURE 権限を持った DBA は、 ALTER PROCEDURE( 外
部形式 ) 要求を使用して、特定の外部ストアド・プロシージャの実行モードを変更
し、非保護モードで直接実行するか (EXECUTE NOT PROTECTED)、または保護
モード内の別のプロセスとして実行できます (EXECUTE PROTECTED)。
ALTER EXTERNAL PROCEDURE は、データベースまたはユーザーの作成時にユー
ザーに自動的に付与される権限ではありません。代わりに、 DBA はこの権限を保
持して ( 初期状態ではユーザー DBC だけがこの権限を暗黙的に保持 )、デバッグが
完了し実働が保証された外部ストアド・プロシージャだけに対して、この権限を適正
に割り当てます。その結果、 EXECUTE PROTECTED から EXECUTE NOT PROTECTED
に実行モードが変わります。 <SQL データ定義言語－構文規則および例 > の
「ALTER PROCEDURE ( 外部形式 )」を参照してください。
影響を注意深く検討して、 ALTER PROCEDURE ( 外部形式 ) 文を実行する権限を
ユーザーに付与する必要があります。検討が十分でない場合、その権限が不正に
使用されたときに、システムの整合性が容易に失われてしまうおそれがあります。
ALTER EXTERNAL PROCEDURE 権限は、特定の外部ストアド・プロシージャ、また
はデータベースやユーザー全体に付与できます。
56
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
詳細情報
このセクションで言及されている権限の詳細情報は、以下の情報を参照してくだ
さい。
• <SQL データ定義言語－構文規則および例 > の「ALTER PROCEDURE( 外部
形式 )」。
• <SQL データ定義言語－構文規則および例 > の「CREATE PROCEDURE( 外部
形式 )/REPLACE PROCEDURE( 外部形式 )」。
• 「CREATE EXTERNAL PROCEDURE 権限」 (57 ページ )。
ストアド・プロシージャ固有の権限
次のルールがストアド・プロシージャ固有の権限に適用されます。
• CREATE PROCEDURE および CREATE EXTERNAL PROCEDURE は、データ
ベース・レベルまたはユーザー・レベルだけの権限です。
• ALTER PROCEDURE、 ALTER EXTERNAL PROCEDURE、 DROP PROCEDURE、
および EXECUTE PROCEDURE は、データベース、ユーザー、または指定した
ストアド・プロシージャに対して許可されます。
• オブジェクト・タイプ PROCEDURE をストアド・プロシージャ名の修飾子として
指定した場合は、権限の付与時に DROP PROCEDURE および EXECUTE
PROCEDURE の短縮形として DROP および EXECUTE を使用できます。
PROCEDURE がオブジェクト名の前に指定されていない場合には、以下のことが起
きます。
要求
結果
GRANT EXECUTE
オブジェクトはマクロと想定される。その名前のマクロが
存在しない場合、エラーまたは失敗が返される。
GRANT DROP
エラーまたは失敗が返される。
CREATE EXTERNAL PROCEDURE 権限
注記 :
サイトの外部プロシージャをコーディングするように明示的に割り当てられたユー
ザー以外のどのユーザーにも、 CREATE EXTERNAL PROCEDURE 権限を付与しな
いでください。明示的に割り当てられたユーザーであっても、この権限は最も信頼
できるプログラマに限定して付与する必要があります。さらに、外部プロシージャ
のテストを十分に行なって、システムに障害を生じさせないことを検証する必要が
あります。
ユーザーまたはデータベースの作成時に、システムが自動的に CREATE EXTERNAL
PROCEDUR 権限を付与することはありません。また、データベースに対して
CREATE EXTERNAL PROCEDURE が暗黙的に付与されることもありません ( ただ
し、所有者が自身に対するこの権限を WITH GRANT OPTION 付きで明示的に持っ
ている場合は例外です )。
SQL データ制御言語
57
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
注 : この機能は、 CREATE MACRO 権限の場合とは異なります ( データベースまた
はユーザーの作成時に、システムは CREATE MACRO を自動的に付与し、所有者も
この権限を暗黙的に保持します )。
外部ストアド・プロシージャは、非保護モードで動作中はシステムの一部として動
作するのに対して、保護モードの外部ストアド・プロシージャは、 tdatuser という名
前の一般ユーザーとして別のプロセスで動作します。 <SQL データ定義言語－構文
規則および例 > の「CREATE PROCEDURE ( 外部形式 )/REPLACE PROCEDURE
( 外部形式 )」を参照してください。
UDF に対する権限付与
UDF に対する権限の付与に関するルールは、 CREATE FUNCTION 権限と EXECUTE
FUNCTION 権限以外は、マクロに関するルールと同じです。 UDF に関連したどの
権限が明示的に付与されるかについて説明している以下の表を参照してください。
権限
使用上の注意
ALTER FUNCTION
• データベースまたはユーザーの作成時に作成者に自動的に付
与されない。
• データベースまたはユーザーの作成時にデータベースまたは
ユーザーに自動的に付与されない。
• ユーザー DBC のみにより暗黙的に保持される。
• UDF に付与することはできない。
CREATE FUNCTION
• データベースまたはユーザーの作成時に作成者に自動的に付
与されない。
• ユーザー DBC のみにより暗黙的に保持される。
DROP FUNCTION
• ユーザー、データベース、または関数の作成者に WITH
GRANT OPTION 付きで自動的に付与される。
• 作成されたデータベースまたはユーザーに、 WITH GRANT
OPTION なしで自動的に付与される。
• データベースまたはユーザーに、データベースまたはユー
ザーの所有者のために暗黙的に保持される。
EXECUTE
FUNCTION
• 関数の作成者に WITH GRANT OPTION 付きで自動的に付与さ
れる。
• データベースまたはユーザーの作成時に作成者に自動的に付
与されない。
• ユーザー DBC のみにより暗黙的に保持される。
デフォルトでは、新しく作成されたすべての外部 UDF は保護モードで実行されま
す (<SQL データ定義言語－構文規則および例 > の「ALTER FUNCTION」を参照 )。
このことは、新しく作成されたすべてのメソッドおよび外部ストアド・プロシージャ
にも適用されます。 <SQL データ定義言語－構文規則および例 > の「ALTER METHOD」
および <SQL データ定義言語－構文規則および例 > の「ALTER PROCEDURE」を
それぞれ参照してください。 UDF は複数モードでは実行しません。
58
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
ALTER FUNCTION 権限は、 DBA のみに制限する必要があります。その目的は、
UDF の実行モードを変更するために使用できる ALTER FUNCTION 文をユーザー
が実行できるようにすることです。 UDF の実行モードを PROTECTED から NOT
PROTECTED などに変更する場合は、十分慎重に操作する必要があります。
CREATE FUNCTION 権限
あるデータベースまたはユーザーに対する CREATE FUNCTION 権限を付与されて
いる場合、そのデータベースまたはユーザーに作成するすべての関数は、デフォル
トで以下の権限を WITH GRANT OPTION 付きで持ちます。
• DROP FUNCTION
• EXECUTE FUNCTION
DROP FUNCTION 権限
DROP FUNCTION 権限をデータベース・オプションに対して付与する場合は、
DROP FUNCTION を指定する必要があります。特定の UDF のみに対して権限を付
与する場合は、 FUNCTION キーワードなしで DROP を指定できます。
作成者が関数に対する WITH GRANT OPTION 権限を持っている場合は、その関数
に対する以下の権限を別のユーザーに付与できます。
• DROP FUNCTION
• EXECUTE FUNCTION
関数に対する DROP FUNCTION 権限を保持していれば、ユーザーはその関数を置
き換えることもできます。ただし、そのユーザーが関数を削除しても、 CREATE
FUNCTION 権限を付与されていない限り、後でその関数を置き換えることはでき
ません。
EXECUTE FUNCTION 権限
大抵の場合、 EXECUTE FUNCTION を指定してその権限をデータベース内の関数に
対して付与する必要があります。
例外は制約関数です。この権限は、行レベル・セキュリティによって保護された表を
問合わせる必要のあるユーザーに対する制約関数に付与する必要はありません。
例えば、次の GRANT 文は、 SYSLIB 内のすべての関数に対して EXECUTE 権限を付
与します。
GRANT EXECUTE FUNCTION ON SYSLIB TO user_xyz;
個々の UDF に対する EXECUTE FUNCTION 権限を付与する場合、指定する必要が
あるのは EXECUTE だけです。たとえば、次の GRANT 文は、特定関数名 sales を
持つ関数のみに対する EXECUTE 権限を user_xyz に付与します。
GRANT EXECUTE ON SPECIFIC FUNCTION SYSLIB.sales TO user_xyz;
SQL データ制御言語
59
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
UDT に関連する権限
最初は、ユーザー DBC だけが SYSUDTLIB に対する UDT 権限を持っており、 DBC
はその権限を暗黙的に保持しています。それ以外のすべてのユーザーまたはロール
が UDT に関係する SQL 文を実行するには、 SYSUDTLIB に対する UDT 権限をそれ
らのユーザーやロールに明示的に付与する必要があります。
UDT に関連する権限には、 3 つの種類があります。
• UDTMETHOD ( 「UDTMETHOD 権限」 (62 ページ ) を参照 )。
UDTMETHOD 権限を持つユーザーは、どの UDT およびそのメソッドに対して
も無制限に使用、削除、または変更することができます。
データベース・レベルで、特に SYSUDTLIB データベースにこの権限のみ付与で
きます。 UDTMETHOD には UDT オブジェクト・レベルの権限がありません。
• UDTTYPE ( 「UDTTYPE 権限」 (62 ページ ) を参照 )。
UDTTYPE 権限を持つユーザーは、 UDTUSAGE が許可する権限に加えて、 UDT
の作成、更新、および削除を行なうことができます。
データベース・レベルで、この権限のみ付与できます。 UDTTYPE には UDT オ
ブジェクト・レベルの権限がありません。
• UDTUSAGE ( 「UDTUSAGE 権限」 (61 ページ ) を参照 )。
UDTUSAGE 権限を持つユーザーは、既存の UDT とその既存メソッドを参照す
るすべての SQL 文を実行することができます。つまり、特定の UDT に対して
UDTUSAGE 権限を持つユーザーは、以下の操作を実行できます。
•
•
•
•
特定の UDT 型を含む列を持つよう定義された新しい表を作成する。
特定の UDT 型を含む列を持つよう定義された既存の表を更新する。
特定の UDT を問合わせ、 UDF、またはストアド・プロシージャ内で参照する。
特定の UDT 型にのみ関連付けられているすべてのメソッドを実行する。
その他の UDT に関連するメソッドを実行するには、それらの UDT に対する
UDTUSAGE 権限も必要となります。
UDTUSAGE は、ユーザーに対して以下の処理のいずれも実行することを許可し
ません。
• 新しい UDT を作成する。
•
•
既存の UDT を削除する。
既存の UDT の順序付け、キャスト、または変換の動作を変更する。
•
新しいメソッドを作成する。
•
既存のメソッドを削除または置換する。
UDTMETHOD および UDTTYPE とは異なり、 UDTUSAGE は特定の UDT (TYPE
UDT_name として ) または SYSUDTLIB データベース全体に対して付与することが
できます。
60
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
ALL PRIVILEGES と UDT
SYSUDTLIB データベースに対して ALL PRIVILEGES を指定すると、システム
は作成者がこの権限を WITH GRANT OPTION 付きで持つものと判断して、 ALL
PRIVILEGES で提供される権限とともに UDTMETHOD 権限を付与します。
ALL PRIVILEGES パスに WITH GRANT OPTION を指定した文より UDTMETHOD を
付与されたユーザーは、他のユーザーに UDTUSAGE 、 UDTTYPE、または
UDTMETHOD を付与することができ、任意に WITH GRANT OPTION 付きで付与
することもできます。
UDTUSAGE 権限
UDTUSAGE 権限を持つユーザーは、表またはビューに UDT を使用し、その UDT
にのみ関連付けられているすべてのメソッドを実行することができます。それらの
メソッドは、 UDT の作成や削除、メソッドの作成や更新や削除、あるいは順序付
け、キャスト、または変換機能に関する UDT の動作の変更は行なえません。
UDTUSAGE 権限はデータベース・レベルまたは UDT オブジェクト・レベルでのみ
付与することができます。
付与する際のレベル
UDTUSAGE を付与する必要がある対象
データベース
SYSUDTLIB データベースのみ。
UDT オブジェクト
UDT の名前。
特定の UDT に対して UDTUSAGE 権限を持つユーザーは、次の文と操作を実行で
きます。
• 特定の UDT を使用する列を含む表に対しての、 CREATE TABLE または ALTER
TABLE。
• 問合わせ、 UDF、またはストアド・プロシージャ内で特定の UDT を参照する。
• 特定の UDT にのみ関連付けられているすべてのメソッドを実行する。
その他の UDT に関連するメソッドを実行するには、それらの UDT に対する
UDTUSAGE 権限も必要となります。
入れ子の STRUCTURED 型 UDT に関しては、権限がその親から自動的には継承さ
れないことに注意してください。たとえば、最上位レベルの STRUCTURED 型
UDT 属性に対する UDTUSAGE が付与されている場合には、表作成操作でその型の
列を指定することができます。しかし、 UDTUSAGE 権限が付与されていたとして
も、 UDT の下位の層に含まれるすべての構造化属性に対してオブザーバー・メソッ
ドやミュテーター・メソッドを使用できるわけではなく、それら下位の層の属性に
対して定義されているメソッドを呼び出すこともできません。
こうした操作を可能にするには、入れ子 UDT 型の個々の UDT コンポーネントに対
して明示的に UDTUSAGE を付与するか、または SYSUDTLIB データベースに対し
て明示的に UDTUSAGE を付与する必要があります。
SQL データ制御言語
61
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
UDTUSAGE は自動的に付与される権限ではありません。ユーザーはこの権限を、
明示的に付与されるか、またはロールによって取得する必要があります。
UDTUSAGE を WITH GRANT OPTION 付きで付与されたユーザーは、他のユーザー
に UDTUSAGE 権限を付与することができ、任意に WITH GRANT OPTION 付きで
付与することもできます。
UDTUSAGE は、 DBC.AccessRights 表の AccessRight 列にコード UU で表わされます。
ユーザー DBC には、 SYSUDTLIB データベースに対する暗黙の UDT 権限があります。
それ以外のすべてのユーザーまたはロールが SYSUDTLIB 内の UDT に関連するオ
ブジェクトにアクセスする必要がある場合には、まず SYSUDTLIB に対するまたは
SYSUDTLIB データベース内の特定の UDT に対する適切な UDT 権限をそれらの
ユーザーやロールに明示的に付与する必要があります。
UDTTYPE 権限
UDTTYPE 権限は、 UDTUSAGE に関連付けられているすべての権限をユーザーに
付与するとともに、新しいメソッドを作成したり既存のメソッドを削除または置換
したりせずに、 UDT を参照するすべての SQL 文を実行することを許可します。
UDTTYPE 権限を持つユーザーは、次の文と操作を実行できます。
• CREATE TYPE ( メソッド・シグネチャの指定なし )
• DROP TYPE
• ALTER TYPE ( メソッド・シグネチャの追加または削除なし )
• CREATE ORDERING および DROP ORDERING
• CREATE CAST および DROP CAST
• CREATE TRANSFORM および DROP TRANSFORM
• CREATE TABLE (UDT 列を含む表 )
• SQL 要求、 UDF、またはストアド・プロシージャ内で特定の UDT を参照する
• すべてのメソッドを実行する
ON 句に指定する database_name は SYSUDTLIB にする必要があります。
UDTTYPE は自動的に付与される権限ではありません。ユーザーはこの権限を、付
与されるか、またはロールによって取得する必要があります。 UDTTYPE を WITH
GRANT OPTION 付きで付与されたユーザーは、他のユーザーに UDTUSAGE また
は UDTTYPE 権限を付与することができ、任意に WITH GRANT OPTION 付きで付
与することもできます。
UDTTYPE は、 DBC.AccessRights 表の AccessRight 列に、コード UT で表わされます。
UDTMETHOD 権限
UDTMETHOD 権限を持つユーザーは、どの UDT およびそのメソッドも無制限に使
用することができます。この権限には次の権限の両方の機能が含まれます。
• SYSUDTLIB データベース内のすべての UDT に対する UDTUSAGE 権限。
• SYSUDTLIB データベースに対する UDTTYPE 権限。
62
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
UDTMETHOD 権限を持つユーザーは、次の文と操作を実行できます。
• CREATE TYPE ( メソッド・シグネチャの指定あり / なし )
• DROP TYPE
• ALTER TYPE ( メソッド・シグネチャの追加または削除あり / なし )
• CREATE ORDERING および DROP ORDERING
• CREATE CAST および DROP CAST
• CREATE TRANSFORM および DROP TRANSFORM
• CREATE TABLE (UDT 列を含む表 )
• SQL 文、 UDF、またはストアド・プロシージャ内で特定の UDT を参照する
• すべてのメソッドを実行する
• CREATE METHOD、 ALTER METHOD、および REPLACE METHOD
ON 句に指定する database_name は SYSUDTLIB にする必要があります。
UDTMETHOD は、自動的に付与される権限ではありません。ユーザーはこの権限を、
明示的に付与されるか、 ALL PRIVILEGES によって取得するか、またはロールに
よって取得する必要があります。 UDTMETHOD を WITH GRANT OPTION 付きで
付与されたユーザーは、他のユーザーに UDTUSAGE 、 UDTTYPE 、または
UDTMETHOD 権限を付与することができ、任意に WITH GRANT OPTION 付きで
付与することできます。
UDTMETHOD は、 DBC.AccessRights 表の AccessRight 列にコード UM で表わされます。
Teradata 行レベル・セキュリティ権限
Teradata 行レベル・セキュリティ機能は、管理者がシステムの行レベル・セキュリ
ティを規定して保守するために使用できる複数の権限を提供します。これらの権限
の一部はシステム・レベルの権限であり、一部はオブジェクト・レベルの権限です。
初期設定では、ユーザー DBC だけが行レベル・セキュリティ権限を持っています。
他のユーザーが以下のことを行なえるようにするには、行レベル・セキュリティ権
限を明示的に付与する必要があります。
• 行レベル・セキュリティ制約を作成する。
• 行レベル・セキュリティ制約値 ( セキュリティ・クレデンシャル ) をユーザーや
プロファイルに割り当てる。
• 表に対する行レベル・セキュリティ制約を定義する。
• 宛先表に適用される制約関数に含まれる、行レベル・セキュリティ・ポリシー
の妥当性検査を上書き ( 回避 ) する。
基本的なタイプの行レベル・セキュリティ権限は次のとおりです。
•
システム・レベルの権限
• オブジェクト・レベルの権限 ( 「オブジェクト・レベルの権限」 (66 ページ ) を
参照 )
SQL データ制御言語
63
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
注 : 行レベル・セキュリティ・クレデンシャルは権限ではありませんが、他のタイ
プのアクセス制御における必須権限と同じように機能します。セキュリティ・クレ
デンシャルをユーザーやプロファイルに割り当てる際、実質的には、行レベル・セ
キュリティで保護されている表の行にユーザーがアクセスできるかどうかを決定し
ていることになります ( ユーザーに割り当てられたセキュリティ・クレデンシャル
は、アクセスしようとしている行に割り当てられたセキュリティ制約値と一致する
必要があります )。許可するアクセスのタイプは、制約関数で定義されている行レ
ベル・セキュリティ・ポリシーによって決まります。
システム・レベルの権限
管理者は、行レベル・セキュリティを規定して保守する目的で、システム・レベル
の権限をユーザーやプロファイルに付与できます。
これらの権限により、ユーザーは次のことを行なえるようになります。
• SQL 要求を使用して行レベル・セキュリティ制約を作成する。
• SQL 要求を使用して表に対する行レベル・セキュリティ制約を定義する。
• SQL 要求を使用して行レベル・セキュリティ制約値 ( セキュリティ・クレデン
シャル ) をユーザーやプロファイルに割り当てる。
該当する権限は次のとおりです。
• CONSTRAINT ASSIGNMENT
• CONSTRAINT DEFINITION ( 「CONSTRAINT DEFINITION 権限」 (65 ページ ) を
参照 )
これらの権限の 2 文字略語のリストについては、 < データ・ディクショナリ > で
DBC.AccessRights 表に関するセクションを参照してください。
CONSTRAINT ASSIGNMENT 権限
システム全体で有効なこの権限により、ユーザーは SQL DDL 文を使用して、表に
対する行レベル・セキュリティ制約を定義したり、行レベル・セキュリティ制約
値をユーザーやプロファイルに割り当てることが可能になります。管理者は、この
権限を個々のユーザーやプロファイルに付与できます。
Teradata Database は、 WITH GRANT OPTION が指定されたユーザー DBC にこの
権限を自動的に付与します。これにより、ユーザー DBC はこの権限を他の任意
のユーザーやロールに付与できるようになります。
この権限の付与に関するルール
CONSTRAINT ASSIGNMENT 権限の付与に関するルールと制限は次のとおりです。
•
この権限を別のユーザーやロールに付与できるのは、 WITH GRANT OPTION 権
限を持っている場合のみです。
• 宛先のデータベース・オブジェクトを指定することはできません。
• この権限を PUBLIC に付与することはできません。
64
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
この権限が必要な DDL 文
行レベル・セキュリティ制約を持つ表、またはセキュリティ・クレデンシャルが割
り当てられたユーザーやプロファイルに対して以下の SQL DDL 文を使用するには、
CONSTRAINT ASSIGNMENT 権限が必要です。これらの文は、セキュリティ・クレ
デンシャルが割り当てられていないユーザーやプロファイルに対して使用できます。
• ALTER TABLE
• CREATE PROFILE
• CREATE TABLE
• CREATE USER
• MODIFY PROFILE
• MODIFY USER
• SHOW CONSTRAINT
CONSTRAINT DEFINITION 権限も、 SHOW CONSTRAINT 要求の実行を可能に
します。
CONSTRAINT DEFINITION 権限
システム全体で有効なこの権限により、ユーザーは SQL DDL 文を使用して行レベ
ル・セキュリティ制約の作成と変更を行なえるようになります。管理者はこの権
限を個々のユーザーやロールに付与できます。
Teradata Database は、 WITH GRANT OPTION が指定されたユーザー DBC にこの
権限を自動的に付与します。これにより、ユーザー DBC はこの権限を他の任意
のユーザーやロールに付与できるようになります。
この権限の付与に関するルール
CONSTRAINT DEFINITION 権限の付与に関するルールと制限は次のとおりです。
•
この権限を別のユーザーやロールに付与できるのは、 WITH GRANT OPTION 権
限を持っている場合のみです。
• 宛先のデータベース・オブジェクトを指定することはできません。
• この権限を PUBLIC に付与することはできません。
この権限が必要な DDL 文
これらの SQL DDL 文を使用して行レベル・セキュリティ制約の作成、変更、また
は SHOW を行なうには、 CONSTRAINT DEFINITION 権限が必要です。
• ALTER CONSTRAINT
• CREATE CONSTRAINT
• DROP CONSTRAINT
• SHOW CONSTRAINT
CONSTRAINT ASSIGNMENT 権限も、 SHOW CONSTRAINT 要求の実行を可能
にします。
SQL データ制御言語
65
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
オブジェクト・レベルの権限
管理者は、ユーザーがデータベース・オブジェクトで定義されている行レベル・セ
キュリティを一時的に回避 ( 上書き ) できるようにする目的で、これらの権限を付
与することができます。これらの権限はユーザーが行レベル・セキュリティ・ポリ
シー制限を上書きすることを可能にするため、上書き権限と呼ばれます。
上書き権限には、次の 2 つの基本的なタイプがあります。
• DML 制限上書き権限
• アーカイブ / リカバリー上書き権限 ( 「アーカイブ / リカバリー制限上書き権限」
(68 ページ ) を参照 )
DML 制限上書き権限
これらのオブジェクト・レベルの権限は、ユーザーが、削除、挿入、選択および更
新操作を禁止する行レベル・セキュリティ制限を持つ表に対して DML 要求を実行
できるようにします。
管理者はこれらの権限を付与することにより、ユーザーが DML 要求を実行して削
除、挿入、選択および更新などの禁止されている操作を一時的に実行できるように
することができます。
これらの権限は、次のように付与することが可能です。
• ユーザーとロールに付与する。
• 表または制約列に対して付与する。
DML 制限上書き権限には、次のものがあります。
• OVERRIDE DELETE CONSTRAINT
宛先表に対して付与された場合、ユーザーはその表に適用される DELETE 制約
関数のそれぞれに含まれる DELETE セキュリティ・ポリシーの妥当性検査を回
避できます。
制約列に対して付与された場合、ユーザーは特定の制約関数の DELETE セキュ
リティ・ポリシーの妥当性検査を回避できます。
注 : この権限が宛先表に対して付与された場合も、ユーザーが表のすべての行を
削除することはできません。これは、表に対する DELETE が SELECT 制約関数
によっても制約されており、ユーザーがアクセスを許可されていない行は除外
されるためです。すべての行を削除するには、ユーザーがすべての DELETE お
よび SELECT 制約検査を回避できる必要があります。
• OVERRIDE INSERT CONSTRAINT
ユーザーが INSERT 要求を実行して INSERT 行レベル・セキュリティ制約を
持つ列の値を指定できるようにします。
INSERT 要求には、制約列に割り当てられた値が含まれる必要があります。
Teradata Database は、制約列に割り当てられた値が制約の「名前 : コード」
対によって指定されているものであることを検証します。
66
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
• OVERRIDE SELECT CONSTRAINT
単一の制約列に対して付与された場合、ユーザーはその制約列に関連付けら
れた SELECT 制約関数内のセキュリティ・ポリシーを回避できます。これは、
ユーザーが単一の行を取得することを許可するために使用されます。
すべての制約列に対して付与された場合、ユーザーは表のすべての制約列に関
連付けられた SELECT 制約関数内のセキュリティ・ポリシーを回避できるため、
表のすべての列を取得できます。
• OVERRIDE UPDATE CONSTRAINT
ユーザーが、 UPDATE 要求を実行して UPDATE 行レベル・セキュリティ制約を
持つ列に関する SET 句の値を指定できるようにします。
注 : 行レベル・セキュリティ制約を持つ表に対して実行できる DML 要求のタイプ
ごとに、行レベル・セキュリティ制約関数 (UDF) を作成できます。あるタイプの
DML 要求について制約関数が存在しない場合、その要求を実行できるのは、その
タイプの要求に関する上書き権限を持っているユーザーだけです。
これらの権限の付与に関するルール
DML 制限上書き権限の付与に関するルールと制限は次のとおりです。
•
これらの権限を付与するには、 CONSTRAINT ASSIGNMENT 権限が必要です。
•
これらの権限は、次の方式でのみ付与できます。
• ユーザーとロールに付与する。
•
行レベル・セキュリティを持つ表が含まれるデータベースに対して付与する。
•
行レベル・セキュリティを持つ表に対して付与する。
制約列 ( 行レベル・セキュリティ制約を持つ列 ) に対して付与する。
•
• WITH GRANT OPTION を指定してこれらの権限を付与することはできません。
WITH GRANT OPTION を指定してこれらの権限のいずれかを付与しようとする
と、 Teradata Database は要求をアボートしてエラーを返します。
• GRANT 要求では、権限を付与する対象の行レベル・セキュリティ制約オブジェ
クトの名前を指定する必要があります。
• GRANT 要求の宛先オブジェクトは、データベース、行レベル・セキュリティを
持つ表 (1 つ以上の行レベル・セキュリティ制約を持つ表 )、または制約列であ
る必要があります。 1 つ以上の行レベル・セキュリティ制約を持たない表、また
は制約を持たない列に対する OVERRIDE CONSTRAINT 権限を付与しようとす
ると、エラーが返されます。
SQL データ制御言語
要求の宛先
必要な上書き権限の対象オブジェクト
データベース
指定されたデータベース内のすべての表のすべての制約列。
表
指定された表のすべての制約列。
列
該当する列。
67
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
アーカイブ / リカバリー制限上書き権限
これらのオブジェクト・レベル権限は、ユーザーが行レベル・セキュリティ制約を
持つ表や行レベル・セキュリティ制約を持つ表を含むデータベースをアーカイブま
たは復元するためにアーカイブ / リカバリー・ユーティリティ・コマンドを実行す
ることを可能にします。管理者はデータベースまたは表に対するこれらの権限を付
与できます。
DML 制限上書き権限とは異なり、これらの権限では、制約関数 (UDF) で定義され
た行レベル・セキュリティ・ポリシーを回避できません。
注 : 行レベル・セキュリティ制約を持つ表や行レベル・セキュリティ制約を持つ表
のあるデータベースをアーカイブまたは復元する場合、これらの権限では不十分で
す。アーカイブまたは復元する表やデータベースに対する DUMP または RESTORE
権限も必要です。
アーカイブ / リカバリー上書き権限には、次のものがあります。
• OVERRIDE DUMP CONSTRAINT
ユーザーが、アーカイブ / リカバリー・ユーティリティの ARCHIVE コマンドを
実行して、 1 つ以上の行レベル・セキュリティ制約列と共に定義されたデータ
ベース・オブジェクトをアーカイブできるようにします。 ARCHIVE コマンドの
すべての宛先オブジェクトで必要です。
• OVERRIDE RESTORE CONSTRAINT
ユーザーが、 1 つ以上の行レベル・セキュリティ制約列と共に定義されたデータ
ベース・オブジェクトに対して、アーカイブ / リカバリー・ユーティリティの
COPY および RESTORE コマンドを実行できるようにします。 COPY および
RESTORE コマンドのすべての宛先オブジェクトで必要です。
これらの権限の付与に関するルール
アーカイブ / リカバリー上書き権限の付与に関するルールと制限は次のとおりです。
•
これらの権限を付与するには、 CONSTRAINT ASSIGNMENT 権限が必要です。
•
これらの権限は、次の方式でのみ付与できます。
• ユーザーとロールに付与する。
•
データベースと表に対して付与する。
• WITH GRANT OPTION を指定してこれらの権限を付与することはできません。
WITH GRANT OPTION を指定してこれらの権限のいずれかを付与しようとする
と、 Teradata Database は要求をアボートしてエラーを返します。
• GRANT 要求では、権限を付与する対象の行レベル・セキュリティ制約オブジェ
