USER MANUALS

ユーザーのロールの管理

ロールとは、ユーザーに特定の権限を付与するのと同じ方法でユーザーに付与できる、一連のアクセス権のことです。

管理ガイドの「 ロール 」のセクションで、ロールの詳細について説明しています。

新しいロールを作成するコマンドの構文は以下のとおりです。

CREATE ROLE ステートメントの構文
CREATE [ OR REPLACE ] ROLE <name:identifier>
[ <description:literal> ]
[ <grant> ]*

<grant> ::= (「 ユーザーやロールへの権限の付与 」のセクションを参照)

ALTER ROLE ステートメントの構文
ALTER ROLE <name:identifier>
[ <description:literal> ]
[ <grant> ]*

<grant> ::= (「 ユーザーやロールへの権限の付与 」のセクションを参照)

ロールとユーザーに割り当てることのできるアクセス権限は同じであり、同じように機能し、コマンドの構文も同じです。

さらに、ロールを他のロールに割り当てることもできます (「ロールの継承」と呼びます)。たとえば、以下のロールを持っているとします。

  • データベース admin に対する CONNECTMETADATAEXECUTECREATEWRITE の権限を持つロール vdp_developer

  • データベース customer_360 に対する CONNECTMETADATAEXECUTECREATEWRITE 権限を持つロール data_catalog_developer

その場合、以下のステートメントにより、これらのロールが作成され、ロール vdp_developerdata_catalog_developer が割り当てられた新しいロール denodo_developer も作成されます。

ロールの継承の利用
CREATE ROLE vdp_developer GRANT CONNECT, CREATE, METADATA, EXECUTE, WRITE ON admin;

CREATE ROLE data_catalog_developer GRANT CONNECT, CREATE, METADATA, EXECUTE, WRITE ON
customer_360;

CREATE ROLE denodo_developer GRANT ROLE vdp_developer,
data_catalog_developer;

ロール denodo_developer を持つユーザーは、データベース admin および customer_360 に対する CONNECTMETADATAEXECUTECREATE 、および WRITE 権限を持ちます。

注釈

管理ガイドの「 ロール 」のセクションで説明しているように、このユーザーの「有効な権限」は、両ロールの権限を組み合わせたものになります。

Add feedback