ユーザーのロールの管理¶
ロールとは、ユーザーに特定の権限を付与するのと同じ方法でユーザーに付与できる、一連のアクセス権のことです。
管理ガイドの「 ロール 」のセクションで、ロールの詳細について説明しています。
新しいロールを作成するコマンドの構文は以下のとおりです。
CREATE [ OR REPLACE ] ROLE <name:identifier>
[ <description:literal> ]
[ <grant> ]*
<grant> ::= (「 ユーザーやロールへの権限の付与 」のセクションを参照)
ALTER ROLE <name:identifier>
[ <description:literal> ]
[ <grant> ]*
<grant> ::= (「 ユーザーやロールへの権限の付与 」のセクションを参照)
ロールとユーザーに割り当てることのできるアクセス権限は同じであり、同じように機能し、コマンドの構文も同じです。
さらに、ロールを他のロールに割り当てることもできます (「ロールの継承」と呼びます)。たとえば、以下のロールを持っているとします。
データベース
admin
に対するCONNECT
、METADATA
、EXECUTE
、CREATE
、WRITE
の権限を持つロールvdp_developer
データベース
customer_360
に対するCONNECT
、METADATA
、EXECUTE
、CREATE
、WRITE
権限を持つロールdata_catalog_developer
その場合、以下のステートメントにより、これらのロールが作成され、ロール vdp_developer
と data_catalog_developer
が割り当てられた新しいロール denodo_developer
も作成されます。
CREATE ROLE vdp_developer GRANT CONNECT, CREATE, METADATA, EXECUTE, WRITE ON admin;
CREATE ROLE data_catalog_developer GRANT CONNECT, CREATE, METADATA, EXECUTE, WRITE ON
customer_360;
CREATE ROLE denodo_developer GRANT ROLE vdp_developer,
data_catalog_developer;
ロール denodo_developer
を持つユーザーは、データベース admin
および customer_360
に対する CONNECT
、 METADATA
、 EXECUTE
、 CREATE
、および WRITE
権限を持ちます。
注釈
管理ガイドの「 ロール 」のセクションで説明しているように、このユーザーの「有効な権限」は、両ロールの権限を組み合わせたものになります。