クトの名前を指定する必要があります。
• GRANT 要求の宛先オブジェクトは、データベース、表または制約列である必要
があります。
68
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
ロールに対する権限の付与
ロールは、データベース・オブジェクトに対する権限を定義します。データベース
管理者は、さまざまな職務および責任に関するさまざまなロールを作成し、データ
ベース・オブジェクトに対する特定の権限をそのロールに与えてから、そのロール
に対するメンバーシップをユーザーに付与できます。ロールのメンバーになってい
るユーザーは、そのロールが権限を持っているすべてのオブジェクトにアクセスで
きます。自身に付与されたロールを持つロールを他のロールに付与することはでき
ません。
以下の権限をロールに付与することはできません。
• CREATE DATABASE
• CREATE ROLE
• CREATE PROFILE
• CREATE USER
• DROP DATABASE
• DROP ROLE
• DROP PROFILE
• DROP USER
• CTCONTROL
データベースまたは PUBLIC に対してロールを付与することはできません。
ロールのメンバーシップをユーザーまたは他のロールに与えるには、 GRANT ( ロー
ル形式 ) 文を使用する必要があります。詳細は、「GRANT ( ロール形式 )」 (23 ペー
ジ ) を参照してください。
ケース・スタディー : ビューに対する SELECT の付与
Allen というユーザーが、 Allen.BaseTable という表とその表の Allen.ViewA という
ビューの 2 つのオブジェクトを作成したと想定します。システムは、 ViewA の作成
時に、 Allen が Allen.BaseTable に対する SELECT 権限を持っているかどうかを検証
します。
さらに、 Allen が Bobby というユーザーに、 ViewA に対する SELECT 権限を与えた
と想定します。 Bobby は次に、 Allen.ViewA を参照する Bobby.ViewB を作成します。
構文解析プログラムは、 Bobby.ViewB の作成時に、 Bobby が Allen.ViewA に対する
SELECT の権限を持っているかどうかを検証します。
このプロセスをまとめると、次のようになります。
1
Allen が、実表 Allen.BaseTable を作成する。
2
Allen が、 Allen.BaseTable を参照するビュー Allen.ViewA を作成する。
Allen は、 Allen.BaseTable に対する SELECT 権限を持っている。
3
Allen が、 Allen.ViewA に対する SELECT 権限を Bobby に付与する。
4
Bobby が、 Allen.ViewA を参照する Bobby.ViewB を作成する。
Bobby は、 Allen.ViewA に対する SELECT 権限を持っている。
SQL データ制御言語
69
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
Bobby は Chuck というユーザーに、 Bobby.ViewB に対する SELECT 権限を与えると
します。 Bobby は権限を Chuck に付与できますが、 Allen が Allen.ViewA に対する
SELECT 権限を WITH GRANT OPTION 付きで Bobby に付与しない限り、 Chuck は
問合わせでビューを使用できません。
マクロがその作成者以外のユーザーにより所有されているオブジェクトを参照する
場合も、同じ権限が必要です。たとえば、マクロ Bobby.MacroB が、 Allen.ViewA か
ら行を削除するとします。
他のユーザーは、 Bobby が Bobby.MacroB に対する WITH GRANT OPTION 付きの
EXECUTE 権限を持っていない限り、 Bobby.MacroB を実行できません。
ケース・スタディー : ビューに関する詳細
ビュー Bobby.ViewB がビュー Allen.ViewA を参照し、 Allen.ViewA が Allen.BaseTable を
参照すると想定します。 Bobby が次の文を入力すると、システムは、文に続く表内
の権限が存在するかどうかを検証します。
GRANT INSERT, DELETE
ON Bobby.ViewB TO Chuck;
このプロセスをまとめると、次のようになります。
1
Bobby の、 Bobby.ViewB または自分自身に対する INSERT WITH GRANT
OPTION。
2
Bobby の、 Bobby.ViewB または自分自身に対する DELETE WITH GRANT
OPTION。
取り消されない限り、 Bobby は Bobby.ViewB に対するこれらの権限を明示的に持っ
ています。これらの権限は、ビューの作成時に Bobby に自動的に付与されています。
Bobby は、ユーザー Bobby の作成時に明示的に付与されているため、自分自身に対
するこれらの権限も持っています。
Bobby は Bobby.ViewB を所有しているため、これらの権限を暗黙的にも持ってい
ます。
暗黙権限は、取り消すことができません。ただし、他のタイプの権限については、
システムが必要な権限を見つけられないことがあります。この場合、システムは
GRANT 文を実行するユーザーにエラー・メッセージを返し、その文は実行されま
せん。
この例の権限は、次のように分類されます。
権限のカテゴリ
個人
所有権限
対象オブジェクト
自動権限
Bobby
INSERT WITH GRANT OPTION
Bobby.ViewB
DELETE WITH GRANT OPTION
Allen
INSERT WITH GRANT OPTION
Allen.BaseTable
DELETE WITH GRANT OPTION
70
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
権限のカテゴリ
個人
所有権限
対象オブジェクト
明示権限
Bobby
INSERT WITH GRANT OPTION
Allen.ViewA
DELETE WITH GRANT OPTION
ケース・スタディー : ストアド・プロシージャ
ユーザー user_1 には、 accounting データベースに対する CREATE PROCEDURE 権限
が付与されていると想定します。付与者がデータベースの所有者であり、自分自身
に対する WITH GRANT OPTION 付きの明示的な CREATE PROCEDURE および
EXECUTE PROCEDURE 権限を持っているとします。この付与は、次のどちらかが
当てはまらない限り行なえません。
• 付与者が自身とユーザーやデータベースに対する、 WITH GRANT OPTION 付き
で CREATE PROCEDURE と EXECUTE PROCEDURE の両方の権限を所有して
いる。
• 付与者がユーザー DBC である。
user_1 が accounting データベース内にプロシージャを作成できるよう、以下の
GRANT 要求を実行依頼する必要があります。
GRANT CREATE PROCEDURE
ON accounting
TO user_1;
accounting データベース内のすべてのストアド・プロシージャに対する CREATE
PROCEDURE、 DROP PROCEDURE、および EXECUTE PROCEDURE 権限を
user_1 に与えるため、以下の GRANT 要求を実行依頼します。
GRANT CREATE PROCEDURE, EXECUTE PROCEDURE, DROP PROCEDURE
ON accounting
TO user_1;
キーワード PROCEDURE を、 GRANT 要求に CREATE または DROP なしで指定し
た場合、 CREATE PROCEDURE および DROP PROCEDURE 権限の両方が ( ユー
ザーまたはデータベース・レベルで ) 与えられます。
次の例では、授与者が、 accounting データベースに対する CREATE PROCEDURE お
よび DROP PROCEDURE 権限を user_1 に付与するのに必要な権限を持っていると
想定しています。
GRANT PROCEDURE
ON accounting
TO user_1;
user_1 が、データベース accounting 内のストアド・プロシージャ daily_updates に対す
る、 WITH GRANT OPTION がある EXECUTE PROCEDURE 権限を受ける必要があ
ると想定します。また、付与者がストアド・プロシージャまたはそれを含むデータ
ベースに対する EXECUTE PROCEDURE 権限を WITH GRANT OPTION 付きで持っ
ているものとします。以下の GRANT 要求を実行依頼する必要があります。
GRANT EXECUTE ON PROCEDURE accounting.daily_updates
TO user_1
WITH GRANT OPTION;
SQL データ制御言語
71
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
この要求は以下の構文で指定することもできます。
GRANT EXECUTE PROCEDURE ON accounting.daily_updates
TO user_1
WITH GRANT OPTION;
次の GRANT 要求はエラーを返します。構文はマクロに対してのみ有効であり、
daily_update はマクロではありません。
GRANT EXECUTE ON accounting.daily_update
TO user_1
WITH GRANT OPTION;
user_1 に、ストアド・プロシージャ weekly_update に対する ALTER PROCEDURE、
EXECUTE PROCEDURE、および DROP PROCEDURE 権限を与える場合、必要な
GRANT 要求は以下のいずれかのようになります ( 付与者には付与を実行する権限
があると想定します )。
GRANT ALTER PROCEDURE, EXECUTE, DROP PROCEDURE
ON PROCEDURE weekly_update
TO user_1;
GRANT ALL ON PROCEDURE accounting.weekly_update
TO user_1;.
例 1: ユーザー・グループへの権限の付与
次の要求は、ユーザー・グループに権限を与えます。この例では、 finance という
データベースの下に作成されたすべてのユーザーに、 personnel データベースの下
にある department 表からデータを SELECT する権限を与えます。
GRANT SELECT
ON personnel.department
TO ALL finance;
例 2: PUBLIC への権限の付与
PUBLIC キーワードは、すべての既存のおよび将来の Teradata Database ユーザーに
権限を付与します。
GRANT SELECT
ON personnel.department
TO PUBLIC;
例 3: 任意のオブジェクトに対する SELECT の付与
次の文で、 Moffit は、 personnel データベースのすべてのオブジェクトから情報を検
索できるようになります。
GRANT SELECT
ON personnel
TO moffit;
72
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
例 4: 表の列に対する SELECT の付与
この例では、 personnel データベースにある department という名前の表の column_1
のみに対する SELECT 権限を、ユーザー Moffit に付与します。
GRANT SELECT (column_1)
ON personnel.department
TO moffit;
例 5: 任意のオブジェクトに対する SELECT、 INSERT、 UPDATE、および DELETE の付与
次の文で、 Peterson は、 personnel データベース内のすべてのオブジェクトに対する
選択、挿入、更新、および削除が実行できるようになります。
GRANT SELECT, INSERT, UPDATE, DELETE
ON personnel
TO peterson;
例 6: データベース内のユーザーに対する CREATE と DROP の付与
次の文で、 Phan は、 personnel データベースでユーザーの作成と削除が実行できる
ようになります。
GRANT USER
ON personnel
TO phan;
例 7: GRANT SELECT TO ALL の使用
次の文で、 personnel データベースに作成されるすべてのユーザーは、 department
表からデータを選択できるようになります。
GRANT SELECT
ON personnel.department
TO ALL personnel;
例 8: WITH GRANT OPTION の使用
WITH GRANT OPTION は、指定された権限だけに対して適用されます。
この例では、ユーザー George は、自分自身のユーザー領域に対して持つすべての
権限をユーザー Marston に与えることができますが、以下の制限があります。
• George はユーザー・レベルで WITH GRANT OPTION がある権限のみを付与
できる。
• George は Marston に付与する権限に対する WITH GRANT OPTION 権限を持って
いなければならない。
GRANT ALL
ON marston
TO marston
WITH GRANT OPTION;
SQL データ制御言語
73
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
例 9: CREATE ROLE および DROP ROLE の使用
以下の要求は、ユーザー Franklin がロールの作成および削除を行なえるようにし
ます。
GRANT ROLE
TO Franklin;
この形式には、 ON 句がありません。ロール権限に ON 句を指定すると、システム
はエラーを返します。
例 10: ロールへの権限の付与
以下の要求は、ロールに権限を与えます。この例では、 finance というロールに、
personnel データベースの下にある department 表からデータを SELECT する権限を
与えます。
GRANT SELECT
ON personnel.department
TO Finance;
Finance ロールに対するメンバーシップを与えられているすべてのユーザーは、
ユーザーに対してそのロールが活動化されると、 personnel データベース内の
department 表からデータを SELECT する権限を継承します。
例 11: トリガーに関連した権限の付与
次の要求は、データベース TrigDB 内の任意の表に対する CREATE TRIGGER およ
び DROP TRIGGER 権限をユーザー TrigUser に付与します。
GRANT CREATE TRIGGER, DROP TRIGGER
ON TrigDB
TO TrigUser;
次の要求は、対象となる TrigTable に対する CREATE TRIGGER および DROP
TRIGGER 権限をユーザー TrigUser に付与します。
GRANT CREATE TRIGGER, DROP TRIGGER
ON TrigTable
TO TrigUser;
CREATE TRIGGER と DROP TRIGGER の両方を意味する短縮形の TRIGGER を使用
して、前の要求と同じ権限を付与することもできます。
例:
GRANT TRIGGER
ON TrigDB TO TrigUser;
GRANT TRIGGER
ON TrigTable
TO TrigUser;
74
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
例 12: 外部関数に対する権限の付与
以下の GRANT 要求は、それぞれ以下の権限を付与します。
• 特定の外部関数 find_text に対する ALTER FUNCTION をユーザー user_dba と
user_in_house に付与。
• SYSLIB データベース内のすべての外部 UDF に対する ALTER FUNCTION を
user_dba に付与。
• データベース document_db に対する CREATE FUNCTION を user_dba に付与。
• オーバーロード関数 text_process に対する EXECUTE FUNCTION をユーザー
sammy に付与。
GRANT ALTER FUNCTION
ON SPECIFIC FUNCTION find_text
TO user_dba, user_in_house;
GRANT ALTER FUNCTION
ON syslib
TO user_dba;
GRANT CREATE FUNCTION
ON document_db
TO user_dba, user_in_house;
GRANT EXECUTE
ON FUNCTION text_process(CHAR,CHAR,INTEGER)
TO sammy;
例 13: CREATE EXTERNAL PROCEDURE 権限の付与
次の例は、ユーザー asst_dba に外部ストアド・プロシージャを作成する権限を付与し
ます。
GRANT CREATE EXTERNAL PROCEDURE
ON PROCEDURE classify
TO asst_dba;
例 14: UDTUSAGE 権限の付与
以下の GRANT 要求は、それぞれ以下の権限を付与します。
• SYSUDTLIB データベースに対する UDTUSAGE をユーザー tester1 に付与。
• circle という名前の UDT に対する UDTUSAGE をユーザー tester3 に付与。
• データベース SYSUDTLIB 内の square という名前の UDT に対する UDTUSAGE を
ユーザー tester4 に付与。
GRANT UDTUSAGE
ON SYSUDTLIB
TO tester1;
GRANT UDTUSAGE
ON TYPE circle
TO tester3;
SQL データ制御言語
75
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
GRANT UDTUSAGE
ON TYPE SYSUDTLIB.square
TO tester4;
例 15: UDTTYPE 権限の付与
次の GRANT 要求は、データベース SYSUDTLIB に対する UDTTYPE 権限をユー
ザー tester2 に付与します。
GRANT UDTTYPE
ON SYSUDTLIB
TO tester2;
例 16: UDTMETHOD 権限の付与
以下の GRANT 要求は、それぞれ以下の権限を付与します。
• SYSUDTLIB に対する UDTMETHOD をユーザー user_DBA に WITH GRANT
OPTION 付きで付与。
• SYSUDTLIB に対する UDTMETHOD をロール developer_role に付与。
GRANT UDTMETHOD
ON SYSUDTLIB
TO user_DBA WITH GRANT OPTION;
GRANT UDTMETHOD
ON SYSUDTLIB
TO developer_role;
例 17: CTCONTROL 権限の付与
次の例は、ユーザー trusteduser2 に CONNECT THROUGH 権限を付与するための権
限を、ユーザー kate に付与します。
GRANT CTCONTROL
ON trusteduser2
TO kate;
この後で、 GRANT CONNECT THROUGH 要求 ( 「GRANT CONNECT THROUGH」
(80 ページ ) を参照 ) を実行するには、 trusteduser2 に以下の権限が必要になります。
• 自分自身に対する CTCONTROL
• 指定されたすべてのロールに対する GRANT … WITH ADMIN OPTION
( 「GRANT ( ロール形式 )」 (23 ページ ) を参照 )
• プロキシ・ユーザーとして指定されたすべての PERMANENT ユーザーに対す
る DROP USER
例 18: GLOP 権限の付与
ある企業において、 sales_bonus UDF によって特別な sales GLOP にアクセスしよう
と考えています。ユーザー Joe は、 SYSLIB に UDF と GLOP の両方を作成します。
これを実現するには、次の要求を実行する必要があります。
76
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
WITH GRANT OPTION 付きのユーザーは、次に示す GRANT 要求を実行する必要
があります。
GRANT GLOP ON syslib TO Joe;
たとえば、 Joe が SYSLIB に関数を作成する権限をすでに所有しているとすると、
Joe は次の要求を実行するでしょう。
Joe は、最初に GLOP セット・オブジェクトを作成して、 GLOP を追加できるよう
にします。
CREATE GLOP SET syslib.sales;
その後で、 Joe はプロシージャ GLOP_Add を呼び出して sales GLOP を追加し、
それを SYSLIB に関連付けます。
CALL DBCExtension.GLOP_Add('syslib.sales',...);
最後に、 Joe は関数 sales_bonus を SYSLIB に作成します。
CREATE FUNCTION syslib.sales_bonus( … )
RETURNS DECIMAL(6,2)
LANGUAGE C
MEMBER OF GLOP SET syslib.sales
PARAMETER STYLE SQL
EXTERNAL;
SYSLIB は、パブリック・データベースです。そのため、セキュリティ管理者は
sales GLOP を finance データベースに配置し、 Finance 部門に GLOP データの作成責
任を負わせることにしました。さらに、この管理者は UDF も finance データベース
内に格納しようと考えています。
これを実現するには、次の要求を実行する必要があります。
WITH GRANT OPTION 付きのユーザーは、次に示す GRANT 要求を実行する必要
があります。
GRANT GLOP ON finance TO finance;
その後で、ユーザー finance は、次の要求を実行する必要があります。
CREATE GLOP SET sales;
CALL DBCExtension.GLOP_Add('sales', … );
GRANT GLOP MEMBER ON finance.sales TO finance;
ユーザー Joe は、 finance データベースに関数を作成します。その前に、 Joe には、
finance データベースに UDF を作成するための権限が ( それを付与できる権限を
持つ人物から ) 付与されている必要があります。
CREATE FUNCTION finance.sales_bonus( … )
RETURNS DECIMAL(6,2)
LANGUAGE C
MEMBER OF GLOP SET finance.sales
PARAMETER STYLE SQL
EXTERNAL;
SQL データ制御言語
77
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
例 19: ユーザーやロールへの行レベル・セキュリティ OVERRIDE 権限の付与
すべてのユーザーに、 inventory 表に対する INSERT、 UPDATE、 DELETE および
SELECT の DAC 任意アクセス制御 ) 権限が付与されたと想定します ( この表へのア
クセスは行レベル・セキュリティ制約 classification_level および classification_category
によって制御されます )。
次の GRANT 要求は、これらの権限を PUBLIC に付与します。
GRANT INSERT, UPDATE, DELETE, SELECT
ON inventory
TO PUBLIC;
ユーザー top_gun に、 inventory 表の classification_level および classification_category
列を更新するために必要な権限が付与されていると想定します。
ユーザー top_gun は、次のように定義されています。
CREATE USER top_gun AS
PERM=1E6,
PASSWORD=Top1111GUN;
inventory の classification_level および classification_category 列を更新するには、
top_gun がこれらの制約に対する OVERRIDE UPDATE 権限を持っている必要が
あります。
次の GRANT 要求は、 classification_level および classification_category 制約に対す
る OVERRIDE UPDATE CONSTRAINT 権限をユーザー top_gun に付与します。
GRANT OVERRIDE UPDATE CONSTRAINT (classification_level)
ON inventory
TO top_gun;
GRANT OVERRIDE UPDATE CONSTRAINT (classification_category)
ON inventory
TO top_gun;
group_membership という制約も作成したと想定します。この制約を最初に作成した
ときに、 group_membership 制約の定義では、 UPDATE および DELETE 文アクション
に対して指定された行レベル・セキュリティ・ポリシー関数がありませんでした。
emp_record 表の更新と削除を可能にするには、適切な権限をユーザーまたはロール
に付与する必要があります。そのため、以前にユーザー sally_jones に付与されたロー
ル personnel_clerk に、これらの権限を付与することにしました。ロール personnel_clerk
は、表に対するすべての任意アクセス制御権限をすでに持っています。
OVERRIDE UPDATE CONSTRAINT および OVERRIDE DELETE CONSTRAINT 権限
は、 CONSTRAINT ASSIGNMENT 権限を持っているセキュリティ管理者によって
personnel_clerk に付与されます。
次の GRANT 要求は、 group_membership 制約列に関する OVERRIDE UPDATE
CONSTRAINT および OVERRIDE DELETE CONSTRAINT 権限を emp_record 表
の personnel_clerk ロールに付与します。
GRANT OVERRIDE UPDATE, DELETE CONSTRAINT (group_membership)
ON emp_record TO personnel_clerk;
78
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT (SQL 形式 )
詳細情報
SQL 形式の GRANT によって与えられる権限の取り消しについては、「REVOKE
(SQL 形式 )」 (108 ページ ) を参照してください。
NONTEMPORAL 権限と、この権限の使用法について、詳細は < テンポラル表サ
ポート > を参照してください。
SQL データ制御言語
79
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
GRANT CONNECT THROUGH
目的
指定の信頼済みユーザーを介してプロキシ永久ユーザーまたはプロキシ・アプリ
ケーション・ユーザーとして接続するための権限を付与します。 DBC.ConnectRulesTbl
に情報を保管します。
この文では、指定の信頼済みユーザーに次の権限を付与します。
• 指定の永久ユーザーまたはアプリケーション・ユーザーとして接続する。
• 指定の永久ユーザーまたはアプリケーション・ユーザーのロールを設定する。
指定の信頼済みユーザーには、 SET QUERY_BAND 要求での定義で指定したプロキ
シ・ユーザー名の ID をアサートするための権限が付与されます。 <SQL データ定義
言語－構文規則および例 > の「SET QUERY_BAND」を参照してください。
構文
trusted_user_name
GRANT CONNECT THROUGH
A
TO
WITH TRUST_ONLY
,
A
application_user_name
,
PERMANENT
,
25
WITH ROLE
15
role_name
,
25
permanent_user_name
WITH ROLE
15
;
role_name
WITHOUT ROLE
1101B541
説明
構文要素
指定内容
trusted_user_name
CONNECT THROUGH 権限を受領するユーザーの名前。
trusted_user_name は、 Teradata Database で定義済みの永久ユーザーの名前にする必要
があります。ただし、ユーザー DBC にすることはできません。
これにより、指定の信頼済みユーザーは、指定のプロキシ・ユーザー名の ID をア
サートするための権限を付与されます。
trusted_user_name は、エンド・ユーザーを識別すべきではありません。これは、 CRM
アプリケーションや Teradata Viewpoint などの中間階層アプリケーションを識別するた
めのものです。
trusted_user_name WITH TRUST_ONLY を指定する場合、 application_user_name WITH
ROLE または permanent_user_name WITH[OUT] ROLE を同じ要求内で指定することは
できません。
80
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
構文要素
指定内容
WITH TRUST_ONLY
プロキシ・ユーザーまたはプロキシ・ロールを設定または削除する要求は、すべて信
頼済みの要求でなければならないことを trusted_user_name に対して要求します。
このオプションでは、エンド・ユーザーが SET QUERY_BAND 要求を SQL ストリー
ムに挿入したり、ホストしている中間階層アプリケーションに認識されることなくプ
ロキシ・ユーザーまたはプロキシ・ロールの設定が変更されることを防ぐ手段を提供
します。
application_user_name
trusted_user_name を介してプロキシ・ログオン権限が付与されるアプリケーション・
ユーザーの名前。
同じ要求内で WITH TRUST_ONLY オプションを指定している場合、 application_user_name
の指定は無効になります。
中間階層アプリケーションの各エンド・ユーザーに、永久ユーザーを作成することが
現実的に不可能な状況では、アプリケーション・ユーザー名はいつでも指定できます。
アプリケーション・ユーザー名は Teradata Database 内では定義されませんが、 Teradata
オブジェクトの命名規則に従う必要があります。クライアント名や ATM 識別子など、
中間階層に接続するクライアントを表現するものであれば何でも、アプリケーション・
ユーザー名になりえます。
application_user_name は、指定した trusted_user_name に対して固有である必要があり
ます ( 「アプリケーション・プロキシ・ユーザー」 (85 ページ ) を参照 )。
GRANT CONNECT THROUGH 要求ごとに最大 25 個のアプリケーション・ユーザー
名を指定できますが、信頼済みユーザーへのログオン権限が付与されるアプリケー
ション・ユーザー名の数に制限はありません。
システムは、 trusted_user_name の CONNECT THROUGH 権限に指定した名前を追加し
ます。
指定するアプリケーション・プロキシ・ユーザーごとに、少なくとも 1 つのロールを
WITH ROLE 句で指定する必要があります。
permanent_user_name
trusted_user_name を介してプロキシ・ログオン権限が付与される永久ユーザーの名前。
同じ要求内で WITH TRUST_ONLY オプションを指定している場合、 permanent_user_name
の指定は無効になります。
permanent_user_name は、 Teradata Database の永久ユーザーの名前にする必要がありま
す。ただし、ユーザー DBC にすることはできません。
permanent_user_name は、指定した trusted_user_name に対して固有にする必要があり
ます ( 「永久プロキシ・ユーザー」 (86 ページ ) を参照 )。
GRANT CONNECT THROUGH 要求ごとに最大 25 個の名前を指定できますが、信頼済
みユーザーへのログオン権限が付与される永久ユーザー名の数に制限はありません。
システムは、 trusted_user_name の CONNECT THROUGH 権限に指定した名前を追加し
ます。
SQL データ制御言語
81
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
構文要素
指定内容
WITH ROLE
role_name
プロキシ接続に割り当てるロール名のセット。
同じ要求内で WITH TRUST_ONLY オプションを指定している場合、 WITH ROLE
role_name の指定は無効になります。このオプションは、アプリケーション・ユー
ザーまたは永久ユーザーに対して指定された場合にのみ有効です。
role_name に指定する文字列は、事前に Teradata Database で定義されている内部ロール
の名前にする必要があります。内部ロールは、ディレクトリ管理の外部ロールではな
く、 Teradata Database で管理されるロールを指します。 <SQL データ定義言語－構文
規則および例 > の「CREATE ROLE」を参照してください。
この文脈では、 ALL、 NONE および NULL は、無効なロール名になります。
アプリケーション・プロキシ・ユーザーには、少なくとも 1 つのロール名を指定する
必要がありますが、永久プロキシ・ユーザーには WITHOUT ROLE を指定することも
できます。
プロキシ・ユーザーごとに最大 15 個のロール名を指定できます。永久ユーザー名お
よびアプリケーション・ユーザー名の制限条件とは異なり、この数はプロキシ・ユー
ザーごとの絶対最大数です。要求ごとの最大数ではありません。
指定の trusted_user:permanent_user または trusted_user:application_user 名前ペアに
CONNECT THROUGH 権限がすでに存在していた場合、システムは既存の CONNECT
THROUGH 権限に指定されたロールを追加します。
CONNECT THROUGH 権限に加えた変更はすぐに有効になります。そのため、
CONNECT THROUGH 権限に変更を加えた後にプロキシ接続で実行される後続の要求
では、新しい権限定義が採用されます。
ロールを削除すると、そのロールは CONNECT THROUGH 権限の定義から削除され
るため、存在しないロールに定義したルールだけが残されることがあります。 WITH
ROLE 句付きで設定された権限を所持するプロキシ・ユーザーのロールが後から削除
されると、そのユーザーには、 Teradata Database によって PUBLIC 権限のみが付与さ
れます。
新しいロールの追加によって権限に割り当てられたロールの数が 15 を超過する場合、
その要求はアボートされ、システムは要求側にエラーを返します。このような事態が
発生したときには、適切な REVOKE CONNECT 要求を実行して、 1 つ以上のロールを
権限から削除してください。この文の使用法について、詳細は「REVOKE CONNECT
THROUGH」 (126 ページ ) を参照してください。
Teradata Database は WITH ROLE 句で指定されたすべてのロール名を、デフォルトで
アクティブ化するか、プロキシ接続を PROXYROLE=ALL に設定したときにアクティ
ブ化します。
プロキシ接続に PROXYROLE=role_name を指定した場合、指定するロール名は現在の
要求の WITH ROLE 句で指定したロールのいずれかにする必要があります。こうする
ことで、 Teradata Database は、このロールをプロキシ接続のロールに設定します。
このオプションの role_name に、 NONE または NULL のどちらを指定することもでき
ません。
WITHOUT ROLE
指定した永久ユーザーの権限およびロールを CONNECT THROUGH 権限に割り当てる。
WITHOUT ROLE は、同じ要求内で WITH TRUST_ONLY オプションを指定すると無
効になります。また、このオプションは、アプリケーション・ユーザーに対しても無
効になります。
指定の trusted_user:permanent_user または trusted_user:application_user 名前ペアに
CONNECT THROUGH 権限がすでに存在していた場合、システムは既存の CONNECT
THROUGH 権限に指定されたロールを追加します。
82
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
構文要素
指定内容
CONNECT THROUGH 権限に加えた変更はすぐに有効になります。そのため、 CONNECT
THROUGH 権限に変更を加えた後にプロキシ接続で実行される後続の要求では、新し
い権限定義が採用されます。
ロールを削除すると、そのロールは CONNECT THROUGH 権限の定義から削除され
るため、存在しないロールに定義したルールだけが残されることがあります。 WITH
ROLE 句付きで設定された権限を所持するプロキシ・ユーザーのロールが後から削除
されると、そのユーザーには、 Teradata Database によって PUBLIC 権限のみが付与さ
れます。
ANSI への準拠
GRANT CONNECT THROUGH は、 ANSI/ISO SQL:2011 規格に対する Teradata の拡
張機能です。
必要な権限
GRANT CONNECT THROUGH 要求を実行するには、 CTCONTROL 権限が必要です
( 「CTCONTROL 権限」 (53 ページ ) を参照 )。
また、要求の WITH ROLE 句で指定した各ロールに対する WITH ADMIN OPTION
権限も必要です。
PERMANENT プロキシ・ユーザーとして指定した各ユーザーに対する DROP USER
権限が必要です。
GRANT CONNECT THROUGH と信頼済みセッション
• WITH TRUST_ONLY オプションが指定されている場合を除き、エンド・ユー
ザーに対し、 Teradata Database に送信する SQL 要求の実行または変更を許可し
ているアプリケーションで、信頼済みセッションを使用しないでください。
• GRANT CONNECT THROUGH 文は、 SQL 形式の特別なバージョンの GRANT 文
です ( 「GRANT (SQL 形式 )」 (26 ページ ) を参照 )。この文の用途は、指定の信
頼済みユーザーを介して、 CONNECT THROUGH 権限を指定した永久ユーザー
またはアプリケーション・ユーザーに付与することです。
ユーザーの定義を以下に示します。
用語
アプリケー
ション・ユー
ザー
説明
GRANT CONNECT プロキシ・ログオン権限を付与するアプリケー
ション・ユーザーの名前。
アプリケーション・ユーザー名は Teradata Database 内では定義され
ませんが、 Teradata オブジェクトの命名規則に従う必要があります。
単一の権限付与要求に、最大 25 個の名前を指定できます。指定し
た名前は、指定の信頼済みユーザーの付与権限に追加されます。
単一の信頼済みユーザーがログオン権限を付与できるアプリケー
ション・ユーザー名の数に制限はありません。
SQL データ制御言語
83
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
用語
永久ユーザー
説明
Teradata Database に定義されたユーザー。
GRANT CONNECT THROUGH 要求では、プロキシ・ログオン権限
が付与されるユーザーの名前になります。
信頼済みユーザーがログオン権限を付与できる永久ユーザーの数に
制限はありません。
信頼済みユー
ザー
事前に Teradata Database に定義されている永久ユーザー。このユー
ザーは、 CONNECT THROUGH 権限を GRANT CONNECT
THROUGH 要求によって受け取ります。
これにより、信頼済みユーザーには、 GRANT CONNECT THROUGH
要求で指定したプロキシ・ユーザーの ID をアサートする能力が付
与されます。
•
アプリケーション・ユーザーと永久ユーザーを総称して、プロキシ・ユーザー
と呼びます。
信頼済みユーザーのセッションを使用して Teradata Database に接続するユーザー
は、すべてプロキシ・ユーザーです。
• プロキシ接続とは、権限およびロギングを検証されるユーザーが、割り当てら
れた権限を使用するプロキシ・ユーザーである場合の、 Teradata Database 接続の
ことです。その他すべてのセッションレベルの属性は、実際に Teradata Database
にログオンしたユーザー名、アカウント名、およびスプール領域と一時領域の
割り当てなど、信頼済みユーザー用の設定になります。
• 性能管理 API (MonitorSession や AbortSession など ) は、信頼済みユーザー名を使
用して、セッションを識別します。
• システムは、 Teradata Active System Management ルールを信頼済みユーザーに対
して強制しますが、プロキシ・ユーザーには強制しません。
• セッションには、次の各列に示した値があります。セッションがプロキシ接続
であってもなくても、セッションには同じ値が使用されます。
• Account
84
•
CharType
•
Collation
•
DateForm
•
DefaultDatabase
•
Profile
•
ProxyRole
•
ProxyRoleId
•
ProxyUser
•
ProxyUserId
•
Role
•
TimeZone
•
Transaction Isolation Level
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
•
UDF Function Trace
•
UserId
•
UserName
プロキシ・ユーザー
プロキシ接続で作成されたすべてのオブジェクトの作成者
永久ユーザー
永久ユーザー。
アプリケーション・
ユーザー
信頼済みユーザー。
• 次に示すビルトイン関数は、プロキシ接続に関連するセッションの値について
の情報を返します。詳細は <SQL 関数、演算子、式および述語 > を参照してく
ださい。
• USER 関数は、そのセッションの信頼済みユーザーの名前を返します。
•
•
•
CURRENT_USER 関数は、ユーザーがプロキシ接続の状態にある場合プロキ
シ・ユーザー名を返します。それ以外の場合、 CURRENT_USER 関数はセッ
ションのユーザー名を返します。
ROLE 関数は、信頼済みユーザーの現在のロール名を返します。
CURRENT_ROLE 関数は、ユーザーがプロキシ接続の状態にある場合プロキ
シ・ユーザーの現在のロールを返します。それ以外の場合は、信頼済みユー
ザーのロール名を返します。
• IP アドレスによる制限などのログオン制限が設定されている場合、システムは
その制限を信頼済みユーザーのログオンにのみ強制します。
このような制限は、プロキシ・ユーザー名がセッションにアサートされている
ときには強制されません。
アプリケーション・プロキシ・ユーザー
アプリケーション・プロキシ・ユーザー名は、中間階層アプリケーションに接続す
るクライアント ( たとえば、クライアント名や ATM 識別子など ) を表わします。ア
プリケーション・プロキシ・ユーザーの粒度は、おおむね管理者の裁量に任されて
います。たとえば、 ATM 識別子という語では、 ATM ネットワーク内の個別の ATM
の識別子と、そのネットワークにあるいずれかの ATM の個人ユーザーの識別子と
いった、まったく異なる粒度を表わすことがあります。
プロキシ接続でアクティブにできるロールは、プロキシ接続が作成された時に
CONNECT THROUGH 権限で定義したロールになります。
アプリケーション・プロキシ・ユーザーに対する GRANT CONNECT THROUGH 要
求は、同じ要求で信頼済みユーザーに対する WITH TRUST_ONLY 権限も指定して
いる場合には実行できません。
SQL データ制御言語
85
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
同一の信頼済みユーザーに、重複するアプリケーション・プロキシ・ユーザー名お
よび永久プロキシ・ユーザー名を持つことはできません。たとえば、次の GRANT
CONNECT THROUGH 要求が、示された順序で実行されたとします。
GRANT CONNECT THROUGH msi TO sbd WITH ROLE finance_role;
GRANT CONNECT THROUGH msi TO sbd WITH ROLE hr_role;
2 番目の要求により、重複するプロキシ・ユーザー名のエラーが返されます。これ
は、 sbd と名付けられたアプリケーション・プロキシ・ユーザーが、信頼済みユー
ザー msi を介して権限を付与したときにはすでに存在しているからです。
各アプリケーション・プロキシ・ユーザーには、少なくとも 1 つのロールを WITH
ROLE 句で指定する必要があります。
アプリケーション・プロキシ・ユーザーに割り当てるロールには、次のルールが適
用されます。
• プロキシ接続でアクティブにできるロールは、その接続が作成された時に
CONNECT THROUGH 権限で定義されたロールに限られます。
WITH ROLE 句で指定したすべてのロール名は、プロキシ接続でデフォルトで
アクティブになります。
• 指定するロールは、プロキシ接続に設定できるロールに限られます。
• プロキシ接続で現在のロールを NONE または NULL に設定することはできま
せん。
• プロキシ接続の権限は、その接続のアクティブ・ロールおよび PUBLIC の権限
になります。
永久プロキシ・ユーザー
永久プロキシ・ユーザーとは、 Teradata Database に定義されている既存の永久ユー
ザーのことです。 GRANT CONNECT THROUGH 要求では、その要求で指定された
永久プロキシ・ユーザーが Teradata Database に存在していることを検証します。永
久プロキシ・ユーザーの予想される使用目的は、たとえば、イントラネット型の中
間階層アプリケーションの場合、従業員の給与明細や、利用できる休暇についての
情報の表示などになるでしょう。
Teradata Database は、永久プロキシ・ユーザーの名前を、プロキシ接続が有効であ
る間に作成したあらゆるオブジェクトの作成者として割り当てます。
永久プロキシ・ユーザーに対する GRANT CONNECT THROUGH 要求は、同じ要求
で信頼済みユーザーに対する WITH TRUST_ONLY 権限も指定している場合には実
行できません。
同一の信頼済みユーザーに、重複するアプリケーション・プロキシ・ユーザー名お
よび永久プロキシ・ユーザー名を持つことはできません。たとえば、次の GRANT
CONNECT THROUGH 要求が、示された順序で実行されたとします。
GRANT CONNECT THROUGH crm TO PERMANENT mary;
GRANT CONNECT THROUGH crm TO mary WITH ROLE hr_role;
86
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
2 番目の要求により、重複するプロキシ・ユーザー名のエラーが返されます。これ
は、 mary と名付けられた永久プロキシ・ユーザーが、信頼済みユーザー crm を介
して権限を付与したときにはすでに存在しているからです。
WITH ROLES 句で指定したすべてのロールは、プロキシ接続でデフォルトでアク
ティブになります。
CONNECT THROUGH 権限定義に加えた変更はすぐに有効になります。そのため、
CONNECT THROUGH 権限に変更を加えた後にプロキシ接続で実行される後続の
要求では、新しい権限定義が使用されます。
ロールを削除すると、そのロールは CONNECT THROUGH 権限の定義からも削除
されるため、存在しないロールに定義したルールだけが残されることがあります。
CONNECT THROUGH 権限定義に割り当てられたすべてのロールを削除すると、
Teradata Database は影響を受けるプロキシ・ユーザーに PUBLIC 権限のみを付与し
ます。
プロキシ接続で永久プロキシ・ユーザーに設定できるロールは、次の表に示すよう
に、 GRANT CONNECT THROUGH 要求の WITH ROLES 句によって異なります。
指定内容
結果
GRANT CONNECT
THROUGH 要求の
WITH ROLE 句
• 指定したすべてのロール名が、プロキシ接続でデフォ
ルトでアクティブになります。
WITH ROLE 句のロールは、ユーザーに直接付与する
必要はありません。 GRANT CONNECT THROUGH 要
求により、この権限がデフォルトで付与されます。
• 指定されるロールは、プロキシ接続用に設定できる
ロールに限られます。
• プロキシ接続で現在のロールに NONE または NULL を
設定することは、許可されていません。
• プロキシ接続の権限は、その接続のアクティブ・ロー
ルおよび PUBLIC の権限になります。
GRANT CONNECT
THROUGH 要求の
WITHOUT ROLE 句
• プロキシ接続のデフォルト・ロールは、永久ユーザー
に定義したデフォルト・ロールになります。
• プロキシ接続に設定できるロールは、ユーザーに付与
したロールに制限されます。
こちらの場合、プロキシ接続のロールに NONE また
は NULL を設定することもできます。
• プロキシ接続の権限は、永久ユーザーに付与された、
その接続のアクティブ・ロールおよび PUBLIC の権限
になります。
SQL データ制御言語
87
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
複数の信頼済みユーザーへの CONNECT THROUGH の付与
永久ユーザーまたはアプリケーション・ユーザーに、異なるロールを持つ別々の信
頼済みユーザーを介して CONNECT THROUGH 権限を付与できます。
次に示す要求の例について考察します。どちらの例も、アプリケーション・プロキ
シ・ユーザー用です。
GRANT CONNECT THROUGH msi TO debbieg WITH ROLE msirole;
GRANT CONNECT THROUGH tadmin TO debbieg WITH ROLE tadminrole;
上記の要求が正常に実行されると、 msi および tadmin の両方の信頼済みユーザーは、
アプリケーション・ユーザー debbieg に対するプロキシ接続権限を所持することにな
りますが、それぞれのプロキシ接続を実行すると、 debbieg の各セッションには異な
るロールが設定されます。つまり、信頼済みユーザー msi を介して msirole が設定さ
れ、信頼済みユーザー tadmin を介して tadminrole が設定されるということです。
永久ユーザーまたはアプリケーション・ユーザーに対する GRANT CONNECT
THROUGH 要求は、同じ要求で信頼済みユーザーに対する WITH TRUST_ONLY
権限も指定している場合には実行できません。
CONNECT THROUGH とアクセス・ロギング
次に示すような BEGIN LOGGING 要求でロギングを有効にしておくと、システム
は各 GRANT CONNECT THROUGH 要求をアクセス・ログに記録します。
BEGIN LOGGING ON EACH GRANT;
CONNECT THROUGH と行レベル・セキュリティ
プロキシ・ユーザーは、行レベル・セキュリティで保護された表に対して SQL 要
求を実行することはできません。
CONNECT THROUGH とパラメータ・マーカー
パラメータ・マーカーは、 GRANT CONNECT THROUGH 要求ではサポートしてい
ません。
CONNECT THROUGH とユーザー DBC
ユーザー DBC を信頼済みユーザーとして指定したり、 GRANT CONNECT
THROUGH 要求のプロキシ・ユーザーとして指定することはできません。
CONNECT THROUGH trusted_user_name WITH TRUST_ONLY
Teradata Database を使用すれば、中間階層アプリケーションで SQL 要求を信頼済み
かそうでないかに分類できます。これにより、電子ホワイトボード経由で SQL
コードを挿入または実行することによって、ユーザーがプロキシ・ユーザーを変更
するリスクが軽減されます。このメカニズムでは、実行依頼する SQL 要求がアプ
リケーションによって作成されたものか、ユーザーが作成したものかをアプリケー
ションが把握していると、暗黙的に仮定しています。
88
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
信頼済みユーザーに WITH TRUST_ONLY オプションが設定されていて、 SQL 要求
には信頼済みではないというフラグが立っていると、 Teradata Database は、新しい
プロキシ・ユーザーを設定したり、現在のプロキシ・ユーザーを削除するような
SET QUERY_BAND 要求を許可したりしなくなります。
Teradata Database は、クライアント・ソフトウェアとサーバー・ソフトウェアの両
方で、これを強制します ( 「Teradata クライアント・ソフトウェアの信頼済みセッ
ションの実施」 (89 ページ ) および「Teradata サーバー・ソフトウェアの信頼済み
セッションの実施」 (89 ページ ) を参照 )。
独自の SQL コードを作成する中間階層アプリケーションは、非信頼済み ( デフォル
ト ) モードで実行できるため、単純な下位互換性が維持されます。
詳細は、 < セキュリティ管理ガイド > を参照してください。
Teradata クライアント・ソフトウェアの信頼済みセッションの実施
このセキュリティ機能をクライアント・ソフトウェアで実施できるようにするため
に、 SQL 要求が信頼済みであること ( または信頼済みでないこと ) を示すための機
能を、コード開発者に提供しています。これを CLIv2 アプリケーションで実行する
場合は、 CLIv2 のオプション・パーセルの信頼済みフラグに、要求が信頼済みの場
合は「Y」、信頼済みでない場合は「N」を指定します。
注記 :
必ず、パーセル・モード Fetch の CLIv2 操作のみを使用して、信頼済みユーザー・
ベースの中間階層アプリケーションを記述する必要があります。 CLIv2 のバッファ・
モード Fetch 操作を使用してアプリケーションを記述すると、信頼済みでないユー
ザーが独自のオプション・パーセルを作成して、アプリケーションに信頼済みでな
い SQL コードを注入できるようになってしまいます。
オプション・パーセルについての詳細と、パーセル・モード Fetch 操作および
DBCAREAR を使用して CLIv2 アプリケーションを記述する方法については、
<Teradata CLI V2 ワークステーション接続システム >、または <Teradata CLI V2 リ
ファレンス－メインフレーム接続システム > を必要に応じて参照してください。
各 Teradata アプリケーション API には、要求が信頼済みであるか、信頼済みでない
かをアプリケーションで指定するためのメカニズムが用意されています。このメカ
ニズムによって、 SQL 要求が信頼済みでないステータスから、信頼済みであるス
テータスにアップグレードされることを防止します。 Teradata Tools and Utilities の該
当するマニュアルを参照して、中間階層アプリケーションの作成に使用する API
が、この機能をどのように処理するかについて確認してください。
Teradata サーバー・ソフトウェアの信頼済みセッションの実施
信頼済みセッション機能を使用するアプリケーションは、信頼済みの要求と、信頼
済みでない要求の両方の要求を実行依頼すると考えられます。どの要求が信頼でき
て、どの要求が信頼できないかを把握しているのは、そのアプリケーションであっ
て、 Teradata Database ではありません。 Teradata Database は、ログオン・ユーザーに
WITH TRUST_ONLY オプションが設定されている場合には、 PROXYUSER を指定
した SET QUERY_BAND 要求が信頼済みの要求であるかどうかを検証するだけです。
SQL データ制御言語
89
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
サーバー・ソフトウェアでは、信頼済みユーザーが TRUST_ONLY 権限を所持する
ように設定する GRANT CONNECT THROUGH 要求を使用して、信頼済みの要求を
強制します。信頼済みユーザーに WITH TRUST_ONLY オプションを指定すると、
Teradata Database はプロキシ・ユーザーを信頼済みに設定する要求を許可しますが、
それ以外の場合はその要求をアボートして、要求側にエラーを返します。
中間階層アプリケーションが、次に示す PROXYUSERS を指定した SET
QUERY_BAND 要求を実行依頼したとします。
SET QUERY_BAND = 'PROXYUSER=client787';
考えられる結果は以下のとおりです。この要求が信頼済みであるかどうか、また、
この要求を実行依頼したアプリケーション・ユーザーに付与されている CONNECT
THROUGH 権限の内容によって結果が異なります。
信頼済みユー
ザーの権限
オプション・パーセ
ルの信頼済みフラグ
要求の状態
TRUST_ONLY 権
限が付与されて
いる
Y に設定
信頼済み。
SET QUERY_BAND … PROXYUSER 要求が許
可されます。
N に設定
信頼済みでない。
SET QUERY_BAND … PROXYUSER 要求がア
ボートされます。
TRUST_ONLY 権
限が付与されて
いない
Y に設定
信頼済み、信頼済みでない、のどちらでもあ
りません。
Teradata Database はフラグの設定を無視します。
N に設定
信頼済み、信頼済みでない、のどちらでもあ
りません。
Teradata Database はフラグの設定を無視します。
これはデフォルトの設定です。
CONNECT THROUGH メタデータのディクショナリ・ストレージ
ディクショナリ表 DBC.ConnectRulesTbl は、プロキシ・ユーザーがプロキシ接続を
行なうために使用可能な、信頼済みユーザーとロールについての情報を格納しま
す。表には、 trusted_user_name:proxy_user_name の組合せごとに 1 行が収容され
ます。
システムによって GRANT CONNECT THROUGH 要求が処理されると、次に示す指
定した各ペアの行が DBC.ConnectRulesTbl に書き込まれます。
• 信頼済みユーザー名 : 永久ユーザー名
• 信頼済みユーザー名 : アプリケーション・ユーザー名
この行は、信頼済みユーザーまたは永久ユーザーのどちらかを削除するまで維持さ
れます。
90
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
信頼済みユーザーに WITH TRUST_ONLY を付与すると、 Teradata Database は
DBC.ConnectRulesTbl に、次の情報を含む行を追加します。
• TrustUserId
• ProxyUser=space_characters
• TrustOnly=Y
さらに、 Teradata Database は DBC.ConnectRulesTbl 内で TrustUserId=specified_TrustUserID
の値を持つすべての行を更新し、 TrustOnly=Y に設定します。
ルールを管理する監査証跡を提供するために、権限を取り消してもユーザーを削除
しないときには、 Teradata Database はその行を保持します。
次の表は、 TRUST_ONLY 権限が信頼済みユーザーに付与されている場合と、付与
されていない場合の DBC.ConnectRulesTbl.GrantStatus の値を示しています。
DBC.ConnectRulesTbl.GrantStatus
に設定される値
TRUST_ONLY 権限
G
trusted_user に付与されています。
R
trusted_user から取り消されています。
例1
次に示す GRANT CONNECT THROUGH 要求では、信頼済みユーザー viewpoint を
介し、割当済みのプロキシ接続のロール admin とともに、 CONNECT THROUGH
権限を永久ユーザー sbd に付与します。
GRANT CONNECT THROUGH viewpoint
TO PERMANENT sbd
WITH ROLE admin;
この要求が正常に実行されると、ユーザー sbd は、信頼済みユーザー viewpoint を介
したプロキシ接続権限を所持します。また、 sbd には、プロキシ接続を作成するた
びに admin ロールが割当てられます。
例 2: プロキシ接続のロールの指定
この例の WITH ROLE 句で指定したすべてのロールは、プロキシ接続でデフォルト
でアクティブになります。
プロキシ接続でアプリケーション・ユーザー dg120 に ProxyRole が設定されていな
い場合、アクティブ・ロールは salesrole1、 salesrole2 および salesrole3 になります。
プロキシ接続は、 WITH ROLE 句に含まれるロールの 1 つに設定できます。たとえ
ば、アプリケーション・ユーザー dg120 の ProxyRole を、 salesrole1、 salesrole2 また
は salesrole3 に設定することはできますが、その他のロールは許可されません。
GRANT CONNECT THROUGH dcm
TO dg120, ks392, lm190
WITH ROLE salesrole1, salesrole2, salesrole3;
SQL データ制御言語
91
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
例 3: プロキシ接続の WITHOUT ROLE の指定
次に示す要求の例のように、永久プロキシ・ユーザーに WITHOUT ROLE 句を設定
すると、システムは永久ユーザーに付与された権限とロールを使用します。また、
デフォルトのプロキシ・ロールは、プロキシ永久ユーザーに定義されたデフォルト
のロールになります。
プロキシ・ユーザーに設定できるロールは、プロキシ永久ユーザーに付与された
ロールに制限されます。
GRANT CONNECT THROUGH trm
TO PERMANENT accting
WITHOUT ROLE;
例 4: WITH TRUST_ONLY オプションの指定
WITH TRUST_ONLY オプションでは、信頼済みの要求が必要な PROXYUSER また
は PROXYROLE の設定、変更または削除を要求する SET QUERY_BAND を、中間
階層アプリケーションが実行することを制限します。
次に示す要求では、信頼済みユーザー user_name は、中間層アプリケーションから
SET QUERY_BAND 要求を実行することを制限されます。このアプリケーションで
オプション・パーセルの信頼済みフィールドに「Y」を設定して、この要求が信頼
済みであることを示さない限り要求を実行できません ( オプション・パーセルにつ
いての詳細は、 <Teradata CLI V2 リファレンス－メインフレーム接続システム >、
または <Teradata CLI V2 ワークステーション接続システム > を参照してください )。
この例では、中間階層アプリケーションが CLIv2 API を使用すると仮定していま
す。各自のアプリケーションに該当する Teradata Tools and Utilities のマニュアルを
参照して、この情報を API で指定するメカニズムについて確認してください。
GRANT CONNECT THROUGH user_name WITH TRUST_ONLY;
アプリケーションでオプション・パーセルの信頼済みフィールドを「Y」に設定し
ていないと、 Teradata Database は user_name が実行依頼したすべての SET
QUERY_BAND 要求をアボートします。
詳細情報
92
内容
参照先
プロキシ接続の取り消し
「REVOKE CONNECT THROUGH」
(126 ページ )
プロキシ接続を有効にするクエリー・
バンドの設定
<SQL データ定義言語－構文規則およ
び例 > の「SET QUERY_BAND」
信頼済みでない要求の設定
Teradata JDBC Driver ユーザー・ガイド
信頼済みセッションの管理
データベースの管理
信頼済みセッションに関連するセキュ
リティ問題
セキュリティ管理ガイド
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT CONNECT THROUGH
内容
参照先
信頼済みセッションのディクショナリ属性
データ・ディクショナリ
オプション・パーセル
• Teradata CLI V2 リファレンス－メイン
フレーム接続システム
• Teradata CLI V2 ワークステーション接続
システム
SQL データ制御言語
93
第 2 章 : 文の構文規則
GRANT LOGON
GRANT LOGON
目的
次のどれかを実行します。
• 特定のクライアント・システムから Teradata Database にログオンする許可をユー
ザーに与えます。
• 現在のシステム・ログオンのデフォルトを変更します。
構文
,
GRANT LOGON
ON
host_id
AS DEFAULT
,
ALL
TO
WITH NULL PASSWORD
;
user_name
FROM
1101C027
説明
構文要素
指定内容
host_id
ハードウェア構成データによってシステムに現在定義されているメ
インフレーム接続またはワークステーション・ネットワーク接続を
識別します。実際にこのホストが稼働中である必要はありません。
ノードごとに複数のホスト ID を定義できます。
システム・コンソールのホスト ID は 0 です。他のすべてのコネクタ
の host_id の値は 1 ～ 32,767 です。詳細は、 < サポート・ユーティリ
ティ > の「Configuration ユーティリティ」を参照してください。
ALL
システムのコンソールも含め、ログインを試みるすべてのソースを
指定します。
AS DEFAULT
指定した host_id の現在のデフォルトが、この GRANT LOGON 文で
定義されたとおりに、他の条件なしに変更されることを指定します。
AS DEFAULT 付きの文は、特定のユーザー名に与えた、またはユー
ザー名から取り消したアクセス権には何の効力もありません。
特定の host_id にデフォルトを設定する文は、 ALL クライアント・
システムにデフォルトを設定する文よりも優先されます。
TO
FROM
94
GRANT の結果が与えられる受領者を指定する句です。
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT LOGON
構文要素
指定内容
user_name
現在のシステム・ログオン・デフォルトを変更する 1 人または複数
のユーザーの名前を指定します。
• DBC という名前を、 GRANT LOGON 文のユーザー名として指定
することはできません。この名前を含んだ文は、エラー・メッ
セージを返します。
• host_id の数とユーザー名の数の積が、 25 を超えてはなりません。
WITH NULL
PASSWORD
指定したクライアント・システム・コミュニティーから受け入れら
れるパスワードがないログオン・ストリングを許可します。
最初のデフォルトは、すべてのログオン要求がパスワードを含んで
います。 WITH NULL PASSWORD オプションと、 TDP セキュリティ
出口プログラムをともに指定すると、デフォルトは無効になります。
このオプションは、ユーザーがデータベースによってではなく外部
から認証されていることを暗黙的に示します。詳細は、 < セキュリ
ティ管理ガイド > を参照してください。
ANSI への準拠
GRANT LOGON は、 ANSI/ISO SQL:2011 規格の拡張機能です。
必要な権限
GRANT LOGON を実行するには、 DBC.LogonRule マクロに対する EXECUTE 権限
が必要です。
システム権限検査
AS DEFAULT オプションを含む文は、特定のユーザーに与えられた、またはユー
ザーから取り消されたログオン・アクセスには影響を与えません。 GRANT LOGON
文に指定されたユーザーは、クライアント・システムが REVOKE のデフォルトを
持っていたとしても、そのクライアント・システムに常にアクセスすることができ
ます。また、 REVOKE LOGON 文で指定されたユーザーは、クライアント・システ
ムが GRANT のデフォルトを持っていたとしても、そのクライアント・システムに
アクセスすることはできません。
GRANT LOGON 文が実行されると、要求中のユーザーはこの文に関連するシステ
ム・マクロに対して EXECUTE 権限を持っているかどうか検証されます。ただし、
この文で定義したユーザーが要求しているユーザーに所有されているかどうかの検
証は行なわれません。たとえば、無効なユーザー名や無効な host_id を指定したた
めに検証を行なうことができない場合、この文に対して何の動作もとられません。
SQL データ制御言語
95
第 2 章 : 文の構文規則
GRANT LOGON
1 つまたは複数のユーザー名に対する GRANT LOGON
1 つまたは複数のユーザー名に対する GRANT LOGON 文が処理されると、指定さ
れた user_name/host_ID のペアごとにログオン制御レコードが作成されます。特定
の user_name/host_ID のペアの制御レコードが存在していれば、置き換えられます。
特定のユーザー名に関して作成されたログオン制御レコードは、そのユーザーが削
除されるまで存続します (<SQL データ定義言語－構文規則および例 > の「DROP
USER」を参照 )。
特定のユーザー名に関するログオン制御レコードが存在しないログオン
特定のユーザー名に対するログオン制御レコードがない場合、その名前を使用する
Teradata Database へのアクセスは、ログオンが入力された host_id の現在のデフォル
トによって制御されます。
ユーザー DBC としてログオン
ユーザー DBC として Teradata Database にログオンするには、パスワードが必要で
す。入力されたパスワードが正しい場合、 host_id の現在のデフォルトは無視され、
そのログオンが受け入れられます。これは、 Teradata Database からすべてのクライ
アント・システムがロックアウトされることを防ぎます。
ログオンをユーザー名 DBC に付与することはできません。
パスワードなしのログオン
Teradata Database が複数のクライアント・システムに接続されている場合、最初の
デフォルトは、ログオンの許可がすべてのクライアント・システム接続からすべて
のユーザーに与えられ、すべてのログオンにパスワードが含まれていなければなら
ないようになっています。
パスワードなしにログオンするユーザーには、次の 2 つの要素がなければなりま
せん。
• WITH NULL PASSWORD オプションを含む GRANT LOGON 文を、定義された
ユーザー名のために実行するか、または host_id をデフォルトに設定しなければ
なりません。
• クライアント・システムに導入されたセキュリティ出口が、このユーザーのロ
グオン文字列はパスワードなしで有効であることを認めなければなりません。
クライアントのタイプ
セキュリティ出口が導入されているクライアント・
アプリケーション
メインフレーム接続
• TDP
• CLI
ワークステーション接続
96
CLI
SQL データ制御言語
第 2 章 : 文の構文規則
GRANT LOGON
外部認証を使用したログオン
外部認証を使用すると、ユーザーは一度コンピュータにログオンすれば、ユーザー
名、パスワード、またはアカウント名を指定せずに Teradata Database にアクセスで
きます。これを可能にするには、ディレクトリ内で Teradata Database ユーザーにま
だマップされていないすべてのディレクトリ・ユーザーを明示的にマップする必要
があります。マップされていないユーザーと Teradata Database 間の明示的なマッピン
グを作成しなければ、そのディレクトリ・ユーザーは Teradata Database にログオン
できません。
ディレクトリ・ユーザーを以下に明示的にマップすることができます。
• EXTUSER
EXTUSER へのマッピングが、最も一般的に使用される方法です。
行レベル・セキュリティ権限を EXTUSER に割り当てることはできません。
詳細は、 < セキュリティ管理ガイド > を参照してください。
• プロファイル
• ロール
• Teradata ユーザー
このログオンを実現する別の方法もあります。ヌル・パスワードを使用してユー
ザー・ログオン権限を付与するという方法です。
Gtwcontrol ユーティリティを使用することによって Append Domain Name オプション
が設定されていないゲートウェイを通じてシステムにログオンできるユーザーを作
成する手順は、次のとおりです。このユーザーは、ユーザー rhh としてすでに定義
されています。
1
CREATE USER 要求を使用して、次のようにユーザー rhh を作成します。
CREATE USER rhh AS
PERM = 10000000,
PASSWORD = rhh;
2
GRANT LOGON 要求を使用して、ユーザー rhh に次のようにログオン権限を付
与します。
GRANT LOGON ON ALL
TO rhh
WITH NULL PASSWORD;
Append Domain Name が設定されているゲートウェイを通じて Teradata システムに
ログオンできる Teradata Database ユーザーを作成する手順は、次のとおりです。
このユーザーは、ユーザー rhh としてすでに定義されており、そのアカウントは
esw2kdev ドメイン内にあります。
1
CREATE USER 要求を使用して、次のようにユーザー rhh を作成します。
CREATE USER "rhh@esw2kdev" AS
PERM = 10000000,
PASSWORD = rhh;
SQL データ制御言語
97
第 2 章 : 文の構文規則
GRANT LOGON
2
GRANT LOGON 要求を使用して、ユーザー rhh に次のようにログオン権限を付
与します。
GRANT LOGON ON ALL
TO "rhh@esw2kdev"
WITH NULL PASSWORD;
外部認証の詳細については、 < セキュリティ管理ガイド >、 < データベースの
管理 >、および < ユーティリティ > を参照してください。
詳細情報
98
内容
参照先
ログオン権限の取消し
「REVOKE LOGON」 (129 ページ )
外部ユーザー
セキュリティ管理ガイド
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE
REVOKE
目的
REVOKE は、 1 人または複数のユーザー、プロキシ・ユーザー、データベース、ま
たはロールから明示権限を取り除きます。取り消す権限は、自動的に与えられたも
のであっても、前の GRANT 文で与えられたものであってもかまいません。
ANSI への準拠
REVOKE ( ロール形式 ) と REVOKE (SQL 形式 ) は、 ANSI/ISO SQL:2011 に準拠し
ています。他の形式の REVOKE は、 ANSI/ISO SQL:2011 規格の拡張機能です。
取り消しの制限
暗黙権限は所有権によって管理されているため、取り消すことができません。所有
権を変更するための GIVE 文を使用することにより、暗黙権限に影響を与えること
ができます ( 詳細については、「GIVE」 (16 ページ ) を参照 )。
REVOKE の形式
REVOKE には、次の形式があります。これらの機能と構文規則は異なります。これ
らの形式については、以下の箇所を参照してください。
• 「REVOKE (MONITOR 形式 )」 (101 ページ )
• 「REVOKE ( ロール形式 )」 (105 ページ )
• 「REVOKE (SQL 形式 )」 (108 ページ )
• 「REVOKE CONNECT THROUGH」 (126 ページ )
• 「REVOKE LOGON」 (129 ページ )
REVOKE で除去できる権限のタイプ
REVOKE 文は、 DBC.AccessRights 表に記録されている明示権限に対して操作を行な
います。したがって、暗黙権限は、 DBC.AccessRights に格納されないので、取り消
せません。
自動的または明示的に与えられる明示権限のみ取り消せます。
ほとんどの場合、暗黙権限は、暗黙権限を保持しているユーザーがそれらの権限を
他のユーザーに付与することを許可するだけで、それらの権限に対応する SQL 文を
実行することを許可するわけではありません。一般に、アクセス保護された SQL
文を実行するには明示権限が必要です。このルールの主な例外は、ビュー、マク
ロ、およびストアド・プロシージャに対する権限です。
SQL データ制御言語
99
第 2 章 : 文の構文規則
REVOKE
REVOKE (SQL 形式 ) と REVOKE (MONITOR 形式 ) の機能の相違点
SQL および MONITOR の REVOKE の形式はそれぞれ独立した文です。あるユー
ザーから、 MONITOR を含むすべての権限を取り消すためには、付与者は、以下の
文を両方とも実行しなければなりません。
REVOKE ALL PRIVILEGES ON object
FROM user_name;
REVOKE MONITOR PRIVILEGES
FROM user_name;
2 つの文はともに、適切な権限を WITH GRANT OPTION 付きで暗黙的または明示
的に持っていることを想定しています。
100
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (MONITOR 形式 )
REVOKE (MONITOR 形式 )
目的
システム全体の性能監視の権限を取り消します。
構文
REVOKE
A
MONITOR
GRANT OPTION FOR
PRIVILEGES
,
BUT NOT
monitor_privilege
,
monitor_privilege
,
A
user_name
TO
FROM
ALL
;
PUBLIC
1101B214
説明
構文要素
指定内容
GRANT OPTION
FOR
指定された受領者の指定された権限の付与権限だけが取り消されます。
MONITOR
PRIVILEGES
REVOKE 文を実行するユーザーによって、指定されたオブジェクトに対して WITH
GRANT OPTION 付きで付与できる、 MONITOR 以外のすべての権限が、指定された
ユーザーから取り消されます。
REVOKE GRANT OPTION FOR は、受領者の付与権限を取り消すだけであり、指定さ
れた権限自体は取り消しません。
MONITOR も含めたすべての権限を取り消すには、次の 2 つの文を実行する必要があ
ります。
REVOKE ALL PRIVILEGES ON object
FROM user_name;
REVOKE MONITOR PRIVILEGES
FROM user_name;
ALL PRIVILEGES は、すべてのデータベース権限を意味します。
ALL PRIVILEGES オプションを指定した場合には、付与権限とともに与えられた権限
だけが、受領者から取り消されます。
MONITOR PRIVILEGES は、すべての管理権限を示します。
ANSI/ISO SQL:2011 規格では、 PRIVILEGES の前に ALL が必要です。
SQL データ制御言語
101
第 2 章 : 文の構文規則
REVOKE (MONITOR 形式 )
構文要素
指定内容
MONITOR BUT NOT
monitor_privilege によって指定された権限を除く、すべての MONITOR 権限を取り消
します。
monitor_privilege
取り消すことができるモニター権限を指定します。
以下の権限を、希望するだけカンマで区切って指定できます。
• ABORTSESSION
• CTCONTROL
• MONRESOURCE
• MONSESSION
• SETRESRATE
• SETSESSRATE
これらのモニター権限の定義については、「モニター権限」 (22 ページ ) を参照してく
ださい。
ALL
モニター権限が、指定したデータベースまたはユーザー、およびそのデータベースま
たはユーザーによって現在および将来に所有されるすべてのデータベースまたはユー
ザーから取り消されることを指定します。
ALL user_name は、 ANSI/ISO SQL:2011 規格に対する Teradata の拡張機能です。
user_name
モニター権限が取り消されるデータベースまたはユーザーを指定します。最大 25 個の
名前を指定することができます。
PUBLIC
モニター権限を、 Teradata Database の現在定義されているユーザーと将来のユーザーの
すべてから取り消すように指定します。
ALL DBC は、 PUBLIC と等価です。
ANSI への準拠
REVOKE の MONITOR 形式は、 ANSI/ISO SQL:2011 規格の拡張機能です。
必要な権限
REVOKE ( モニター ) では、 REVOKE 文を実行するユーザーは、取り消されるす
べての権限を GRANT オプション付きで持っていなければなりません。
権限は即座に取り消される
REVOKE MONITOR は、取り消されたユーザーが次の文を発行すると直ちに有効に
なります。
REVOKE の使用上のルール (MONITOR 形式 )
102
キーワード
意味
ALL PRIVILEGES
すべてのデータベース関連の権限が影響を受けます。
MONITOR PRIVILEGES
すべてのシステムモニター権限が影響を受けます。
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (MONITOR 形式 )
以下の制限のいずれかに違反すると、失敗応答が返されます。
無効な処置
REVOKE 文のタイプ
ON object 句を指定する
REVOKE MONITOR。
ON object 句を指定しない
その他のタイプ。
REVOKE 文は、受領者が次の文を発行すると直ちに有効になります。
取消し可能な権限
暗黙権限は、取り消すことができません。詳細は、「取り消しの制限」 (99 ページ ) を
参照してください。
ユーザーから権限の GRANT OPTION を取り消すと、そのユーザーがこの権限を与
える権限が即座に取り消されます。ただし、そのユーザーによって他のユーザーに
すでに与えられている権限には影響しません。
条件
結果
1 人のユーザーが複数の付与者から同じ権
限を受け取った場合
必要な権限を持つ任意の付与者が、その権
限をユーザーおよび他の受領者から取り消
すことができます。
別のユーザーから権限を取り消すユーザー
が、その権限の付与者である必要はありま
せん
ALL user_name に付与された権限を
user_name から取り消した場合
その権限は今後 user_name が所有するユー
ザーには自動的に付与されません。
例1
この文は、 accounting データベースに対するすべての SQL 権限と、システムに対す
るすべてのモニター権限を user_name から取り消します。
REVOKE ALL PRIVILEGES ON accounting
FROM user_name;
REVOKE MONITOR PRIVILEGES
FROM user_name;
この例は、取消しを行なうユーザーが必要な権限を WITH GRANT OPTION 付きで
暗黙的または明示的に持っていることを想定しています。
SQL データ制御言語
103
第 2 章 : 文の構文規則
REVOKE (MONITOR 形式 )
例2
この文は、 ABORTSESSION、 MONSESSION、および SETSESSRATE モニター権限を
ユーザー pls から取り消します。
REVOKE ABORTSESSION, MONSESSION, SETSESSRATE FROM pls;
この例は、取消しを行なうユーザーが必要な権限を WITH GRANT OPTION 付きで
暗黙的または明示的に持っていることを想定しています。
詳細情報
モニター権限の付与については、「GRANT (MONITOR 形式 )」 (20 ページ ) を参照
してください。
104
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE ( ロール形式 )
REVOKE ( ロール形式 )
目的
ユーザーまたは他のロールからロールを取り消します。
構文
,
,
REVOKE
role_name
ADMIN OPTION FOR
TO
user_name
FROM
role_name
;
KZ01a009
説明
構文要素
指定内容
ADMIN OPTION FOR
このロールを付与されたロールまたはユーザーが、 GRANT、
REVOKE、および DROP ROLE 文を使用して、指定されたロー
ルを管理する権限を失うことを指定します。
REVOKE 要求に ADMIN OPTION FOR を指定しない場合、システ
ムは指定されたロールを、そのロールが付与されたロールまたは
ユーザーから取り消します。
role_name
1 つまたは複数のカンマで区切られた、取り消すロールの名前を
指定します。
REVOKE 要求につき最大 25 個の名前を指定できます。
システムでは重複したロール名は無視されます。
TO
FROM
user_name
role_name
ロールまたはロールを管理する能力を取り消されるロールまたは
ユーザー、あるいはその両方の名前を指定します。
システムでは、指定されたロールを付与されていないユーザーま
たはロールについては、エラーは返されません。
TO キーワードは、 ANSI/ISO SQL:2011 に対する Teradata の拡張
機能です。
ANSI への準拠
REVOKE ( ロール形式 ) は、 ANSI/ISO ISOSQL:2011 に準拠しています。
必要な権限
ロールを取り消すには、それに対する WITH ADMIN OPTION 権限が必要です。
以下のユーザーが、ロールのメンバーシップを取り消せます。
SQL データ制御言語
105
第 2 章 : 文の構文規則
REVOKE ( ロール形式 )
• ユーザー DBC。
• WITH ADMIN OPTION 付きの指定されたロールを付与されたユーザー。
ロールは、 WITH ADMIN OPTION 付きのロールの作成者に自動的に付与され
ます。
• WITH ADMIN OPTION 付きで指定されたロールが与えられたアクティブ・ロー
ルを持つユーザー。アクティブ・ロールは、現在のロールか、現在のロールの
入れ子ロールのいずれかです。
ロールの取り消し
ロールは、データベース・オブジェクトに対する権限を定義します。ロールを活動
化するユーザーは、ロールと入れ子ロールのすべての権限を継承します。ユーザー
は、自身に付与されているロールだけを活動化することができます。
ユーザーは、組織内でのロールを変更されることがあります。ロールが権限を持っ
ているオブジェクトにユーザーがアクセスする必要がなくなった場合は、管理者が
ロールを取り消せます。ロールが権限を持っているオブジェクトにユーザーがアク
セスする必要がなくなった場合は、管理者がロールを取り消せます。
許可されたユーザーは、ロールの作成者からロールに対する WITH ADMIN
OPTION 権限を取り消せます。
ロールを取り消した場合の影響
ロール取り消しはすぐに有効になります。現在のロールまたは現在のロールの入れ
子ロールとして、取り消されたロールを使用してログオンするユーザーは、その
ロールで定義されている権限を失います。
取り消されたロールがデフォルト・ロールとして設定されているユーザーは、次回
のログオン時にエラーや警告を受け取りません。しかし、システムでは、権限の評
価に、廃止されたデフォルト・ロールを使用しません。ロールが再びユーザーに付
与されると、ユーザーが次回ログオンする際に、再びデフォルト・ロールが現在の
ロールになります。
例
ユーザー marks が sales から management へ昇進した場合、データベース管理者は次
の文を使用して、 sales ロールを取り消して management ロールを付与できます。
REVOKE sales
FROM marks;
GRANT management
TO marks;
106
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE ( ロール形式 )
詳細情報
SQL データ制御言語
詳細情報
参照先
ユーザーおよび他のロールへのロー
ルの付与
「GRANT ( ロール形式 )」 (23 ページ )
ユーザーへのデフォルト・ロールの
割当て
• <SQL データ定義言語－構文規則および例 >
の「CREATE USER」
• <SQL データ定義言語－構文規則および例 >
の「MODIFY USER」
セッションに関する現在のロールの
変更
<SQL データ定義言語－構文規則および例 >
の「SET ROLE」
107
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
REVOKE (SQL 形式 )
目的
データベース、ユーザー、表、ビュー、ストアド・プロシージャ、 UDF、またはマ
クロに対する 1 つまたは複数の明示的権限を、ロール、ロールのグループ、ユー
ザー、またはユーザーのグループから取り消すか、 GRANT オプションを明示的権
限から除去します。
NONTEMPORAL 権限の取り消しについては、 < テンポラル表サポート > を参照し
てください。
108
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
構文
REVOKE
A
ALL
PRIVILEGES
,
GRANT OPTION FOR
privilege
ALL BUT
,
a
role_privilege
,
profile_privilege
A
ON
B
database_name
user_name
role_name
PUBLIC
database_name.
user_name.
object_name
object_name
PROCEDURE
procedure_name
database_name.
user_name.
SPECIFIC FUNCTION
specific_function_name
database_name.
user_name.
FUNCTION
function_name
,
(
)
database_name.
user_name.
TYPE
data type
parameter_name
UDT_name
SYSUDTLIB.
a
,
B
TO
FROM
user_name
ALL
;
PUBLIC
,
role_name
database_name.
user_name.
SQL データ制御言語
1101V061
109
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
data type
INTEGER
SMALLINT
BIGINT
BYTEINT
DATE
TIME
TIMESTAMP
(fractional_seconds_precision)
WITH TIME ZONE
INTERVAL YEAR
(precision)
TO MONTH
INTERVAL MONTH
(precision)
INTERVAL DAY
(precision)
TO
HOUR
MINUTE
SECOND
( fractional_seconds_precision )
INTERVAL HOUR
(precision)
TO
MINUTE
SECOND
( fractional_seconds_precision )
INTERVAL MINUTE
(precision)
TO SECOND
( fractional_seconds_precision )
INTERVAL SECOND
(precision
)
,fractional_seconds_precision
PERIOD(DATE)
PERIOD(TIME
PERIOD(TIMESTAMP
A
110
)
(precision)
WITH TIME ZONE
B
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
A
B
REAL
DOUBLE PRECISION
FLOAT
( integer )
NUMBER
(
integer
*
)
,
integer
DECIMAL
( integer
NUMERIC
)
, integer
CHAR
( integer )
BYTE
GRAPHIC
( integer )
VARCHAR
CHAR VARYING
VARBYTE
VARGRAPHIC
LONG VARCHAR
LONG VARGRAPHIC
BINARY LARGE OBJECT
( integer
BLOB
(
G
K
M
CHARACTER LARGE OBJECT
CLOB
XML
XMLTYPE
JSON
( integer )
CHARACTER SET
UNICODE
LATIN
UDT_name
SYSUDTLIB.
ST_Geometry
MBR
ARRAY_name
VARRAY_name
SQL データ制御言語
111
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
説明
構文要素
指定内容
GRANT OPTION FOR
指定されたデータベース・オブジェクトに対応する明示権限を所持する、指定
された受領者の権限セットから、 WITH GRANT OPTION 付与権限のみを削除し
ます。
REVOKE GRANT OPTION FOR は、指定された権限セットを他のユーザーに付
与する能力を取り消しますが、指定されたユーザーまたはロールから明示権限
自体を取り消すことはありません。
このオプションは、ロールの受領者には適用されません。
ALL [PRIVILEGES]
REVOKE 文を実行するユーザーによって、指定されたオブジェクトに対して
WITH GRANT OPTION 付きで付与でき、暗黙的または明示的に保持されている、
MONITOR 以外の明示的に与えられたすべてのデータベース権限 ( 表権限を除く )
が、指定されたユーザーまたはロールから取り消されます。
つまり、 REVOKE ALL は INDEX および REFERENCES 権限を取り消しません。
これらの権限を取り消すには、明示的に取り消す必要があります。
MONITOR も含めたすべての明示データベース権限を取り消すために、取り消す
ユーザーは次の 2 つの文を実行する必要があります。
REVOKE ALL PRIVILEGES ON object
FROM user_name;
REVOKE MONITOR PRIVILEGES
FROM user_name;
ALL PRIVILEGES は、すべての明示データベース権限を意味します。
ALL PRIVILEGES を指定した場合は、付与権限とともに保持されている明示権
限だけが、受領者から取り消されます。
ANSI/ISO SQL では、キーワード PRIVILEGES の前に ALL が必要です。
ALL BUT
112
REVOKE 文を実行するユーザーによって、指定されたオブジェクトに対して
WITH GRANT OPTION 付きで付与でき、暗黙的または明示的に保持されている、
権限のセットで指定された権限以外の明示的に与えられたすべての明示データ
ベース権限が、指定されたデータベース・オブジェクトから取り消されます。
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
構文要素
指定内容
privilege
「サポートされる権限」 (116 ページ ) にリストされた 1 つ以上の権限。
INSERT、 REFERENCES、 SELECT、および UPDATE には、別々に、表および列
レベルのオプションがあります。「GRANT (SQL 形式 )」 (26 ページ ) を参照して
ください。
GENERATED ALWAYS の識別列に対する UPDATE 権限は付与できません。
ANSI/ISO SQL:2011 規格では、データベースまたはユーザーに対する REVOKE、
または ALL BUT をサポートしません。これらは ANSI/ISO SQL:2011 規格に対す
る Teradata の拡張機能です。
権限はどのような組合せでも指定することができます。ただし、要求を実行す
るユーザー自身は、 WITH GRANT OPTION 付きで指定された、すべての権限を
暗黙的または明示的に所持していなければなりません。
DATABASE、 FUNCTION、 MACRO、 PROCEDURE、 PROFILE、 ROLE、 TABLE、
TRIGGER、 USER、または VIEW を CREATE または DROP なしで指定する場合
は、 CREATE と DROP の両方が取り消されます。
CHECKPOINT を指定した場合、権限は、 SQL 文および HUT コマンドの DUMP
と RESTORE の両方から取り消されます。
DUMP または RESTORE を個別に指定した場合、システムは対応する HUT コ
マンドを実行する権限だけを取り消します。
RESTORE を指定した場合、システムは HUT コマンドの ROLLBACK、
ROLLFORWARD、および DELETE JOURNAL を実行する権限も取り消します。
取り消すことができるのは、トリガーに対する権限ではなく、トリガーを含む
データベースまたはトリガーの対象となる表に対する権限です。
role_privilege
以下の権限のうちの 1 つです。
• CREATE ROLE
• DROP ROLE
• ROLE
ROLE 自体は単独の特権ではありません。 CREATE ROLE と DROP ROLE の
両方を指定する便利な方法です。
ロール権限は、ユーザーのセットまたはロールからだけ取り消すことができま
す。オブジェクトから取り消すことはできません。
ROLE 権限を使用して、 CREATE ROLE および DROP ROLE 権限を取り消し
ます。
profile_privilege
以下の権限のうちの 1 つです。
• CREATE PROFILE
• DROP PROFILE
• PROFILE
PROFILE は単独の権限ではありません。 CREATE PROFILE と DROP
PROFILE の両方を指定する便利な方法です。
プロファイル権限は、ユーザーのセットまたはロールからだけ取り消すことが
できます。オブジェクトから取り消すことはできません。
PROFILE 権限を使用して、 CREATE PROFILE および DROP PROFILE 権限を取
り消します。
SQL データ制御言語
113
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
構文要素
指定内容
database_name | user_name |
role_name | PUBLIC
明示的に与えられた権限が取り消されるデータベース名、ユーザー名、または
ロール名を指定します。このデータベースまたはユーザーの領域に格納されて
いるすべてのオブジェクトが対象になります。
database_name.
object_name |
user_name.object_name
明示的に与えられた権限が取り消されるオブジェクト ( 表、ビュー、ストアド・
プロシージャ、結合索引、またはマクロ ) を直接所有しているデータベースまた
はユーザー名と、そのオブジェクト名を指定します。
権限セットを取り消す場合は、データベースまたはユーザー領域内のすべての
オブジェクトではなく、指定されたオブジェクトだけが影響を受けます。
object_name
明示的に与えられた権限が取り消される表、ビュー、結合索引、ストアド・
プロシージャ、関数、またはマクロの名前を指定します。
システムはオブジェクト名を検証する前にデータベース名を検証するので、
権限を取り消す際には常にオブジェクト名を修飾する必要があります。
• オブジェクト名が修飾されておらず、同じ名前を持つデータベースがシステ
ムにより見つかった場合、 Teradata Database はそれがデータベース名であると
みなします。
• オブジェクト名が修飾されておらず、同じ名前を持つデータベースが見つか
らなかった場合、 Teradata Database はそれが現在のデフォルト・データベース
内のオブジェクトであるとみなします。
• 指定された名前を持つデータベースとオブジェクトのいずれも見つからな
かった場合、 Teradata Database はその要求をアボートして要求側にエラーを
返します。
PROCEDURE
[database_name |
user_name]
procedure_name
権限が取り消されるストアド・プロシージャの名前を指定します。
SPECIFIC FUNCTION
[database_name | user_name]
specific_function_name
権限が取り消される UDF の特定名を指定します。
必要に応じて、プロシージャ名は格納しているデータベース、またはユーザー
で修飾できます。
必要に応じて、特定の関数名を格納しているデータベース、またはユーザーで
修飾できます。
FUNCTION [database_name
| user_name]
function_name
権限が取り消される UDF の名前を指定します。
[parameter_name] data_type
UDF に渡す変数についての、括弧に入れたカンマ区切りのデータ・タイプと任
意指定のパラメータ名のリスト。これは、重複決定関数名を固有に識別するた
めに使用します。
必要に応じて、関数名は格納しているデータベース、またはユーザーで修飾で
きます。
BLOB および CLOB 型は、ロケーターで表わす必要があります ( ロケーターの説
明については、 <SQL データ操作言語 > を参照 )。 Teradata Database はメモリ内
LOB パラメータをサポートしていません。 LOB パラメータと戻り値ごとに、 AS
LOCATOR 句を指定する必要があります。
関数に渡すパラメータがない場合でも、開き括弧と閉じ括弧を指定する必要が
あります。
各パラメータに関連したデータ型は、パラメータまたは戻り値の型です。
すべての Teradata Database のデータ型は有効です。文字データについては、
CHARACTER SET 句も指定して、パラメータに使用するサーバー文字セッ
トを指定できます。
114
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
構文要素
指定内容
TYPE [SYSUDTLIB.]
UDT_name
権限セットを取り消す UDT の名前を指定します。
さまざまな TYPE 権限を以下の方法で取り消すことができます。
• UDTMETHOD は SYSUDTLIB データベースからのみ取り消すことができます。
• UDTTYPE は SYSUDTLIB データベースからのみ取り消すことができます。
• UDTUSAGE は、 SUSUDTLIB データベースまたは TYPE、あるいはその両方
から取り消すことができます。
TO
FROM
REVOKE 文のアクションを受け取る実体。これには、ユーザーのセット、すべ
てのユーザー、 1 つのロール、または PUBLIC を指定できます。
REVOKE 要求につき最大 25 個の名前を指定できます。
互換性のために、 ANSI/ISO SQL では TO ではなく FROM を指定する必要があり
ます。
ALL user_name
明示権限が取り消されるユーザーを指定します。最大 25 個のユーザー名を指定
することができます。
ALL user_name は、指定されたユーザーと、そのユーザーが現在および将来に所
有するユーザーに対して権限が付与される、または取り消されることを指定し
ます。
ALL user_name を指定しないと、取消しは階層構造全体をカスケードしません。
ALL user_name は、 ANSI/ISO SQL に対する Teradata の拡張機能です。
PUBLIC
明示権限が、 Teradata Database の現在および将来に定義されるすべてのユーザー
から取り消されることを指定します。
ALL DBC は、 PUBLIC と等価です。
database_name | user_name
role_name が含まれているデータベースまたはユーザーを指定します ( 現在の
データベースまたはユーザー以外の場合 )。
role_name
権限が取り消されるロールの名前を指定します。
最大 25 個のロール名を指定することができます。
ANSI への準拠
REVOKE は、拡張機能がある ANSI/ISO SQL:2011 に準拠しています。
必要な権限
権限を取り消すには、まずその権限を付与出来る権限を持っていなければなり
ません。データベース・オブジェクトを所有しているか、だれかからまず WITH
GRANT OPTION を使用して、直接的にまたはロールによって、権限を自動的ま
たは明示的に付与してもらうかのいずれかでなければなりません。
オブジェクトがビューまたはマクロの場合、実行するユーザーも、ビューまた
はマクロによって参照されるオブジェクトに対する適切な権限を WITH GRANT
OPTION とともに持っていなければなりません。
SQL データ制御言語
115
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
サポートされる権限
サポートされている権限のリストについては、「付録 B: 権限ディクショナリ」
(141 ページ ) を参照してください。
権限の略語
DBC.AccessRights 内で維持される権限とそれらの略語の完全なリストについては、
< データ・ディクショナリ > を参照してください。 REVOKE (SQL 形式 ) 要求では、
これらの略語を使用できません。完全な権限名を指定する必要があります。
権限キーワードのルール
REVOKE (SQL 形式 ) 文での有効な権限の使用には、以下のルールが適用されま
す ( 「REVOKE (SQL 形式 )」 (108 ページ ) を参照 )。
• 対応するデータベース・オブジェクトに適切な権限の任意の組合わせを指定で
きます。ただし、文を実行するユーザー自身は、すべての指定されたオブジェ
クトに対するそれらの権限を WITH GRANT OPTION 付きで暗黙的または明示的
に持っている必要があります。
• CHECKPOINT 権限は、 SQL 文とホスト・ユーティリティ (HUT) のアーカイブ /
リカバリー・コマンドの DUMP と RESTORE の両方の実行に適用されます。
DUMP および RESTORE 権限は、指定されたオブジェクトに対して実行される、
対応する HUT コマンドを参照します。
RESTORE は、以下の HUT コマンドの実行も参照します。
• ROLLBACK
•
ROLLFORWARD
•
DELETE JOURNAL
CHECKPOINT を指定した場合、システムは SQL 文の権限、およびアーカイブ /
リカバリー・ユーティリティ・コマンドの DUMP と RESTORE の両方の権限を
取り消します。
DUMP および RESTORE 権限は、指定されたオブジェクトに対して実行される、
対応する HUT コマンドを個別に参照します。
• CREATE DATABASE、 FUNCTION、 MACRO、 PROCEDURE、 TABLE、 VIEW ま
たは USER、および DROP DATABASE または USER は、データベースまたは
ユーザーに対してのみ許可されます。
• DROP TABLE には、 ALTER TABLE が含まれます。
• DROP MACRO、 DROP PROCEDURE、または DROP VIEW には、 REPLACE
MACRO、 REPLACE PROCEDURE、または REPLACE VIEW がそれぞれ含まれ
ます。
• DROP および EXECUTE のみが指定のストアド・プロシージャ、 UDF、または
マクロに対して許可されます。
オブジェクトが UDF またはストアド・プロシージャの場合は、必要に応じて、
その名前の先頭に FUNCTION または PROCEDURE を付加する必要があります。
116
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
これらのいずれかのキーワードを指定しない場合、システムは、指定されたオ
ブジェクト名はマクロを参照すると想定します。その名前を持つマクロが存在
しない場合は、文からエラーが返されます。
• ALTER FUNCTION、 CREATE FUNCTION、 DROP FUNCTION、 EXECUTE
FUNCTION、および FUNCTION のみが外部 UDF に対して許可されます。
• ALTER FUNCTION は、 SQL UDF に対しては無効な権限です。
• ALTER PROCEDURE、 DROP PROCEDURE、および EXECUTE PROCEDURE
のみがストアド・プロシージャに対して許可されます。
• DUMP、 RESTORE 、および CHECKPOINT は、ビューに対して許可されません。
• RESTORE を取り消す場合は、以下のユーティリティ・コマンドを実行する権限
も取り消されます。
• ROLLBACK
•
ROLLFORWARD
•
DELETE JOURNAL
• DATABASE、 FUNCTION、 JOIN INDEX、 MACRO、 PROCEDURE、 PROFILE、
ROLE、 TABLE、 VIEW、および USER は、それぞれの対応するデータベース・
オブジェクトに CREATE および DROP 権限の両方を与えます。
DATABASE、 FUNCTION、 GLOP、 JOIN INDEX、 MACRO、 PROCEDURE、
PROFILE、 ROLE、 TABLE、 USER、または VIEW キーワードが CREATE また
は DROP なしで指定された場合には、 CREATE および DROP が取り消されます。
• ANSI/ISO SQL:2011 は、以下の権限のみをサポートしています。
• DELETE
•
EXECUTE
•
INSERT
•
REFERENCES
•
SELECT
•
TRIGGER
•
UPDATE
その他の権限は、 ANSI/ISO SQL:2011 規格に対する拡張機能です。
• ほとんどの場合、権限のキーワードは、 Teradata SQL 文のキーワードと一致し
ます。ただし、以下の操作権限はどの SQL 文にも対応しません。
• DATABASE
SQL データ制御言語
•
DUMP
•
MACRO
•
PROCEDURE
•
RESTORE
•
TABLE
•
USER
•
VIEW
117
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
• INSERT、 REFERENCES、 SELECT、および UPDATE には、表および列レベルの
オプションがあります。
• CREATE ROLE、 DROP ROLE、 CREATE PROFILE、および DROP PROFILE 権限
は、ユーザーからのみ取り消すことができ、ロールやデータベースからは取り
消せません。
• CREATE ROLE、 DROP ROLE、 CREATE PROFILE、および DROP PROFILE はシ
ステム権限です。この権限はユーザーから取り消せますが、特定のオブジェク
トに対する権限は取り消せません。
• STATISTICS 権限は統計の収集と削除を可能にします。
権限が取り消された場合
REVOKE は、与えられたユーザーが次の要求を発行すると直ちに有効になります。
取り消しの権限レベル
DBC.AccessRights 内の行では、権限は、その権限が作成されたシステム領域の階層
構造内のレベルに対応します。その結果、有効な REVOKE 文を実行依頼しても、
取消しが正しい階層レベルで要求されなかったために、指定した権限が取り消され
ない可能性があります。
たとえば、オブジェクトに対する権限がデータベースまたはユーザー・レベルで与
えられた場合に、そのデータベースまたはユーザー領域内の特定の表に対するこれ
らの権限を取り消すために REVOKE 要求を実行依頼すると、この要求はメッセー
ジを返さずに完了しますが、指定されたデータベースまたはユーザーに関する表と
これらの権限を対応させる行がないので、 DBC.AccessRights から行は削除され
ません。その代わりに、表を含むユーザーまたはデータベースとこれらの権限を対
応させている行が DBC.AccessRights 内にあります。
以下の領域の階層構造について考えてみましょう。
payroll
human_resources
pay_db
table_a
table_b
table_c
hr_db
1101A092
ユーザー payroll がシステムにログオンし、 pay_db に対する SELECT 権限をユー
ザー human_resources とそのすべての子孫に与えるとします。
118
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
BTEQ LOGON コマンドおよび GRANT 要求は以下のようになります。
.LOGON tdpid/payroll,password
GRANT SELECT
ON pay_db
TO ALL human_resources;
Grant accepted.
その後ユーザー payroll はデータベース pay_db 内の table_c に対する SELECT 権限を
human_resources およびその子孫から取り消すことにしたとします。この権限を取
り消すために、ユーザー payroll は次の REVOKE 要求の実行を依頼します。
REVOKE SELECT
ON table_c
FROM ALL human_resources;
Revoke accepted.
Payroll は、 table_c に対する SELECT 権限が human_resources とその子孫から取り消
されたと認識しているが、 table_c に対する SELECT 権限を human_resources に与え
ている行が DBC.AccessRights 内にないので、取り消されていません。 pay_db データ
ベース全体に対する SELECT 権限を human_resources に与える行が DBC.AccessRights
内に残っているので、元々与えられていた SELECT 権限として有効です。
権限取り消しのルール
• 暗黙権限は所有権によって管理されているため、取り消すことができません。
所有権を変更するための GIVE 文を使用することにより、暗黙権限に影響を与
えることができます ( 詳細については、「GIVE」 (16 ページ ) を参照 )。
• その権限および WITH GRANT OPTION を暗黙的または明示的に持つユーザー
は、任意の組合わせで権限を取り消すことができます。
• システムは、ユーザーによって以前に与えられた権限を、そのユーザーがシス
テムから削除された後で自動的に取り消すことはありません。
• すべての user_name オプションを指定しない限り、取り消された権限は階層で
カスケード表示されません。
逆に、すべてのユーザーまたはデータベースに与えられた権限が user_name か
ら取り消された場合には、 user_name によって所有される将来のユーザーおよび
データベースに自動的に権限が与えられることはありません。
• オブジェクトがビュー、ストアド・プロシージャ、またはマクロである場合には、
要求するユーザーは、 WITH GRANT OPTION と、そのビュー、ストアド・プロ
シージャ、またはマクロによって参照されるオブジェクトに対する他のすべての
適用可能な権限も持っていなければなりません。
• REVOKE 文がデータベース ( またはユーザー ) ・レベルで与えられた明示権限を
取り消す場合、その権限は、オブジェクトがいつ作成されたかにかかわらず、
すべてのオブジェクトに対して取り消されます。
オブジェクト・レベルの REVOKE 文は、データベースまたはユーザー・レベル
で与えられたオブジェクトの権限を取り消すことはできません ( 「取り消しの権
限レベル」 (118 ページ ) を参照してください )。
SQL データ制御言語
119
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
• 1 人のユーザーが、 1 人または複数の付与者から同じ権限を受け取った場合に
は、必要な権限を持つ任意のユーザーが、その権限をユーザーおよび他の受領
者から取り消すことができます。つまり、別のユーザーから権限を取り消す
ユーザーが、その権限の付与者である必要はありません。
• 権限が PUBLIC に与えられた場合は、権限を取り消せるのは PUBLIC からに限
られ、個々のユーザーからは取り消せません。
• 列レベルの権限の取消しは、 DBC.AccessRights に、権限が取り消される列に対
する行がある場合にのみ可能です。これは、ユーザーが表レベルで INSERT、
REFERENCES、 SELECT、または UPDATE 権限を持っている場合に、個々の列
から権限を取り消すことはできないことを意味します。
グローバル一時表および揮発表の権限の取消し
REVOKE は、常にグローバル一時表の実表に適用され、実体化されたインスタンス
には適用されません。永久表の場合と同様に、ユーザーは REVOKE 文を実行依頼
する前に、前提条件となる適切な権限を持っていなければなりません。
権限のチェックが行なわれないため、揮発表の権限を取り消すことはできません。
ストアド・プロシージャに対する権限の取消し
次のルールがストアド・プロシージャ固有の権限に適用されます。
• CREATE PROCEDURE は、データベース ( またはユーザー ) ・レベルだけの権限
です。
• ALTER PROCEDURE、 DROP PROCEDURE、および EXECUTE PROCEDURE は、
データベース、ユーザー、または指定のストアド・プロシージャに適用されます。
• DROP および EXECUTE は、 PROCEDURE の procedure_name が指定されていれ
ば、権限の取消し時に DROP PROCEDURE および EXECUTE PROCEDURE の短
縮形として使用できます。
• PROCEDURE が object_name の前に指定されていない場合には、以下のことが起
きます。
要求
結果
REVOKE EXECUTE
オブジェクトはマクロと想定される。該当する名前のマク
ロが存在しない場合は、エラーまたは失敗が返されます。
REVOKE DROP
エラーまたは失敗が返される。
UDT に関連する権限の取り消し
UDT に関連する権限の情報については、以下のトピックを参照してください。
• 「UDT に関連する権限」 (60 ページ )
• 「ALL PRIVILEGES と UDT」 (61 ページ )
• 「UDTUSAGE 権限」 (61 ページ )
120
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
• 「UDTTYPE 権限」 (62 ページ )
• 「UDTMETHOD 権限」 (62 ページ )
UDT に関連する権限の取り消しの例については、「例 7: UDT に関連する権限の取
消し」 (124 ページ ) を参照してください。
ロールからの権限の取り消し
ロールから権限を取り消しても、必ずしもそのロールのメンバーすべてから権限が
取り消されるとは限りません。同じ権限が個別に与えられたり別のロールを介して
与えられたメンバーは、明示的に取り消さない限りこの権限を維持します。
CTCONTROL 権限の取り消し
CTCONTROL 権限に対する REVOKE 要求で、 GRANT OPTION FOR オプションを
指定すると、指定により削除されるのは、受領者が他の受領者に権限を付与する能
力のみです。 GRANT OPTION FOR を指定しても、 CTCONTROL 権限自体は取り消
されません。その代わりに、 GRANT OPTION FOR を指定しないユーザーに対して、
REVOKE 要求を発行する必要があります。
GRANT/REVOKE の順序および権限の期間
GRANT ALL ON object TO PUBLIC 文が、 DBC よりも低い階層の任意のユーザーに
よってオブジェクトに対して実行された場合は、 GRANT 要求が実行された後に作
成されたユーザーも含めて、すべてのユーザーが、そのオブジェクトに対する権
限を継承します。
その後、ユーザー DBC が REVOKE ALL ON object_name FROM DBC を発行した場
合、 REVOKE 要求の後に作成されたユーザーには、そのオブジェクトに対する権限
が与えられません。ただし、以前に作成されたすべてのユーザーは、 REVOKE ALL
ON object_name FROM PUBLIC が発行されるまで権限を保持します。
例:
.LOGON dbc.password
CREATE USER sys_admin AS
PERM=900000 PASSWORD=sys_admin;
GRANT ALL
ON sys_admin
TO sys_admin
WITH GRANT OPTION;
.LOGON sys_admin,sys_admin
CREATE USER dept AS
PERM=500000 PASSWORD=dept;
GRANT ALL
ON dept
TO dept
WITH GRANT OPTION;
SQL データ制御言語
121
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
.LOGON DEPT,DEPT
CREATE USER user_1 AS
PERM=100000 PASSWORD=user_1;
.LOGON USER1,USER1
CREATE TABLE table_1 (
column_1 INTEGER,
column_2 INTEGER)
PRIMARY INDEX(column_1);
INSERT table_1(1,2);
INSERT table_1(3,4);
GRANT ALL ON table_1
TO ALL DBC;
.LOGON dept,dept
CREATE USER user_2 AS
PERM=100000 PASSWORD=user_2;
.LOGON user_2,user_2
SELECT *
FROM user_1.table_1;
table_1 の行が、予想どおりに返されます。
.LOGON dbc,password
REVOKE ALL ON user_1.table_1
FROM dbc;
.LOGON dept,dept
CREATE USER user_3 AS
PERM=100000 PASSWORD=user_3;
.LOGON user_3,user_3
SELECT *
FROM user_1.table_1;
user_3 は REVOKE が発行された後に作成されたため、エラーが返されます。
.LOGON user_2,user_2
SELECT *
FROM user_1.table_1;
table_1 の内容が、予想どおりに返されます。
122
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
例1
以下の要求を使用して、 employee 表に対する INSERT 権限を UserA から取り消すこ
とができます。
REVOKE INSERT
ON personnel.employee
FROM UserA;
例2
次の要求では、表権限ではなくデータベース権限を必要とする、 personnel データ
ベース内のすべてのオブジェクトに対するすべてのアクセス権を UserA から取り消
します。
REVOKE ALL PRIVILEGES
ON personnel
FROM UserA;
例3
次の要求では、 UserA から表権限および Department 表の SELECT 権限を除く他の権
限を取り消します。
REVOKE ALL BUT SELECT
ON Personnel.Department
FROM UserA;
この文は UserA が personnel に対して持っていた可能性があるデータベース・レベル
の権限または表レベルの権限を取り消さないため、 UserA は personnel.department へ
の INSERT などの他の文を実行する能力を持っている可能性があります。
例4
次の要求では、 UserA から personnel データベース内の各オブジェクトに対する
SELECT 権限およびすべての表レベル権限を除く他の権限を取り消します。
REVOKE ALL BUT SELECT
ON personnel
FROM UserA;
例 5: ストアド・プロシージャ
database_name 内にあるストアド・プロシージャ stored_procedure_name に対する
user_2 の EXECUTE PROCEDURE 権限を取り消す必要があります。指定されたデー
タベース・オブジェクトがすべて存在しており、付与者がデータベースとストア
ド・プロシージャの両方を所有していると想定します。
指定した権限を取り消すには、以下の REVOKE 要求を実行依頼します。
REVOKE EXECUTE
ON PROCEDURE database_name.stored_procedure_name
FROM user_2;
REVOKE EXECUTE PROCEDURE
ON database_name.stored_procedure_name
SQL データ制御言語
123
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
FROM user_2;
REVOKE EXECUTE PROCEDURE
ON PROCEDURE database_name.stored_procedure_name
FROM user_2;
database_name という名前のデータベースに対する CREATE PROCEDURE、 DROP
PROCEDURE、および EXECUTE PROCEDURE 権限を同時に user_2 から取り消す
には、以下の要求を実行依頼します。
REVOKE CREATE PROCEDURE, DROP PROCEDURE, EXECUTE PROCEDURE
ON database_name
FROM user_2;
データベース database_name 内のストアド・プロシージャ stored_procedure_name に
対する ALTER PROCEDURE、 EXECUTE および DROP 権限を同時に user_2 から取
り消すには、次の要求のいずれかを実行できます。
REVOKE ALTER PROCEDURE, EXECUTE, DROP
ON PROCEDURE database_name.stored_procedure_name
FROM user2;
REVOKE ALL
ON PROCEDURE database_name.stored_procedure_name
FROM user2;
REVOKE 要求に CREATE または DROP を指定しないで PROCEDURE を指定した場
合、 Teradata Database はデータベース database_name に対する CREATE PROCEDURE
および DROP PROCEDURE 権限の両方を削除します。
たとえば、以下の要求は database_name に対する CREATE および DROP PROCEDURE
権限の両方を user_2 から削除します。
REVOKE PROCEDURE
ON database_name
FROM user_2;
例6
この要求は、 personnel データベースを変更する権限を finance ロールから取り消し
ます。
REVOKE UPDATE, DELETE, INSERT
ON personnel
FROM finance;
例 7: UDT に関連する権限の取消し
以下の例は、 UDT に関連する権限を取り消す方法の代表的な例を示しています。
REVOKE UDTUSAGE
ON SYSUDTLIB
FROM tester1;
REVOKE UDTMETHOD
ON SYSUDTLIB
FROM User_DBA;
124
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE (SQL 形式 )
REVOKE UDTMETHOD
ON SYSUDTLIB
FROM Developer_Role;
例 8: CTCONTROL 権限の取り消し
次の例では、ユーザー kate から、 Teradata Database ユーザーに CONNECT
THROUGH 権限を付与する権限を取り消します。
REVOKE CTCONTROL FROM kate;
この要求では、 kate から CTCONTROL 権限を取り消していることに注意してくだ
さい。他のユーザーに CTCONTROL を付与する能力だけではありません。その場
合は、次に示す、一見よく似た要求になります。
REVOKE GRANT OPTION FOR CTCONTROL FROM kate;
この重要な違いについて、詳細は「CTCONTROL 権限の取り消し」 (121 ページ ) を
参照してください。
詳細情報
権限の付与については、「GRANT (SQL 形式 )」 (26 ページ ) を参照してください。
SQL データ制御言語
125
第 2 章 : 文の構文規則
REVOKE CONNECT THROUGH
REVOKE CONNECT THROUGH
目的
既存のプロキシの CONNECT THROUGH 権限を、永久ユーザーまたはアプリケー
ション・ユーザーから取り消します。
構文
trusted_user_name
REVOKE CONNECT THROUGH
WITH TRUST_ONLY
,
A
A
TO
FROM
25
application_user_name
,
PERMANENT
,
25
permanent_user_name
WITH ROLE
15
;
role_name
1101B542
説明
構文要素
指定内容
trusted_user_name
CONNECT THROUGH 権限を取り消すプロキシ・ユーザーの、
信頼済みユーザーの名前。
WITH TRUST_ONLY
TrustOnly フラグが有効化されている trusted_user_name。
このオプションは、信頼済みユーザーに対して実行される場合に
のみ有効です。
WITH TRUST_ONLY オプションを指定したときには、アプリ
ケーション・ユーザー、永久ユーザー、またはロールのオプション
は指定できません。
信頼済みユーザーは、信頼済みの要求からプロキシ・ユーザーを
設定または更新する SET QUERY_BAND 要求を実行する必要があ
ります。
application_user_name
trusted_user_name を介して付与されたプロキシ・ログオン権限が
取り消されるアプリケーション・ユーザーの名前。
WITH ROLE 句を指定しない場合、要求は指定されたアプリケー
ション・ユーザーに対する CONNECT 権限を取り消します。
1 つの取消し要求につき、最大 25 個の名前を指定できます。
trusted_user_name で WITH TRUST_ONLY オプションが設定され
ている場合、このオプションは無効です。
126
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE CONNECT THROUGH
構文要素
指定内容
permanent_user_name
trusted_user_name を介して付与されたプロキシ・ログオン権限が
取り消される永久ユーザーの名前。
WITH ROLE 句を指定しない場合、要求は信頼済みユーザーを基
にした各永久ユーザーに対する CONNECT 権限を取り消します。
1 つの取消し要求につき、最大 25 個の名前を指定できます。
trusted_user_name で WITH TRUST_ONLY オプションが設定され
ている場合、このオプションは無効です。
role_name
ロール名のリストは、 trusted_user_name に付与された CONNECT
THROUGH 権限から削除されます。
永久ユーザまたはアプリケーション・ユーザーに対する
CONNECT THROUGH 権限を付与されたロールをすべて削除する
ように指定した場合、システムは、指定された永久ユーザまたは
アプリケーション・ユーザーに対する権限全体を取り消します。
同様に、 WITH ROLE 句を指定しない場合、システムは、指定さ
れた永久ユーザまたはアプリケーション・ユーザーに対する権限
全体を取り消します。
権限が取り消されるユーザーがアプリケーション・プロキシ・
ユーザーで、これが権限付与の最後のロールの場合も、システム
はプロキシ・ユーザーに対する CONNECT 権限を取り消します。
trusted_user_name で WITH TRUST_ONLY オプションが設定され
ている場合、このオプションは無効です。
ANSI への準拠
REVOKE CONNECT は、 ANSI/ISO SQL:2011 規格の Teradata 拡張機能です。
必要な権限
REVOKE CONNECT 要求を実行するためには、 CTCONTROL 権限 ( 「CTCONTROL
権限」 (53 ページ ) を参照 ) を持っている必要があります。
要求が WITH ROLE 句を指定する場合は、その句で指定された各ロールに対して、
WITH ADMIN OPTION 権限も持っている必要があります。
アクティブなプロキシ接続を介したロールの持続性
CONNECT THROUGH 権限の定義を変更すると、すぐに効果が現れるため、プロキ
シ接続で発行された次の要求は、 CONNECT THROUGH 権限の変更を受けて、新し
い定義を使用します。
ロールを削除すると、そのロールは CONNECT THROUGH 権限の定義からも削除
されるため、存在しないロールに定義したルールだけが残されることがあります。
CONNECT THROUGH 権限定義に割り当てられたすべてのロールを削除すると、
Teradata Database は影響を受けるプロキシ・ユーザーに PUBLIC 権限のみを付与し
ます。
SQL データ制御言語
127
第 2 章 : 文の構文規則
REVOKE CONNECT THROUGH
CONNECT THROUGH とパラメータ・マーカー
パラメータ・マーカーは、 REVOKE CONNECT 要求ではサポートされません。
CONNECT THROUGH メタデータのディクショナリ・ストレージ
ディクショナリ表 DBC.ConnectRulesTbl は、プロキシ・ユーザーがプロキシ接続を
行なうために使用可能な、信頼済みユーザーとロールについての情報を格納しま
す。 DBC.ConnectRulesTbl には、定義済みの trusted_user_name:proxy_user_name
の各組み合わせごとに 1 行を格納します。
ルールの管理に監査証跡を提供するために、権限が無効にされても、システムは
DBC.ConnectRulesTbl 内の行を保持します。
権限が付与される場合、各権限の DBC.ConnectRulesTbl.GrantStatus 列には G が格納
されます。権限が取り消される場合は R が格納されます。
信頼済みユーザーから WITH TRUST_ONLY を取り消すと、 Teradata Database は
DBC.ConnectRulesTbl 内の TrustUserId=specified_TrustUserID の行をすべて更新して、
TrustOnly=N に設定します。
DBC.ConnectRulesTbl について、詳細は「CONNECT THROUGH メタデータのディ
クショナリ・ストレージ」 (90 ページ ) および < データ・ディクショナリ > を参照
してください。
例
次の REVOKE CONNECT 要求は、信頼済みユーザー pls を介してロール admin とと
もに永久ユーザー sbd に付与された CONNECT THROUGH 権限を取り消します。
REVOKE CONNECT THROUGH pls FROM PERMANENT sbd WITH ROLE admin;
詳細情報
128
詳細情報
参照先
プロキシ接続の付与
「GRANT CONNECT THROUGH」
(80 ページ )
プロキシ接続を有効にするクエリー・
バンドの設定
<SQL データ定義言語－構文規則およ
び例 > の「SET QUERY_BAND」
信頼済みセッションの管理
データベースの管理
信頼済みセッションに関連するセキュリ
ティ問題
セキュリティ管理ガイド
信頼済みセッションのディクショナリ属性
データ・ディクショナリ
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE LOGON
REVOKE LOGON
目的
次のどれかを実行します。
• 1 つ以上の特定のクライアント・システムから Teradata Database へのログオンの
許可を取り消します。
• 現在のシステム・ログオンのデフォルトを変更します。
構文
,
REVOKE LOGON
ON
host_id
AS DEFAULT
,
ALL
TO
;
user_name
FROM
1101B036
説明
構文要素
指定内容
host_id
ハードウェア構成データによってシステムに現在定義されているメ
インフレーム接続またはワークステーション接続を識別する整数を指
定します。実際にこのホストが稼働中である必要はありません。
Teradata Database のコンソールの値は、 0 ( ゼロ ) です。
その他のコネクタについては、 host_id の値が 1 ～ 32,767 になります。
詳細は、 < サポート・ユーティリティ > の「Configuration ユーティリ
ティ」を参照してください。
ALL
Teradata Database のコンソールも含め、ログインを試みるすべてのソー
スを指定します。
AS DEFAULT
指定した host_id の現在のデフォルトが、この REVOKE LOGON 要求で
定義されたとおりに、残余条件なしに変更されることを指定します。
AS DEFAULT 付きの要求は、特定のユーザー名に対して付与した、
または取り消したアクセス権には効力がありません。特定の host_id
にデフォルトを設定する要求は、すべてのクライアント・システム
にデフォルトを設定する要求よりも優先されます。
TO
FROM
SQL データ制御言語
指定した host_id( 複数可 ) に対する、指定した database_name_list ( 複数
可 ) または user_name set( 複数可 ) の現行のデフォルトをオーバーライ
ドするために使用するキーワードです。
129
第 2 章 : 文の構文規則
REVOKE LOGON
構文要素
指定内容
user_name
ログオンから削除する 1 つ以上のユーザー名。
DBC という名前を、 REVOKE LOGON 要求の user_name として指定す
ることはできません。ユーザーの名前に DBC を指定する要求は、すべ
てアボートされ、要求側にエラー・メッセージが返されます。
host_id の数と database_name および user_name の数の積が、 25 を超え
てはなりません。
ANSI への準拠
REVOKE LOGON は、 ANSI/ISO SQL:2011 規格の拡張機能です。
必要な権限
REVOKE LOGON を実行するには、 DBC.LogonRule マクロに対する EXECUTE 権限
が必要です。
文に定義された database_name または user_name が、要求しているユーザーに所有
されているユーザーに適用されるかどうかの検証は行なわれません。
文に無効なユーザー名または無効なホスト ID が指定されていたためにシステムで
その文を検証できなかった場合は、エラーが返されます。
デフォルトのログオン許可
Teradata Database が複数のクライアント・システムに接続されている場合、最初の
デフォルトは、ログオンの許可がすべてのホスト ID からのすべてのユーザーに与
えられ、すべてのログオンにパスワードが含まれていなければならないようになっ
ています。
• GRANT LOGON および REVOKE LOGON 文は、どのユーザーが、どのクライ
アント・システム接続からアクセスするかを制御します。
• REVOKE LOGON 文は、これからログオン試行することを禁止するだけであり、
現在ログオンしているユーザーには影響ありません。
ログオン制御レコードと REVOKE LOGON 要求
1 つ以上のユーザー名に対して REVOKE LOGON 要求を実行すると、 Teradata
Database は指定された user_name/host_ID のペアごとにログオン制御レコードを
作成します。
特定の対の制御レコードが既に存在していれば、既存のものと置き換えられます。
特定のユーザー名に関して作成されたログオン制御レコード・セットは、そのユー
ザーが削除されるまで存続します (<SQL データ定義言語－構文規則および例 > の
「DROP USER」を参照 )。
130
SQL データ制御言語
第 2 章 : 文の構文規則
REVOKE LOGON
ユーザー DBC に対するログオンの取り消し
ユーザー DBC のログオン権限を取り消そうとすると、その要求は必ずアボートさ
れ、エラーが返されます。システムに、ユーザー DBC としてログオンし、正しい
パスワードを送信すると、そのログオンは、現在のデフォルトに関係なく適切なホ
スト ID に受け入れられます。これによって、ユーザー DBC がすべてのクライアン
トからロックアウトされることがなくなります。
AS DEFAULT オプション
AS DEFAULT オプションを含む要求は、特定のユーザーに与えられた、またはユー
ザーから取り消されたログオン・アクセスには影響を与えません。
AS DEFAULT オプションには、次の規則が適用されます。
ユーザーが指定された文のタイプ
権限
REVOKE LOGON
該当するクライアントがデフォルトの GRANT を
持っているとしても、そのクライアントにアクセ
スできません。
GRANT LOGON
該当するクライアントがデフォルトの REVOKE を
持っているとしても、必ずそのクライアントにア
クセスできます。
この 2 つの要求は同じ意味にならないことに注意してください。
REVOKE LOGON ON ALL AS DEFAULT;
REVOKE LOGON ON ALL FROM "DEFAULT";
最初の要求では、ログオンが試行されるあらゆるソース (Teradata Database コンソー
ルを含む ) に対するログオン権限を、残余条件なしに取り消します。この要求の文
字列 AS DEFAULT はキーワード句であり、ユーザーを識別しません。
2 番目の要求の場合、 Teradata Database は「DEFAULT」をキーワードではなく、
ユーザーを識別する文字列リテラルとして扱います。そのため、この要求によっ
て、 DEFAULT という名前が付けられたユーザーのすべてのログオン・ソースに対
するログオン権限が取り消されることになります。 DEFAULT はダミーのユーザー
名であり、このユーザー名で Teradata Database にログオンすることはできません。
2 番目の要求は構文的には有効ですが、実行内容は無意味です。
詳細情報
ログオン権限の付与について、詳細は「GRANT LOGON」 (94 ページ ) を参照して
ください。
SQL データ制御言語
131
第 2 章 : 文の構文規則
REVOKE LOGON
132
SQL データ制御言語
付録 A:
表記法
この付録では、このマニュアルで使用している表記上の規則について説明します。
構文図の規則
表記法
項目
定義 / 注釈
文字
アルファベットの A から Z までの大文字または小文字。
数値
0 から 9 までの数字。
3 桁より大きい数値を入力する場合でも、コンマは使用しないでください。
語
キーワードおよび変数。
• 大文字 (UPPERCASE LETTERS) は、キーワードを表わします。
構文図では、オペレーティング・システムの制限によって小文字でな
ければならない場合を除いて、 SQL 文のキーワードはすべて大文字で
表示されます。
• 小文字 (lowercase letters) は、 Linux コマンドなどのように、小文字で入
力する必要があるキーワードを表わします。
• 大文字と小文字の混合を使用して、大文字、小文字、または混合で入
力可能な関数、メソッド、およびその他の非 SQL キーワードを表わす
ことができます。
• 斜体の小文字 (lowercase italic letters) は、列名や表名などの変数を表わ
します。
変数は、適正な値に置き換えてください。
• 太字の小文字 (lowercase bold letters) は、構文図からの抜粋を表わしま
す。抜粋は、その抜粋部分を含む構文図のすぐ下で定義されています。
• 下線付きの文字 (UNDERLINED LETTERS) は、デフォルト値を表わ
します。
下線は、大文字の語と小文字の語のどちらにも適用されます。
SQL データ制御言語
スペース
キーワード間や変数間など、項目と項目の間にスペースを 1 つ入れます。
句読点
構文図に表示されているように、すべての句読点を正確に入力する必要が
あります。
133
付録 A: 表記法
構文図の規則
線
構文図中の主線は、左端のキーワードから始まり、左から右に、構文図の終わりを
示す縦線まで進みます。矢印または縦線のない線は、構文の一部だけを示したもの
です。
ループは、線の中で唯一右から左に読み取る部分です。
継続リンク
1 行だけでは示しきれない線には、継続リンクを使用します。継続リンクは、
リンクの開始と終了を示す文字を円で囲んだものです。
A
A
FE0CA002
円で囲まれた文字が構文図の中にある場合は、それに対応する円で囲まれた文字の
ある箇所に移動して読み進めてください。
必須項目
必須項目は、主線上に表示します。
SHOW
FE0CA003
複数の項目から選択する場合、選択項目は縦に並んで記載されます。最初の項目
が、主線上に表示されます。
SHOW
CONTROLS
VERSIONS
FE0CA005
任意選択項目
任意選択項目は、含めることも無視することもできます。任意選択項目は、主線よ
り下に表示します。
SHOW
CONTROLS
134
FE0CA004
SQL データ制御言語
付録 A: 表記法
構文図の規則
複数の項目からの任意選択が可能な場合は、すべての選択肢を主線より下に表示し
ます。
READ
SHARE
ACCESS
JC01A010
コマンドや文には、任意選択項目のいずれかをデフォルト値として扱うものがあり
ます。この値には、下線 (UNDERLINED) が付けられています。任意選択項目をい
ずれも選択しないで、これらのコマンドや文を入力すると、デフォルト値が選択さ
れたことになります。
文字列
単一引用符で囲んで表示する文字列リテラル
'msgtext '
JC01A004
略語
キーワードまたは予約語に有効な略語がある場合、主線内には常に省略しない完全
形が示されます。有効な略語のうち最も短いものが主線の下側に示されます。
SHOW
CONTROLS
CONTROL
FE0CA042
上記の構文では、次の 2 つの形式が有効です。
• SHOW CONTROLS
• SHOW CONTROL
SQL データ制御言語
135
付録 A: 表記法
構文図の規則
ループ
ループは、複数回繰り返すことのできる項目 ( または項目のグループ ) のことです。
構文図では、主線の上を通り、繰り返すことのできる項目の手前に戻る線によって
ループを示します。
,
,
(
3
4
cname
)
JC01B012
ループは、右から左に読み進めてください。
次のような表記規則が、ループに適用されます。
状況
表記規則
ループの最大数が制限
されている
ループの制限回数が戻り線上の円内に示されます。
必要なループの最小数
が制限されている
入力項と入力項の間に
区切り文字が必要
上記の例では、 cname を最大 4 回入力できます。
ループの制限回数が戻り線上の四角内に示されます。
上記の例では、少なくとも 3 つのグループの列名を入力する必
要があります。
区切り文字が戻り線上に表示されます。
構文図に区切り文字が示されていない場合は、半角スペースを
1 つ入れてください。
上記の例では、コンマが区切り文字です。
入力項の前後に区切り
文字が必要
開始文字と終了文字はリターン・パスの外側に表示されます。
通常、区切り文字と入力項の間にスペースは必要ありません。
上記の例では、左括弧と右括弧が区切り文字です。
136
SQL データ制御言語
付録 A: 表記法
構文図の規則
抜粋
構文句の一部が大きすぎて、構文図に入りきらないことがあります。そのような句
は、その部分で線を中断し、その前後に区切り記号 (|) を付けます。区切り記号の
間には、抜粋した部分の名前が太字で表示されます。
抜粋名 ( 太字 ) と抜粋した句は、主構文図のすぐ下に表示します。抜粋した句の開
始と終了は、通常の水平線で表わします。
LOCKING
excerpt
A
A
HAVING
con
excerpt
where_cond
,
cname
,
col_pos
JC01A014
正当な句が複数ある場合
複数の句が正当となるケースも、構文図で示すことが出来ます。
dbname
DATABASE
tname
TABLE
vname
VIEW
JC01A016
この例では、以下のいずれの句も正当になります。
• dbname
• DATABASE dbname
• tname
• TABLE tname
• vname
• VIEW vname
SQL データ制御言語
137
付録 A: 表記法
このマニュアルで使用している文字簡略表記
構文図の例
,
CREATE VIEW
viewname
AS
A
LOCKING
cname
CV
LOCK
ACCESS
dbname
A
DATABASE
tname
FOR
SHARE
IN
READ
TABLE
WRITE
EXCLUSIVE
vname
VIEW
EXCL
,
B
SEL
B
MODE
expr
,
FROM
qual_cond
tname
C
.aname
C
HAVING cond
;
qual_cond
,
WHERE cond
GROUP BY
cname
,
col_pos
JC01A018
図の識別子
各図の右下に示された英数字の文字列は、図を分類するために使用される内部識別
子です。説明文で、この文字列を参照することはありません。
このマニュアルで使用している文字簡略表記
序
このマニュアルでは、文字に対して Unicode の命名規則を使用します。例えば、英
小文字の 'a' をより正式に指定すると、「ラテン文字の英小文字 a」または「U+0041」
となります。「U+xxxx」の表記は、 Unicode 標準の特定のコード・ポイントを参照
するのであり、 xxxx は標準で定義されている 16 ビット値の 16 進数表現を表わ
します。
マニュアルの一部では、特殊文字、または特定の文字のクラスを表現するために記
号を使用すると便利です。これは特に、次の日本語文字のエンコーディングについ
て述べる場合に当てはまります。
• KanjiEBCDIC
• KanjiEUC
• KanjiShift-JIS
これらのエンコーディングは、 < 国際文字セット・サポート > で詳細に説明しています。
138
SQL データ制御言語
付録 A: 表記法
このマニュアルで使用している文字簡略表記
文字シンボル
記号は、使用される文字セットに従って、次の表のように定義されています。
記号
エンコーディング
意味
a–z
任意
任意の 1 バイトのラテン文字 ( ローマ字 ) または数字。
任意
任意の全角のラテン文字 ( ローマ字 ) または数字。
KanjiEBCDIC
シフトアウト [SO] (0x0E)。
A–Z
0–9
a–z
A–Z
0–9
<
KanjiEBCDIC のシングルバイト文字からマルチバイト
文字への移行を示します。
>
KanjiEBCDIC
シフトイン [SI] (0x0F)。
KanjiEBCDIC のマルチバイト文字からシングルバイト
文字への移行を示します。
T
任意
任意のマルチバイト文字。
エンコーディングは、現在の文字セットに依存します。
KanjiEUC の場合、コードセット 3 文字の前に「ss3」
が常に出現します。
I
任意
1 バイトの半角カタカナ文字。
KanjiEUC では、「ss2」が先に出現して、個別のマルチ
バイト文字を形式設定しなければなりません。

任意
グラフィックの空白を表わします。

任意
状況に応じて、 1 バイトまたはマルチバイトの埋め込
み文字を表わします。
ss 2
KanjiEUC
EUC コード・セット 2 と識別子 (0x8E) を表わします。
ss 3
KanjiEUC
EUC コード・セット 3 の接頭部 (0x8F) を表わします。
例えば、各文字を全角とする文字列「TEST」は、 TEST と表現します。エンコー
ディングが重要な場合には、 16 進数表現が使用されることもあります。
たとえば、次の、 KanjiEBCDIC 文字セットの 1 バイト文字 / マルチバイト文字が混
在したデータは、
LMN<TEST>QRS
次のように表現されます。
D3 D4 D5 0E 42E3 42C5 42E2 42E3 0F D8 D9 E2
SQL データ制御言語
139
付録 A: 表記法
このマニュアルで使用している文字簡略表記
埋込み文字
次の表に、各種文字データ・タイプのスペース文字をリストします。
サーバー文字セット
140
埋込み文字の名前
埋込み文字の値
LATIN
SPACE
0x20
UNICODE
SPACE
U+0020
GRAPHIC
IDEOGRAPHIC SPACE
U+3000
KANJISJIS
ASCII SPACE
0x20
KANJI1
ASCII SPACE
0x20
SQL データ制御言語
付録 B:
権限ディクショナリ
権限
権限表の各列の説明を以下に示します。
列
説明
権限
権限名。
システム・ビュー内の略語
システム・ビュー内で特定のオブジェクトに対する
権限を表現するために使用される 2 文字コード。
以下のビュー内の AccessRight 列にユーザーとロール
の権限が列挙されます。
• DBC.AllRightsV
• DBC.UserGrantedRightsV
• DBC.UserRightsV
• DBC.AllRoleRightsV
• DBC.UserRoleRightsV
自動付与 : 作成者
ユーザーまたはデータベースを作成すると、作成し
たデータベースまたはユーザーに対する権限が作成
者に自動的に付与されます。
自動付与 : 作成されたユーザーま
たはデータベース
ユーザーまたはデータベースを作成すると、その
ユーザーまたはデータベースはそれ自体に対する特
定の権限を自動的に付与されます。
明示的付与 : 作成者
ユーザーを作成しても、そのユーザーに対する特定
の権限が自動的に付与されません。
明示的付与 : 作成されたユーザー
またはデータベース
データベース権限の多くは自動的に付与されますが、
一部の権限はユーザーが明示的に付与しないかぎり
使用することができません。そのような権限を付与
するには、それらに対する WITH GRANT OPTION 権
限を持っている必要があります。
ユーザーを作成しても、そのユーザーはそれ自体に
対する特定の権限が自動的に付与されません。
グループ
SQL データ制御言語
権限の機能領域。
141
付録 B: 権限ディクショナリ
権限
下の表に、各権限に関する情報を示します。
自動付与
作成者
作成された
ユーザーま
たはデータ
ベース
AS
なし
ALTER
EXTERNAL
PROCEDURE
AE
ALTER FUNCTION
明示的付与
作成者
作成された
ユーザーま
たはデータ
ベース
権限カテゴリ
なし
あり
あり
モニター
なし
なし
あり
あり
AF
なし
なし
あり
あり
ALTER
PROCEDURE
AP
なし
なし
あり
あり
ANY
AN
あり
あり
なし
なし
CHECKPOINT
CP
あり
あり
なし
なし
なし
なし
あり
あり
信頼済みセッション
関連
システム・
ビュー内の
略語
ABORT SESSION
または
ABORTSESSION
権限
CONNECT
THROUGH
1 つ以上の権限が必
要ではあるものの、
特定の権限は必要な
い HELP 文または
SHOW 文を意味し
ます。
CONSTRAINT
ASSIGNMENT
SA
なし
なし
あり
あり
システム・レベル
CONSTRAINT
DEFINITION
SD
なし
なし
あり
あり
システム・レベル
CREATE
AUTHORIZATION
CA
あり
あり
なし
なし
CREATE
DATABASE
CD
あり
なし
なし
あり
CREATE
EXTERNAL
PROCEDURE
CE
なし
なし
あり
あり
CREATE
FUNCTION
CF
なし
なし
あり
あり
CREATE GLOP
GC
なし
なし
あり
あり
CREATE MACRO
CM
あり
あり
なし
なし
142
グローバル持続
(GLOP) データ
SQL データ制御言語
付録 B: 権限ディクショナリ
権限
自動付与
明示的付与
作成者
作成された
ユーザーま
たはデータ
ベース
作成者
作成された
ユーザーま
たはデータ
ベース
OP
なし
なし
あり
あり
CREATE
PROCEDURE
PC
なし
なし
あり
あり
CREATE PROFILE
CO
なし
なし
あり
あり
システム・レベル
CREATE ROLE
CR
なし
なし
あり
あり
システム・レベル
CREATE TABLE
CT
あり
あり
なし
なし
CREATE TRIGGER
CG
あり
あり
なし
なし
CREATE USER
CU
あり
なし
なし
あり
CREATE VIEW
CV
あり
あり
なし
なし
CTCONTROL
TH
なし
なし
あり
あり
DELETE
D
あり
あり
なし
なし
DROP
AUTHORIZATION
DA
あり
あり
なし
なし
DROP DATABASE
DD
あり
なし
なし
あり
DROP FUNCTION
DF
あり
あり
なし
なし
DROP GLOP
GD
なし
なし
あり
あり
DROP MACRO
DM
あり
あり
なし
なし
DROP
PROCEDURE
PD
あり
あり
なし
なし
DROP PROFILE
DO
なし
なし
あり
あり
システム・レベル
DROP ROLE
DR
なし
なし
あり
あり
システム・レベル
DROP TABLE
DT
あり
あり
なし
なし
DROP TRIGGER
DG
あり
あり
なし
なし
DROP USER
DU
あり
なし
なし
あり
DROP VIEW
DV
あり
あり
なし
なし
DUMP
DP
あり
あり
なし
なし
EXECUTE
E
あり
あり
なし
なし
システム・
ビュー内の
略語
CREATE OWNER
PROCEDURE
権限
SQL データ制御言語
権限カテゴリ
信頼済みセッション
関連
グローバル持続
(GLOP) データ
143
付録 B: 権限ディクショナリ
権限
自動付与
明示的付与
作成者
作成された
ユーザーま
たはデータ
ベース
作成者
作成された
ユーザーま
たはデータ
ベース
EF
なし
なし
あり
あり
EXECUTE
PROCEDURE
PE
なし
なし
あり
あり
GLOP MEMBER
GM
なし
なし
あり
あり
グローバル持続
(GLOP) データ
INDEX
IX
なし
なし
あり
あり
表レベル
INSERT
I
あり
あり
なし
なし
MONITOR
RESOURCE または
MONRESOURCE
MR
なし
なし
あり
あり
モニター
MONITOR
SESSION または
MONSESSION
MS
なし
なし
あり
あり
モニター
NONTEMPORAL
NT
なし
なし
あり
あり
テンポラル
OVERRIDE
DELETE
OD
なし
なし
あり
あり
セキュリティ制約上
書き
OVERRIDE DUMP
OA
なし
なし
あり
あり
セキュリティ制約上
書き
OVERRIDE
INSERT
OI
なし
なし
あり
あり
セキュリティ制約上
書き
OVERRIDE
RESTORE
OR
なし
なし
あり
あり
セキュリティ制約上
書き
OVERRIDE
SELECT
OS
なし
なし
あり
あり
セキュリティ制約上
書き
OVERRIDE
UPDATE
OU
なし
なし
あり
あり
セキュリティ制約上
書き
REFERENCES
RF
なし
なし
あり
あり
表レベル
RESTORE
RS
あり
あり
なし
なし
RETRIEVE/
SELECT
R
あり
あり
なし
なし
SET RESOURCE
RATE または
SETRESRATE
SR
なし
なし
あり
あり
システム・
ビュー内の
略語
EXECUTE
FUNCTION
権限
144
権限カテゴリ
モニター
SQL データ制御言語
付録 B: 権限ディクショナリ
単一のキーワードによる複数の権限
自動付与
作成者
作成された
ユーザーま
たはデータ
ベース
SS
なし
SHOW
SH
STATISTICS
明示的付与
作成者
作成された
ユーザーま
たはデータ
ベース
権限カテゴリ
なし
あり
あり
モニター
なし
なし
あり
あり
ST
あり
あり
なし
なし
表の作成者にも当て
はまる
UDT METHOD
または
UDTMETHOD
UM
なし
なし
あり
あり
UDT
UDT TYPE または
UDTTYPE
UT
なし
なし
あり
あり
UDT
UDT USAGE また
は UDTUSAGE
UU
なし
なし
あり
あり
UDT
UPDATE
U
あり
あり
なし
なし
システム・
ビュー内の
略語
SET SESSION
RATE または
SETSESSRATE
権限
単一のキーワードによる複数の権限
Teradata Database には、複数の権限を付与するために使用できる、特別なカテゴリ
のキーワードがあります。例えば、次の要求は、キーワード DATABASE を使用し
て、 user_name1 に対する CREATE DATABASE 権限と DROP DATABASE 権限の
両方を user_name2 に付与します。
GRANT DATABASE ON user_name1 TO user_name2;
以下のキーワード付与によって、受領者に対する複数の権限が DBC.AccessRights
表に入力されます。
キーワード
含まれる権限
ALL
ON 句で指定されたオブジェクトに対して、付与者が所有し、
付与者が WITH GRANT OPTION を持っている暗黙的オブジェ
クト権限と明示的オブジェクト権限のすべて。
CHECKPOINT
以下を実行するための権限 :
• CHECKPOINT SQL 文
• HUT CHECKPOINT コマンド
DATABASE
• CREATE DATABASE
• DROP DATABASE
SQL データ制御言語
145
付録 B: 権限ディクショナリ
単一のキーワードによる複数の権限
キーワード
含まれる権限
FUNCTION
• CREATE FUNCTION
• DROP FUNCTION
GLOP
• CREATE GLOP
• DROP GLOP
INDEX
• CREATE INDEX
• DROP INDEX
MACRO
• CREATE MACRO
• DROP MACRO
OVERRIDE
• OVERRIDE INSERT
• OVERRIDE SELECT
• OVERRIDE UPDATE
• OVERRIDE DELETE
• OVERRIDE DUMP
• OVERRIDE RESTORE
PROCEDURE
• CREATE PROCEDURE
• DROP PROCEDURE
PROFILE
• CREATE PROFILE
• DROP PROFILE
RESTORE
以下の HUT コマンドを実行するための権限 :
• DELETE JOURNAL
• ROLLBACK
• ROLLFORWARD
ROLE
• CREATE ROLE
• DROP ROLE
SHOW
HELP コマンドと SHOW コマンドの以下の形式のみ :
• HELP database_object
• SHOW database_object
TABLE
• CREATE TABLE
• DROP TABLE
TRIGGER
• CREATE TRIGGER
• DROP TRIGGER
USER
• CREATE USER
• DROP USER
VIEW
• CREATE VIEW
• DROP VIEW
146
SQL データ制御言語
付録 B: 権限ディクショナリ
必要な DBC 権限
必要な DBC 権限
DBC には、 DELETE、 UPDATE、 CREATE などの、システムでデータ・ディクショ
ナリを維持するための、特定のデータ・ディクショナリ・オブジェクトに対する権
限が必要です。デフォルトで、これらの権限はシステムのセットアップ・プロセス
で付与されます。
注意 :
DBC 権限は絶対に取り消さないでください。 DBC 権限を再度付与するには、
Teradata サポート・センターからの支援が必要です。
デフォルト PUBLIC 権限
デフォルトで、特定のデータ・ディクショナリ・オブジェクトに対するいくつかの
デフォルト権限が PUBLIC に付与され、有効なすべての Teradata Database ユーザー
に自動的に PUBLIC 権限が割り当てられます。 PUBLIC 権限はサイトのセキュリ
ティ・ポリシーに従って付与または取り消すことができますが、デフォルト権限の
リストを保持し、必要に応じて、それらを PUBLIC に再度付与できるようにしてお
く必要があります。
変更前であれば、次のようにシステムに問合わせてデフォルト PUBLIC 権限を表示
することができます。
SELECT DatabaseName, TableName, AccessRight FROM DBC.AllRights WHERE
UserName='PUBLIC' ORDER BY 2, 1;
デフォルト PUBLIC 権限の完全なリストについては、ナレッジ記事 SD1000E41D2
も参照してください。
ナレッジ記事は、次の URL にある Teradata @ Your Service で参照できます。
tays.teradata.com/
クライアント・アプリケーションに必要なデフォルト PUBLIC 権限
SQL データ制御言語
影響を受けるツールとユーティ
リティ
PUBLIC 権限
付与対象
SELECT
DBC.Databases
NetBackup™ Teradata Extension、
Teradata Statistics Wizard、および
Teradata Visual Explain(VEComp)
SELECT
DBC.DBCInfo
Archive/Recovery Utility (Teradata
ARC)、 Teradata System Emulation
Tool (Teradata SET)
SELECT
DBC.DBQLogTbl
Teradata Statistics Wizard
SELECT
DBC.Tables
NetBackup™ Teradata Extension、
Teradata SET
147
付録 B: 権限ディクショナリ
データベース管理に必要な権限
PUBLIC 権限
付与対象
影響を受けるツールとユーティ
リティ
INSERT、 SELECT、
DELETE、 UPDATE
SysAdmin.FastLoga
FastExport、 FastLoad、 MultiLoad
EXECUTE
SysAdmin.FastLogInsa
FastExport、 FastLoad、 MultiLoad
SELECT
SysAdmin.FastLogRestartVa
FastExport、 FastLoad、 MultiLoad
EXECUTE
SysAdmin.FastLogUpda
FastExport、 FastLoad、 MultiLoad
SELECT
SysAdmin.FastLogVa
FastExport、 FastLoad、 MultiLoad
a. FastLoad 情報が含まれた内部表を意味します。
データベース管理に必要な権限
以降のトピックでは、管理者が一般的なデータベース・オブジェクトとプロセスを
管理するために必要な権限について説明します。
注 : これは、権限のクイック・リファレンスです。権限の詳細については、以下の
資料で各 SQL 文に関する「必要な権限」のトピックを参照してください。
• SQL データ制御言語
• SQL データ定義言語－構文規則および例
データベース
148
目的
必要なユーザー権限
データベースを作成する
直接所有者データベースに対する CREATE DATABASE
権限
データベースを変更または削
除する
データベースに対する DROP DATABASE 権限
注 : データベースを削除するにはそれを空にする必要
があります。
SQL データ制御言語
付録 B: 権限ディクショナリ
データベース管理に必要な権限
地理空間データ型
目的
命令文
関連する関数、メタデータ表、
およびストアド・プロシー
ジャでの地理空間データ型の
使用を許可する
• GRANT ALL ON SYSSPATIAL TO SYSSPATIAL WITH
GRANT OPTION;
• GRANT SELECT ON DBC to SYSSPATIAL WITH
GRANT OPTION;
• GRANT EXECUTE PROCEDURE ON SYSSPATIAL
to DBC WITH GRANT OPTION;
• GRANT UDTMETHOD ON SYSUDTLIB to
SYSSPATIAL;
• GRANT UDTTYPE ON SYSUDTLIB to SYSSPATIAL;
• GRANT CREATE FUNCTION ON SYSUDTLIB to
SYSSPATIAL;
GeoSequence データ型の
使用を許可する
• GRANT UDTUSAGE ON SYSUDTLIB TO geouser;
• GRANT EXECUTE FUNCTION ON SYSSPATIAL TO
geouser;
• GRANT SELECT ON SYSPATIAL TO geouser;
• GRANT EXECUTE PROCEDURE ON SYSPATIAL TO
geouser;
GLOP
目的
必要なユーザー権限
GLOP セットを作成する
保存先のデータベースまたはユーザーに対する
CREATE GLOP 権限。
GLOP セットを削除する
GLOP_set_name が含まれるデータベースまたはユー
ザーに対する DROP GLOP 権限。
注 : DROP GLOP 権限は、 GLOP セットの作成者および
所有者に自動的に付与されます。
ユーザー / データベースが、
GLOP セットを参照している
外部ルーチンが含まれるデー
タベース以外のデータベース
からの GLOP セットへのアク
セスを指定できるようにする
SQL データ制御言語
GLOP MEMBER 権限。
GLOP が外部ルーチンと同じデータベース内に存在する
場合は、 GLOP へのアクセスが自動的に許可されます。
外部ルーチンが存在するデータベースには、 GLOP セッ
トに対する CREATE GLOP、 DROP GLOP、または
GLOP MEMBER のいずれかの権限を割り当てる必要が
あります。
149
付録 B: 権限ディクショナリ
データベース管理に必要な権限
ハッシュ索引と結合索引
目的
必要なユーザー権限
ハッシュ索引または結合
索引を作成する
ハッシュ索引または結合索引が作成されるデータベー
スに対する CREATE TABLE 権限
ハッシュ索引を削除する
索引付けされた実表またはそれを含むデータベースに
対する DROP TABLE または INDEX 権限
結合索引を削除する
カバーする表またはそれらを含むデータベースのそれ
ぞれに対する DROP TABLE 権限または INDEX 権限
目的
必要なユーザー権限
マクロを作成する
マクロが作成されるデータベースまたはユーザーに対
する CREATE MACRO 権限。
マクロ
作成者は、自動的に、 DROP MACRO 権限と EXECUTE
権限を WITH GRANT OPTION 付きで取得します。
マクロの直接所有者とは :
• それを作成したユーザーではなく、それが存在する
データベースである。
• マクロ作成者ではなく、マクロ・アクセス権限を決
定する。
• WITH GRANT OPTION を含めて、マクロの実行に適
切なすべての権限を持っている必要がある。
マクロを削除する
マクロに対する DROP MACRO 権限。
マクロの名前を変更する
マクロに対する DROP MACRO 権限。
加えて、マクロの名前を変更するユーザーは、マクロ
で実行されるすべての文に対する権限を持っている必
要があります。
マクロを実行する
マクロに対する EXECUTE 権限。
加えて、マクロの直接所有者 ( マクロが存在するデータ
ベース ) は、マクロに含まれている文の要求セットで指
定されたオブジェクトに対する必要な権限を持ってい
る必要があります。
150
SQL データ制御言語
付録 B: 権限ディクショナリ
データベース管理に必要な権限
目的
必要なユーザー権限
マクロを置換する
• マクロで実行されるすべての文に対する権限。
• 置換されるマクロがすでに存在するかどうかに応じ
て、以下の権限。
• マクロがすでに存在する場合は、そのマクロある
いはそれを含むデータベースまたはユーザーに対
する DROP MACRO 権限。
• マクロがまだ存在しない場合は、そのマクロある
いはそれを含むデータベースまたはユーザーに対
する CREATE MACRO 権限。
注 : マクロが置換された場合、その直接所有者は、そ
れを置換したユーザーではなく、それが存在するデー
タベースになります。直接所有するデータベースには、
WITH GRANT OPTION を含めて、マクロの実行に適切
なすべての権限を付与する必要があります。
マクロを削除する
指定されたマクロに対する DROP MACRO 権限。
目的
必要なユーザー権限
プロファイルを作成する
CREATE PROFILE 権限 ( システム・レベル )。
プロファイルを変更または削
除する
DROP PROFILE 権限 ( システム・レベル )。
プロファイル
プロキシ・ユーザーと信頼済みユーザー
目的
必要なユーザー権限
以下の目的で GRANT
CONNECT THROUGH
文を実行する
CTCONTROL 権限 ( システム・レベル )。
• 信頼済みユーザー ( アプリ
ケーション・ログオン・
ユーザー ) を定義する
• 関連するプロキシ・ユー
ザーとロールを特定する
• WITH TRUSRT ONLY オプ
ションを指定して、プロキ
シ・ユーザー・ロールの割
り当てを変更可能な SET
QUERY BAND 文の使用を
禁止する
SQL データ制御言語
151
付録 B: 権限ディクショナリ
データベース管理に必要な権限
目的
必要なユーザー権限
SET QUERY BAND 文を使用し
てプロキシ・ユーザー・ロー
ルを設定する
ユーザー、ロール、および信頼済みユーザー・アプリ
ケーションを指定する GRANT CONNECT THROUGH
権限。
ロールと外部ロール
目的
必要なユーザー権限
ロールまたは外部ロールを
作成する
CREATE ROLE 権限 ( システム・レベル )。
ロールまたは外部ロールを
削除する
以下の権限のうちの 1 つです。
• DROP ROLE 権限 ( システム・レベル )。
• ロール・メンバーシップ WITH ADMIN OPTION。
ロールに権限を付与するか、
ロール・メンバーシップを
付与する
WITH ADMIN OPTION が付与されたロール。
目的
必要なユーザー権限
CONSTRAINT オブジェクトを
作成、変更、または削除する
CONSTRAINT DEFINITION 権限 ( システム・レベル )。
• ユーザーとプロファイルに
対して制約を割り当てた
り、削除したりする
• 表、ビュー、および索引内
のセキュリティ制約表の
列を定義したり、削除した
りする
• セキュリティ制約
OVERRIDE を付与したり、
取り消したりする
CONSTRAINT ASSIGNMENT 権限 ( システム・レベル )。
SHOW CONSTRAINT 文を
実行する
CONSTRAINT DEFINITION 権限または CONSTRAINT
ASSIGNMENT 権限。
セキュリティ制約付きの表に
対して ARC 操作を実行する
アーカイブ / 復元するオブジェクトに対する
OVERRIDE DUMP と OVERRIDE RESTORE。
セキュリティ制約 UDF の
適用を省略する
アクセスするオブジェクトに対するセキュリティ
制約の OVERRIDE INSERT、 OVERRIDE SELECT、
OVERRIDE UPDATE、 OVERRIDE DELETE。
注 : ロールの作成者には、 WITH ADMIN OPTION 付き
で指定されたロールが自動的に与えられます。
セキュリティ制約
152
ユーザー、表、ビュー、および索引のセキュリティ制
約を管理するために、ユーザーはオブジェクトに対す
る必要な CREATE/REPLACE/MODIFY 権限も持ってい
る必要があります。
SQL データ制御言語
付録 B: 権限ディクショナリ
データベース管理に必要な権限
統計
目的
必要なユーザー権限
永久またはグローバル一時表、
ハッシュ索引、または結合索
引に関する統計を収集 / 削除
する
表、グローバル一時表、ハッシュ索引、または結合索
引に対する STATISTICS 権限。
永久行レベル・セキュリティ
表に関する統計を収集 / 削除
する
表に対する STATISTICS 権限と OVERRIDE SELECT
権限。
揮発表または実体化されたグ
ローバル一時表に関する統
計を収集 / 削除する
必要な権限はない
HELP STATISTICS を使用し
て、指定されたデータ表、
ハッシュ索引、または結合索
引に関して収集された統計の
概要または詳細情報を表示
する
• table_name、 join_index_name、または
hash_index_name に対するすべての権限
SHOW STATISTICS を使用
して、指定されたデータ表、
ハッシュ索引、または結合索
引に関して収集された統計の
概要または詳細情報を表示
する
• table_name または join_index_name の所有権
values オプションが指定されなかった場合 :
• table_name、 join_index_name、または
hash_index_name に対するすべての権限
• table_name または join_index_name の所有権
values オプションが指定された場合 :
• 報告するオブジェクトに対する STATISTICS
ストアド・プロシージャと外部ストアド・プロシージャ
ストアド・プロシージャ (SQL 形式 ) と外部ストアド・プロシージャの権限要件と
オプションは非常に複雑なため、クイック・リファレンスの中で説明することがで
きません。詳細については、以下を参照してください。
• SQL データ定義言語－構文規則および例
• SQL データ制御言語
• SQL 外部ルーチン・プログラミング
SQL データ制御言語
153
付録 B: 権限ディクショナリ
データベース管理に必要な権限
表
目的
必要なユーザー権限
表 ( エラー表を含む ) を作成する
表が作成されるデータベースまたはユーザーに対す
る CREATE TABLE 権限。
表を変更または削除する
表または表が含まれるデータベースに対する DROP
TABLE。
PI、セキュリティ制約列、または UDT 列を追加ま
たは変更するために表を変更するには、追加の権限
が必要です。
表を削除する、または、表の
名前を変更する
表または表が含まれるデータベースに対する DROP
TABLE。
表をアーカイブする
データベースまたは表に対する DUMP 権限あるい
は表の所有者になること。
表にセキュリティ制約列が含まれている場合は、
OVERRIDE DUMP 権限も持っている必要があり
ます。
表をコピーする
以下の権限 :
• CREATE MACRO
• CREATE TABLE
• CREATE VIEW
• RESTORE
注 : セキュリティ制約表のコピーはサポートされて
いません。
表を復元する
復元する表に対する CREATE TABLE 権限または表
の所有者になること。
表にセキュリティ制約列が含まれている場合は、
OVERRIDE RESTORE 権限も持っている必要があ
ります。
トリガー
トリガーの作成または置換では、トリガー関連の権限がトリガーの作成者と直接所
有者のどちらにも付与されません。
注 : 権限は、トリガーに付与することはできません。そのトリガーが適用される
データベースまたは表にのみ付与できます。
154
SQL データ制御言語
付録 B: 権限ディクショナリ
データベース管理に必要な権限
目的
必要なユーザー権限
トリガーを作成する
• 以下の両方に対する CREATE TRIGGER:
• トリガーが作成されるデータベース
• サブジェクト表またはそれを含むデータベース
• WHEN 句またはトリガー対象 SQL 文 subquery で参
照されている任意の列に対する SELECT
•
トリガー対象の SQL 文ターゲット表に対する
INSERT、 UPDATE、または DELETE ( トリガー対象
アクションによって異なる )
• 個別のトリガー対象 SQL 文を実行するために通常必
要になる権限
トリガーを置換する
トリガーを置換するために必要な権限 :
• サブジェクト表またはデータベースに対する DROP
TRIGGER
例外は、ターゲット・トリガーが存在しないために
新しいトリガーを作成しようとして REPLACE
TRIGGER を使用した場合です。この場合は、以下の
両方に対する CREATE TRIGGER 権限が必要です。
• トリガーが作成されるデータベース
• サブジェクト表またはそれを含むデータベース
• WHEN 句またはトリガー対象 SQL 文 subquery で参
照されている任意の列に対する SELECT
•
トリガー対象 SQL 文によって応じて、トリガー対象
の SQL 文ターゲット表に対する INSERT、 UPDATE、
または DELETE
• 個別のトリガー対象 SQL 文を実行するために通常必
要になる権限
トリガーを削除する
サブジェクト表またはそれを含むデータベースに対す
る DROP TRIGGER 権限
トリガーを実行する
トリガー文を実行するために必要な権限
加えて、トリガーの直接所有者に必要な権限 :
• サブジェクト表またはそれを含むデータベースに対
する CREATE TRIGGER
• CREATE TRIGGER 文の WHEN 句で参照されている
任意の列、または、文を実行するために読み取りア
クセスが必要なトリガー対象アクション文内の任意
の列に対する SELECT
ユーザー
SQL データ制御言語
目的
必要なユーザー権限
ユーザーを作成する
CREATE USER 権限
155
付録 B: 権限ディクショナリ
データベース管理に必要な権限
目的
必要なユーザー権限
ユーザーを変更または削除
する
DROP USER 権限
ユーザー定義関数 (UDF)
目的
必要なユーザー権限
SYSUDTLIB データベースか
ら UDF を呼び出す関数を作成
する
保存先のデータベースと SYSUDTLIB データベースに
対する CREATE FUNCTION 権限。
• 関数の実行モードを変更
する
• 関数を再コンパイルまた
は再リンクする
ALTER FUNCTION 権限。
ユーザーにデータベースに対する CREATE FUNCTION
権限を付与した場合は、そのユーザーが作成した関数
に DROP FUNCTION、 EXECUTE FUNCTION、および
WITH GRANT OPTION が自動的に付与されます。
保護モードで動作する UDF は、「tdatuser」という名前
のユーザーとして動作するために作成されたプロセス
内で動作します。このユーザーは特殊なオペレーティン
グ・システム権限を持っていません。サイトに必要な
システム・リソースに対するアクセス権限を設定する
ことによって、「 tdatuser 」にアクセス権を付与する
リソースを決定するのはサイトの責任です。
注 : EXECUTE NOT PROTECTED が指定され、動作中
の関数に障害が発生した場合は、データベースを再始
動できます。
SHOW FUNCTION 文を使用
して、 CREATE/REPLACE
FUNCTION テキストとソー
ス・コードを表示する
CREATE/REPLACE FUNCTION テキストを表示するた
めの関数またはその関数を含むデータベースに対する
1 つ以上の権限。
UDF を削除する
関数あるいはそれを含むデータベースまたはユーザー
に対する DROP FUNCTION
関数を実行する
データベースまたは特定の関数に対する EXECUTE
FUNCTION 権限
ユーザーが DROP FUNCTION 権限を持っている場合
は、 SHOW FUNCTION 文によっても C ソースが表示さ
れます。
特定のユーザー定義関数を実行するためのユーザー権
限を付与するには、次の文を実行します。
GRANT EXECUTE ON SPECIFIC FUNCTION
function_name TO username;
データベース内のすべての UDF に対する実行権限を付
与する手順。
GRANT EXECUTE FUNCTION ON dbname TO username;
156
SQL データ制御言語
付録 B: 権限ディクショナリ
データベース管理に必要な権限
目的
必要なユーザー権限
HELP FUNCTION を使用して
以下を取得する。
関数または関数を含むデータベースに対する 1 つ以上
の権限。
•
•
•
•
関数名
パラメータのリスト
パラメータのデータ型
関数が文字とグラフィッ
ク・データのどちらを圧縮 /
圧縮解除するために使用さ
れるか
• SQL、スカラー、集約、お
よび表関数のパラメータに
関連付けられたコメント
関数の名前を変更する
関数またはそれを含むデータベースに対する DROP
FUNCTION 権限と、関数を含むデータベースに対す
る CREATE FUNCTION 権限。
既存の関数を置換する
関数または関数を含むデータベースに対する DROP
FUNCTION 権限。
注 : UDT を入力パラメータまたは関数結果として指定する場合は、現在のユー
ザーが以下の権限のいずれかを持っている必要があります。
• SYSUDTLIB データベースに対する UDTUSAGE
• 指定された UDT に対する UDTUSAGE
UDF の作成の詳細については、 <SQL 外部ルーチン・プログラミング > を参照して
ください。
UDT と UDM
目的
必要なユーザー権限
UDT を作成、変更、または
削除する
UDTTYPE はデータベース・レベルでのみ付与されま
す。この権限は、 UDTUSAGE のすべての能力と、
UDT を作成、変更、および削除できる能力を備えてい
ます。ユーザーは、キャスト、順序、または変換プロ
パティを作成または削除することもできます。
ただし、この権限を持つユーザーは、新しいメソッ
ドを作成したり、既存のメソッドを削除または置換し
たりすることはできません。
UDM を作成、変更、または
削除する
SQL データ制御言語
UDTMETHOD。この権限は、 UDTTYPE のすべての能
力と、 UDT とそのメソッドを無制限に使用、作成、
削除、または変更できる能力を備えています。
157
付録 B: 権限ディクショナリ
ユーザーの権限の判別
目的
必要なユーザー権限
表またはビュー内で UDT また
は UDM を使用し、関連する
すべてのメソッドを実行する
UDTUSAGE。この権限はデータベース・レベルとオブ
ジェクト・レベルの両方で付与できます。自動権限で
はないため、ユーザーはこの権限を付与されるか、
ロール経由で取得する必要があります。 UDTUSAGE
WITH GRANT OPTION が付与されたユーザーは、そ
れを ( オプションで、 WITH GRANT OPTION も一緒に )
他の人に付与できます。
UDTUSAGE は、ユーザーに、既存の UDT とそのメソッ
ドを参照するすべての SQL 文を実行できるようにしま
す。新しい UDT の作成、既存の UDT の順序、キャス
ト、または変換動作の変更、あるいは新しいメソッド
の作成はできません。
UDT に対するキャスト操作を
作成または変更する
CREATE CAST 権限と REPLACE CAST 権限。
ビュー
新しく作成されたビューに対する以下の権限がその作成者に自動的に付与されます。
• DELETE
• DROP VIEW
• INSERT
• SELECT
• UPDATE
目的
必要なユーザー権限
ビューを作成する
CREATE VIEW 権限
ビューを削除または置換する
DROP VIEW 権限
ユーザーの権限の判別
ユーザーが特定のデータベースに対して持っている権限をすべて列挙する
AllUserRights マクロを作成できます。このマクロは、 DBC.AllRightsV ビュー
と DBC.AllRolesRightsV ビューから情報を入手して、ビューの AccessRightDesc
フィールドで見つけた 2 文字の権限コードを出力します。
158
SQL データ制御言語
付録 B: 権限ディクショナリ
ユーザーの権限の判別
ユーザー権限を判別するサンプル・マクロ
create macro database_name.AllUserRights (UserName char(30)) as (
locking row for access select
UserName
(varchar(30))
,AccessType
(varchar(30))
,RoleName
(varchar(30))
,DatabaseName (varchar(30))
,TableName
(varchar(30))
,ColumnName
(varchar(30))
,AccessRight
,case
when accessright='AE' then 'ALTER EXTERNALPROCEDURE'
when accessright='AF' then 'ALTER FUNCTION'
when accessright='AP' then 'ALTER PROCEDURE'
when accessright='AS' then 'ABORT SESSION'
when accessright='CA' then 'CREATE AUTHORIZATION'
when accessright='CD' then 'CREATE DATABASE'
when accessright='CE' then 'CREATE EXTERNAL PROCEDURE'
when accessright='CF' then 'CREATE FUNCTION'
when accessright='CG' then 'CREATE TRIGGER'
when accessright='CM' then 'CREATE MACRO'
when accessright='CO' then 'CREATE PROFILE'
when accessright='CP' then 'CHECKPOINT'
when accessright='CR' then 'CREATE ROLE'
when accessright='CT' then 'CREATE TABLE'
when accessright='CU' then 'CREATE USER'
when accessright='CV' then 'CREATE VIEW'
when accessright='D' then 'DELETE'
when accessright='DA' then 'DROP AUTHORIZATION'
when accessright='DD' then 'DROP DATABASE'
when accessright='DF' then 'DROP FUNCTION'
when accessright='DG' then 'DROP TRIGGER'
when accessright='DM' then 'DROP MACRO'
when accessright='DO' then 'DROP PROFILE'
when accessright='DP' then 'DUMP'
when accessright='DR' then 'DROP ROLE'
when accessright='DT' then 'DROP TABLE'
when accessright='DU' then 'DROP USER'
when accessright='DV' then 'DROP VIEW'
when accessright='E' then 'EXECUTE'
when accessright='EF' then 'EXECUTE FUNCTION'
when accessright='GC' then 'CREATE GLOP'
when accessright='GD' then 'DROP GLOP'
when accessright='GM' then 'GLOP MEMBER'
when accessright='I' then 'INSERT'
when accessright='IX' then 'INDEX'
when accessright='MR' then 'MONITOR RESOURCE'
when accessright='MS' then 'MONITOR SESSION'
when accessright='NT' then 'NONTEMPORAL'
when accessright='OD' then 'OVERRIDE DELETE POLICY'
when accessright='OI' then 'OVERRIDE INSERT POLICY'
when accessright='OP' then 'CREATE OWNER PROCEDURE'
when accessright='OS' then 'OVERRIDE SELECT POLICY'
when accessright='OU' then 'OVERRIDE UPDATE POLICY'
when accessright='PC' then 'CREATE PROCEDURE'
when accessright='PD' then 'DROP PROCEDURE'
when accessright='PE' then 'EXECUTE PROCEDURE'
when accessright='R' then 'RETRIEVE/SELECT'
when accessright='RF' then 'REFERENCES'
when accessright='RS' then 'RESTORE'
when accessright='SA' then 'SECURITY CONSTRAINT ASSIGNMENT'
when accessright='SD' then 'SECURITY CONSTRAINT DEFINITION'
when accessright='ST' then 'STATISTICS'
when accessright='SS' then 'SET SESSION RATE'
when accessright='SR' then 'SET RESOURCE RATE'
when accessright='TH' then 'CTCONTROL'
when accessright='U' then 'UPDATE'
when accessright='UU' then 'UDT Usage'
when accessright='UT' then 'UDT Type'
when accessright='UM' then 'UDT Method'
else''
end (varchar(26)) as AccessRightDesc
,GrantAuthority
,GrantorName (varchar(30))
,AllnessFlag
,CreatorName (varchar(30))
,CreateTimeStamp
from
(
SQL データ制御言語
159
付録 B: 権限ディクショナリ
ユーザーの権限の判別
select
UserName
,'User' (varchar(30)) as AccessType
,'' (varchar(30)) as RoleName
,DatabaseName
,TableName
,ColumnName
,AccessRight
,GrantAuthority
,GrantorName
,AllnessFlag
,CreatorName
,CreateTimeStamp
from dbc.allrights
where UserName = :username
and CreatorName not = :username
union all
select
Grantee as UserName
,'Member' as UR
,r.RoleName
,DatabaseName
,TableName
,ColumnName
,AccessRight
,null (char(1)) as GrantAuthority
,GrantorName
,null (char(1)) as AllnessFlag
,null (char(1)) as CreatorName
,CreateTimeStamp
from dbc.allrolerights r
join dbc.rolemembers m
on m.RoleName = r.RoleName
where UserName = :username
union all
select
User as UserName
,m.Grantee as UR
,r.RoleName
,DatabaseName
,TableName
,ColumnName
,AccessRight
,null (char(1)) as GrantAuthority
,GrantorName
,null (char(1)) as AllnessFlag
,null (char(1)) as CreatorName
,CreateTimeStamp
from dbc.allrolerights r
join dbc.rolemembers m
on m.RoleName = r.RoleName
where m.grantee in (select rolename from dbc.rolemembers where grantee = :username)
) AllRights
order by 4,5,6,7; );
ここで、 database_name は、マクロでユーザー権限をチェックする、システム内の
データベース名です。例えば、 DBAdmin データベース内でマクロを作成する場合
は、そのマクロを DBAdmin.AllUserRights として指定します。
注 : このマクロは、直接、または、ロール経由でユーザーに付与されたすべての
権限を返します。暗黙的 ( 所有権 ) 権限は返しません。
160
SQL データ制御言語
付録 B: 権限ディクショナリ
ユーザーの権限の判別
権限チェック・マクロの実行
マクロを作成したら、そのマクロを実行し、以下のコマンドを使用して特定のユー
ザーのアクセス権限をチェックできます。
execute database_name.AllUserRights ('username');
説明
• database_name は、マクロの名前で、そのマクロによってユーザー権限がチェッ
クされるデータベースを識別します。
• username は、マクロによって権限がチェックされる永久データベース・ユー
ザーの名前です。
• マクロを実行するユーザーは、そのマクロを含むデータベースに対する
EXECUTE 権限を持っている必要があります。
SQL データ制御言語
161
付録 B: 権限ディクショナリ
ユーザーの権限の判別
162
SQL データ制御言語
用語集
A
AMP
Access Module Processor vproc( アクセス・モジュール・プロセッサ vproc)。
Teradata Database のファイル・システムおよびデータ管理コンポーネントを制御す
る一式のソフトウェア・サービス。
Application User( アプリケーション・ユーザー ) アプリケーション・ユーザーは、
Trusted User( 信頼済みユーザー ) によってログオンされるセッションにより Teradata
Database にアクセスする、中間階層アプリケーション用のプロキシです。
アプリケーション・プロキシ・ユーザーは、中間階層に接続しているクライアント
( たとえば、クライアント名や ATM の ID など ) を表わすものです。
アプリケーション・プロキシ・ユーザー名は Teradata Database で定義されないた
め、システムはこの名前を有効にしませんが、この名前は Teradata オブジェクト
の命名規則に従わなければなりません。
Permanent User( 永久ユーザー ) の部類とアプリケーション・ユーザーを合わせて、
総称的に Proxy User( プロキシ・ユーザー ) と呼びます。
B
BLOB Binary Large OBject( バイナリ・ラージ・オブジェクト )。
写真、動画、音楽などのバイナリ・データのみを含むデータ・オブジェクト
( 通常は 64 K より大きい )。
CLOB と比較。
BTEQ
Basic Teradata Query Facility(Basic Teradata Query 機能 )
Teradata Database とのクライアント・インターフェースの一種。これを使用して
ユーザーは対話式にまたはバッチ・モードで SQL 要求を実行依頼し、結果セット
の形成、スクリプトのビルドと実行、およびデータのインポートとエクスポートを
行なえます。
BTEQ は CLIv2 API に基づいています。一方、これに似た機能である SQL Assistant
は ODBC API に基づいています。そのため、これら 2 つの機能の動作にはいくつか
の大きな違いがあります。
C
CLIv2. Call Level Interface Version 2( コール・レベル・インターフェースバージョン 2)
CLIv2 は Teradata Database 内のクライアントとサーバー間の相互作用に関するオリ
ジナルのの API です。 SQL Assistant などの CLIv2 を使用しないアプリケーション
は、クライアントと Teradata サーバーの間の通信に ODBC API を使用します。
SQL データ制御言語
163
用語集
CLOB Character Large OBject( 文字ラージ・オブジェクト )
XML またはその他のテキスト・ファイルなどの文字データのみを含むデータ・
オブジェクト ( 通常は 64K より大きい )。
BLOB と比較。
Column-Level Security( 列レベル・セキュリティ ) 表の列へのアクセスを制御する
方式。列レベル・セキュリティは、 DAC(Discretionary Access Control( 任意アクセス
制御 ) を参照 ) の一形態です。行レベル・セキュリティというアクセス制御方法も
あります (Row-Level Security( 行レベルのセキュリティ ) を参照 )。
Teradata Database は、次の権限について列レベルのセキュリティをサポートします。
• INSERT
• REFERENCES
• SELECT
• UPDATE
D
Discretionary Access Control( 任意アクセス制御 ) オブジェクト・レベルのアクセ
ス制御のタイプの 1 つ。 Teradata Database における任意アクセス制御には、さまざ
まなタイプのオブジェクトに権限を割り当てることが関係します。この権限は、シ
ステム・レベルから、列レベルなどの低レベル・オブジェクトや Teradata Database
で定義されている他のオブジェクト・タイプまで、さまざまなレベルで付与でき
ます。
任意アクセス制御権限は、ユーザーやロールに付与することもできます。この権限
により、対象となるオブジェクトに対して特定のアクションのセットを実行するこ
とが可能になります。
E
External Routine( 外部ルーチン ) ストアド・プロシージャ、ユーザー定義関数、
およびユーザー定義メソッドを指す総称。
EXTUSER 外部ユーザー (External USER) を表わすキーワード。これは、外部で許
可されたディレクトリ・ユーザーにマッピング可能な一般的な Teradata Database
ユーザーです。 EXTUSER ユーザーのデフォルトの権限セットは、非常に限られて
います。
F
Foreign Key( 外部キー ) リレーショナル・データベース内の表の間の参照整合
性を確立するための手段。子表の外部キーは通常、その親表の論理基本キーです。
それが親表の基本キーではない場合、それはその代替キーの 1 つです。
164
SQL データ制御言語
用語集
G
Global Temporary Table( グローバル一時表 )
時表 )
Global Temporary Table( グローバル一
表の種類の 1 つ。その定義は複数のセッションに渡って維持されますが、その内容
は一般には維持されません。同一セッション内で 1 つのグローバル一時表のインス
タンスは 1 つしかエンティティ化できませんが、異なるグローバル一時表インス
タンスについては同一のセッション内で 2 000 個まで可能であり、同じグローバル
一時表定義のインスタンスをエンティティ化できるセッションの数に制限はありま
せん。さらにグローバル一時表には、索引付けに使用できない、列の統計情報を収
集できない、圧縮可能でない、永久ジャーナルに使用できない ( ただしオプション
としてグローバル一時表の更新はログ記録可能 )、ほとんどの種類の制約の定義に
使用できない、などの制限があります。グローバル一時表の定義とその制限事項の
リストについては、 <SQL データ定義言語 > の「グローバル一時表」を参照してく
ださい。
Volatile Table( 揮発表 ) と比較。
GLOP
GLObal and Persistent( グローバル持続 ) データ。
GLOP によって外部ルーチンは、目的のデータを格納するグローバル共有メモリに
アクセスできるようになります。 GLOP により、外部ルーチンにデータを渡すパラ
メータや他の方法によって情報を外部化する必要なく、構成可能なビジネス判断を
行なうためにこのデータを利用することを可能にします。
GLOP は外部ルーチンを一度呼び出した後でも持続されるので、後続の外部ルーチン
はその GLOP を元の形式か変更された形式のどちらかで参照できるようになります。
GLOP Set(GLOP セット ) GLOP セットとは、 UDF、メソッドまたは外部プロシー
ジャから参照するときに関連付けられる GLOP マッピングのことです。
GLOP セットは、最大 8 つの各種タイプの GLOP データ・セクションで構成され
ます。
H
Hash Index( ハッシュ索引 ) 単一表 Join Index( 結合索引 ) と類似したプロパティを
持つ実表の縦方向のパーティション。
インラインに保管される基本索引 ( それが索引付けした行とともに保管される ) と
は異なり、ハッシュ索引はシステムによる保守が必要な個々の副表に格納されま
す。ハッシュ索引の副表はディスク領域を消費するため、 EXPLAIN 修飾子を使っ
て問合わせを定期的にモニターし、それらに対して指定したいずれかのハッシュ索
引を最適化ルーチンが使用しているかどうかを判別します。使用していなければ、
それらの索引を削除するか、または最適化ルーチンが使用するように問合わせを書
き直す必要があります。
SQL データ制御言語
165
用語集
J
Join Index( 結合索引 ) さまざまなタイプの表の事前結合 ( スパース形式や集約形
式を含む ) を作成できる ( その定義の仕方に依存する )、 1 つ以上の実表の縦方向の
パーティション。 SQL 要求が結合索引を直接問い合わせることはできません。代わ
りに、最適化ルーチンが結合索引を使用して、カバーされる問合わせのパフォー
マンスを向上させます。
実表の縦方向のパーティション化しかしない結合索引は、単一表の結合索引とも呼
ばれます。
2 つかそれ以上の実表を事前結合する結合索引は、複数表の結合索引とも呼ばれ
ます。
どちらのタイプの結合索引もスパース形式または集約形式で作成でき、その圧縮さ
れた列のサブセットを持つことができます。
インラインに保管される基本索引 ( それが索引付けした行とともに保管される ) と
は異なり、結合索引はシステムによる保守が必要な個々の副表に格納されます。結
合索引の副表はディスク領域を消費するため、 EXPLAIN 修飾子を使って問合わせを
定期的にモニターし、それらに対して指定したいずれかの結合索引を最適化ルー
チンが使用しているかどうかを判別します。使用していなければ、それらの索引を
削除するか、または最適化ルーチンが使用するように問合わせを書き直す必要があ
ります。
L
LOB
Large OBject( ラージ・オブジェクト )。
Teradata Database の最大行サイズより大きいデータ・オブジェクトすべて。 LOB に
は 2 つのタイプがあります。 BLOB と CLOB です。
M
Mandatory Access Control( 強制アクセス制御 ) ユーザーがデータベース・オブ
ジェクトにアクセスしたり特定の操作を行なう機能をデータベース管理システム
で制限するタイプのアクセス制御。
Teradata の強制アクセス制御の実装は、行レベル・セキュリティと言います。
N
Null( ヌル ) 情報が欠落していることを表わす構成要素。ヌルは値ではないので、
ヌル値という表現は、正確な表現ではありません。通常、ヌルの実際の値は不明
ですが、例外もあります ( 例外のリストについては、 < データベースの設計 > を
参照 )。
166
SQL データ制御言語
用語集
O
Object-Level Security( オブジェクト・レベル・セキュリティ ). データベース、
表、ビューなどのデータベース・オブジェクトへのアクセスを制御する方式。
ODBC Open DataBase Connectivity( オープン・データベース接続性 )
クライアント・アプリケーションと SQL を使用するリレーショナル・データベー
スとの間の通信用の標準 API。
ANSI SQL 規格の API(CLI、つまりコール・レベル・インターフェース、または
SQL/CLI) は、 ODBC の仕様に基づいています。 ODBC バージョン 3.0 以降、 ODBC
標準と ANSI SQL コール・レベル・インターフェース標準は同一のものとなりま
した。
OLTP
Online Transaction Processing( オンライン・トランザクション処理 )。
ワークロード処理のカテゴリの 1 つで、多くの場合、非常に簡潔な更新トランザク
ションを処理するもの。 OLTP テクノロジの典型的な応用としては、 ATM ( 現金自
動支払機 ) があります。
P
PE Parsing Engine vproc( 解析エンジン vproc)。
Teradata Database の問合わせ処理およびセッション管理コンポーネントを制御す
る一式のソフトウェア・サービス。
Permanent User( 永久ユーザー ) 永久ユーザーは、 Trusted User( 信頼済みユーザー )
によりログオンされるセッションを使用して Teradata Database にアクセスするユー
ザー用のプロキシです。 Application User( アプリケーション・ユーザー ) とは異な
り、信頼済みユーザーは常に Teradata Database 内で定義されます。
永久プロキシ・ユーザーに対する権限は、その永久ユーザーに定義された権限か、
または、永久ユーザーが Teradata Database にログオンされているセッションを所有
する Trusted User( 信頼済みユーザー ) に対する GRANT CONNECT 権限でプロキ
シ・ユーザーに割当てられたロールで定義される権限のどちらかになります。
Application User( アプリケーション・ユーザー ) の部類とアプリケーション・ユー
ザーを合わせて、総称的に「Proxy User( プロキシ・ユーザー )」と呼びます。
Primary Index( 基本索引 ) 表内の列のセット。その値は AMP との行の送受信で
使用されるコードを作成するためにハッシュされます。
Teradata Database 内の各表には、基本索引がないか、 1 つのみ必要で、その固有性は
問いません。
Proxy Connection( プロキシ接続 ) 権限およびロギングをユーザー
(Proxy User( プロキシ・ユーザー )) が検証される接続。
Proxy Role( プロキシ・ロール )
ロール。
SQL データ制御言語
Proxy Connection( プロキシ接続 ) に定義された
167
用語集
プロキシ接続で PROXYROLE=role_name 文字列が指定されている場合、 role_name
は、 GRANT CONNECT THROUGH 要求の WITH ROLE 句で指定されたロール名の
うちの 1 つでなければなりません。
PROXYROLE は、 QUERY_BAND 要求によってプロキシ・ロールのアサートを可能
にするために使用する、予約されたクエリー・バンド名です。
Proxy User( プロキシ・ユーザー ) Trusted User( 信頼済みユーザー ) のセッションを
使用して Teradata Database に接続するユーザー。アプリケーション・ユーザーと永
久ユーザーは、集合的にプロキシ・ユーザーと呼ばれます。
PROXYUSER は、 QUERY_BAND 要求によってプロキシ・ユーザーのアサートを
可能にするために使用する、予約されたクエリー・バンド名です。
R
Referential Integrity( 参照整合性 ) リレーショナル・データベースに孤立データが
ないことを保証する方法。参照整合性では、削除された親表行から子表行が孤立す
るのを防ぐために、基本キーと Foreign Key( 外部キー ) の間の親子関係が使用され
ます。
Teradata リレーショナル・データベース管理ソフトウェアでは、以下の 3 種類の異
なる参照整合性 (RI) 制約がサポートされています。
• 参照整合性制約
これは、 ANSI SQL 規格で定義されている標準の RI 制約です。
• バッチ参照整合性制約
これは Teradata での RI の特殊な形式です。これは、標準の参照整合性チェック
において、行ごとではなく all-or-nothing( トランザクション全体が完全に成功し
なければならない ) 方式により強制適用されるため、標準の参照整合性に比べて
システム・リソースの点で適用のためのコストが少なくて済みます。
• 参照制約
これは Teradata での参照整合性 (RI) の特殊な形式であり、非公式に「ソフト RI」
と呼ばれることがあります。これは、最適化ルーチンが問合わせの最適化のた
めに使用できる制約を指定するだけで、システムでは強制適用されません。言
い換えると、その参照制約はもっぱら論理的なものであり、物理的に強制適用
されるわけではありません。
参照整合性の関係は、問合わせパフォーマンスを向上させるためにしばしば最適化
ルーチンによって使用されます。
RI Referential Integrity( 参照整合性 )
Row-Level Security( 行レベルのセキュリティ ) 表の行へのアクセスを制御する方
式。行レベル・セキュリティは、強制アクセス制御の Teradata の実装です。
168
SQL データ制御言語
用語集
S
Security Credential( セキュリティ信頼証明 ) Teradata Row-Level Security(Teradata 行
レベル・セキュリティ ) 用にユーザーやプロファイルに割り当てられた行レベル・
セキュリティ制約値。
Security Label( セキュリティ・ラベル ) データへの安全な行レベル・アクセスを
定義するために、サブジェクト ( ユーザー ) とデータベース・オブジェクトを関連
付けるために使用するラベル。
セキュリティ・ラベルには次の 2 つのコンポーネントがあります。必須の分類レベ
ルと任意のコンパートメント・レベルです。分類レベルは、セキュリティの単一階
層レベルを定義します。例えば、極秘、機密、社外秘、および非機密です。
コンパートメント・レベルは、分類レベルに関連する固有領域を表わす非階層型の
情報を定義します。例えば、 NATO、アメリカ、イギリス、ロシア、フランス、お
よび中国のいずれのカテゴリも、分類レベルの極秘に何らかの形で関連している場
合があります。
分類セキュリティ・ポリシー制約とコンパートメント・セキュリティ・ポリシー制
約の組合わせにより、セキュリティ・ラベルが定義されます。
セキュリティ・ラベルとは、 Mandatory Access Control( 強制アクセス制御 ) セキュリ
ティ制約を定義するために、米国政府により使用される用語です。
Security Policy( セキュリティ・ポリシー ) 特定のタイプのデータへのアクセスを
どのユーザーに許可または禁止するか、および特定のユーザーにデータやデータ
ベース・オブジェクトに対して実行することを許可する特定のタイプのアクションを
定義するための企業内のルール。
行レベル・セキュリティ用のルールは、ユーザーが行データに対して SQL 要求を
実行するために必要な権限も定義します。行レベル・セキュリティを定義して適用
するために使用される基本的なメカニズムは、行レベル・セキュリティ制約と行レ
ベル・セキュリティ制約関数 (UDF) です。
System-Level Security( システム・レベル・セキュリティ ) Teradata Database は、
管理者がシステム・レベルで適用できる権限を提供します。これらの権限は、
GRANT ( モニター形式 ) と GRANT (SQL 形式 ) を使用してユーザーおよびデータ
ベースに付与されます。
T
Teradata Row-Level Security(Teradata 行レベル・セキュリティ ) 表の行へのアク
セスを制御する方式。 Teradata は、セキュリティ信頼証明、行レベル・セキュリ
ティ制約および制約 UDF を使用して行レベル・セキュリティを実装します。
Trusted Parallel Application( トラステッド並列アプリケーション ) 通常は、 TPA
と略されます。 Teradata Database 上で安全に実行できることを Teradata によって認
定されたアプリケーション。 Teradata Database ソフトウェア自体が TPA です。その
ようなアプリケーションはしばしば、 TPA という略語で呼ばれます。
SQL データ制御言語
169
用語集
Trusted Request( 信頼済み要求 ) GRANT CONNECT THROUGH 要求によって、
Proxy User( プロキシ・ユーザー ) の設定または現在の Proxy User( プロキシ・ユー
ザー ) の削除の操作を実行する SET QUERY_BAND 要求を送信する権限が与えられ
ている Trusted User( 信頼済みユーザー ) によって送信された要求。
Trusted User( 信頼済みユーザー )
ぐ権限を付与されたユーザー。
Proxy User( プロキシ・ユーザー ) の ID を引き継
U
UDT
User-Defined Type( ユーザー定義型 )
Teradata 以外のだれかによって定義されたデータ・タイプ。 UDT には 2 つの型があ
ります。 DISTINCT 型と STRUCTURED 型です。詳細は、 <SQL データ定義言語 >
の「CREATE TYPE(DISTINCT 形式 )」、 <SQL データ定義言語 > の「CREATE
TYPE(STRUCTURED 形式 )」、および <SQL 外部ルーチン・プログラミング > を参
照してください。
V
Volatile Table( 揮発表 )
Volatile Table( 揮発表 )
表の種類の 1 つ。それが作成されたセッションにとってプライベートな表であり、
そのセッションの存続期間にのみ存在します。さらに揮発表には、索引付けに使用
できない、列の統計情報を収集できない、圧縮可能でない、ジャーナルに使用でき
ない、ほとんどの種類の制約の定義に使用できない、などの制限があります。揮発
表の定義とその制限事項のリストについては、 <SQL データ定義言語 > を参照。
Global Temporary Table( グローバル一時表 ) と比較。
VT Volatile Table( 揮発表 )
170
SQL データ制御言語
索引
A
ABORTSESSION 監視権限 22
C
CONNECT THROUGH 権限 80, 126
CONSTRAINT ASSIGNMENT 権限 64
この権限が必要な DDL 文 65
付与のルール 64
CONSTRAINT DEFINITION 権限 65
この権限が必要な DDL 文 65
付与のルール 65
CREATE EXTERNAL PROCEDURE 権限 57
CREATE FUNCTION 権限 59
CREATE GLOP 権限 54, 76
CREATE MACRO 権限
セキュリティに関する考慮事項 42
CTCONTROL 権限 39, 53
GRANT LOGON 94
GRANT(MONITOR 形式 ) および GRANT(SQL 形式 )
19, 22
GRANT (SQL 形式 ) および GRANT
(MONITOR 形式 ) 19
GRANT(SQL 形式 ) および GRANT
(MONITOR 形式 ) 22
GRANT、 GIVE との比較 40
I
INDEX 権限 41
M
MONRESOURCES 監視権限 22
MONSESSION 監視権限 22
N
D
NONTEMPORAL 権限 44, 48, 55
DML 制限上書き権限
OVERRIDE DELETE CONSTRAINT 66
OVERRIDE INSERT CONSTRAINT 66
OVERRIDE SELECT CONSTRAINT 67
OVERRIDE UPDATE CONSTRAINT 67
行レベル・セキュリティ権限 66
付与または割当てに関するルール 67
DROP FUNCTION 権限 59
DROP GLOP 権限 54, 76
O
E
EXECUTE FUNCTION 権限 59
G
GIVE 16
GIVE、 GRANT との比較 40
GLOP MEMBER 権限 54, 76
GLOP 権限 54, 76
GRANT 19
GRANT (MONITOR 形式 ) 20
GRANT (SQL 形式 ) 26
GRANT ( ロール形式 ) 23
ロールの階層構造 24
ロールのメンバーシップの付与 23
GRANT CONNECT THROUGH 80
SQL データ制御言語
OVERRIDE DELETE CONSTRAINT
説明 66
付与または割当てに関するルール 67
OVERRIDE INSERT CONSTRAINT
説明 66
付与または割当てに関するルール 67
OVERRIDE SELECT CONSTRAINT
説明 67
付与または割当てに関するルール 67
OVERRIDE UPDATE CONSTRAINT
説明 67
付与または割当てに関するルール 67
R
REFERENCES 権限 41
REVOKE 99
REVOKE (MONITOR 形式 ) 101
使用規則 102
取消し可能な権限 103
REVOKE (SQL 形式 ) 108
UDT の権限取消しのルール 120
オプション 116
権限取り消しのルール 119
171
索引
あ
ストアド・プロシージャに対する権限の取消しの
ルール 120
ロールからの権限取り消しのルール 121
REVOKE(SQL 形式 ) および REVOKE
(MONITOR 形式 ) 100
REVOKE ( ロール形式 ) 105
ロールの取消し 106
ロールのメンバーシップの取消し 105
REVOKE CONNECT THROUGH 126
REVOKE LOGON 129
アーカイブ / リカバリー制限上書き権限
行レベル・セキュリティ権限 68
付与または割当てに関するルール 68
アクセス権
権限を参照
アプリケーション・プロキシ・ユーザー 81, 83, 85, 126
暗黙的権限 12
S
永久プロキシ・ユーザー 81, 84, 86, 127
SETRESRATE 監視権限 22
SETSESSRATE 監視権限 22
SQL 文
GIVE 16
GRANT 19
GRANT (MONITOR 形式 ) 20
GRANT (SQL 形式 ) 26
GRANT ( ロール形式 ) 23
GRANT CONNECT THROUGH 80
GRANT LOGON 94
REVOKE 99
REVOKE (MONITOR 形式 ) 101
REVOKE (SQL 形式 ) 108
REVOKE ( ロール形式 ) 105
REVOKE CONNECT THROUGH 126
REVOKE LOGON 129
T
Teradata Database 権限
概要 9
Teradata 行レベル・セキュリティ
権限 63
Teradata 行レベル・セキュリティ、定義 169
Teradata 行レベル・セキュリティ用語
Teradata 行レベル・セキュリティ 169
オブジェクト・レベル・セキュリティ 167
強制アクセス制御 166
行レベル・セキュリティ 168
システム・レベル・セキュリティ 169
セキュリティ信頼証明 169
セキュリティ・ポリシー 169
セキュリティ・ラベル 169
任意アクセス制御 164
列レベル・セキュリティ 164
TRANSFER OWNERSHIP。 GIVE を参照。
え
お
オブジェクト・レベル・セキュリティ
概要 10
定義 167
か
外部認証
ユーザーへのログオンの付与 97
き
規則
REVOKE (SQL 形式 ) 116
揮発表
の権限取消しの規則 120
強制アクセス制御、定義 166
行レベル・セキュリティ
概要 11
定義 168
行レベル・セキュリティ権限
CONSTRAINT ASSIGNMENT 64
CONSTRAINT DEFINITION 65
DML 制限上書き権限 66
アーカイブ / リカバリー制限上書き権限 68
オブジェクト・レベルで適用される 66
システム・レベルで適用される 64
行レベル・セキュリティ制約データ
格納場所 11
データ・ディクショナリ表 11
く
グローバル一時表
の権限取消しの規則 120
U
け
UDTMETHOD 権限 62
UDTTYPE 権限 62
UDTUSAGE 権限 61
Unicode 文字の命名規則 138
権限
ABORTSESSION 22
AccessRights システム・ビュー列内のコード 141
ALL PRIVILEGES と UDT 61
172
SQL データ制御言語
索引
CONNECT THROUGH 80, 126
CONSTRAINT ASSIGNMENT 64
CONSTRAINT DEFINITION 65
CREATE EXTERNAL PROCEDURE 権限 57
CREATE FUNCTION 権限 59
CREATE GLOP 権限 54, 76
CTCONTROL 権限 39, 53
DROP FUNCTION 権限 59
DROP GLOP 権限 54, 76
EXECUTE FUNCTION 権限 59
GLOP 54, 76
GLOP MEMBER 54, 76
GRANT (MONITOR 形式 ) の MONITOR 関連権限 20
GRANT の使用 12
GRANT を使用して権限を規定する 19, 21
INDEX 権限 41
MONRESOURCES 監視権限 22
MONSESSION 監視権限 22
NONTEMPORAL 55
REFERENCES 権限 41
SETRESRATES 監視権限 22
SETSESSRATE 監視権限 22
Teradata 行レベル・セキュリティ 63
UDF に対する権限 58
UDTMETHOD 権限 62
UDTTYPE 権限 62
UDTUSAGE 権限 61
UDT に対する権限 60
暗黙的 12
オブジェクト・レベル 10
概要 9
キュー表に対する権限 54
行レベル 11
継承 12
権限が有効になる時期 40
権限の期間 121
システム・レベル 10
自動 12
ストアド・プロシージャに対する権限 55
データ・ディクショナリの権限の略語 38, 116
取消しが有効になるタイミング 118
取り消すための要件 118
付与権限の制限 43
明示的 12
明示的に付与する必要のある 141
明示的に付与する必要のある権限のリスト 141
列レベル 41
レベル 10
ロールに対する権限 69
ログオン権限の取消し 129
割り当て 13
権限取り消しのルール
グローバル一時表での 120
SQL データ制御言語
こ
構文図
読み方 133
し
システム・レベル・セキュリティ
概要 10
システム・レベル・セキュリティ、定義 169
システム・レベルの権限 10
自動権限
作成されたユーザーとデータベース用 141
データベースとユーザーの作成者用 141
信頼済みセッション
GRANT CONNECT THROUGH 80
REVOKE CONNECT THROUGH 126
アプリケーション・プロキシ・ユーザー
81, 83, 85, 126
永久プロキシ・ユーザー 81, 84, 86, 127
信頼済みユーザー 80, 81, 84, 88, 126
信頼済みユーザー 80, 81, 84, 88, 126
せ
制限、付与権限の 43
セキュリティ
オブジェクト・レベル 10
行レベル 11
システム・レベル 10
レベル 10
セキュリティ信頼証明、定義 169
セキュリティ・ポリシー、定義 169
セキュリティ・ラベル、定義 169
て
データ・ディクショナリ
行レベル・セキュリティ制約メタデータ 11
データベース権限
概要 9
権限コード略語 141
自動
作成されたユーザー / データベース用 141
ユーザー / データベースの作成者用 141
種類 12
単一のキーワードで指定される複数の権限 145
ユーザー権限の判別 158
と
取消し、ログオン権限の 129
に
日本語文字コード表記
173
索引
読み方 138
任意アクセス制御 164
は
わ
許可
権限を参照
パスワード
GRANT LOGON に必要 96
ふ
付与権限の制限 43
プロキシ・ユーザー
アプリケーション・プロキシ・ユーザー 81, 83, 85,
126
永久プロキシ・ユーザー 81, 84, 86, 127
め
明示的な権限 12
る
ルール
GRANT (SQL 形式 ) 38
REVOKE (SQL 形式 ) 116
ルール、権限取り消しの
UDT からの 120
揮発表での 120
ストアド・プロシージャでの 120
ロールからの 121
ルール、権限付与の
CONSTRAINT ASSIGNMENT 権限 64
CONSTRAINT DEFINITION 権限 65
れ
列レベル権限 41
列レベル・セキュリティ、定義 164
ろ
ロール
アクティブなロール 24
からの権限取消しの規則 121
使用法 24
ロールのメンバーシップの取消し 105
ロールのメンバーシップの付与 23
ログオン
パスワードなし 96
マップされたユーザーに外部認証を使用する方法 97
ユーザー DBC として 96
ログオン権限の取消し 129
ユーザー DBC のログオンは取り消しできない 131
174
SQL データ制御言語

Download Report