ユーザのグループ化のヒント
次に、DBMS(Database Management System)でユーザをグループ化するためのヒントをいくつか紹介します。
- システムとオブジェクトの権限ごとに異なるグループ(ロール)を作成します。これにより、DBA(データベース管理者)がシステム ロールの権限を管理し、データの所有者がオブジェクト ロールの権限を管理するという役割分担が可能になります。
- グループ(ロール)の種類を反映したわかりやすい命名規則を選択します。たとえば、すべての境界データを編集できるグループには、LANDBASE_EDITORS という名前を付けることができます。
- ジオデータベース管理者には権限を直接割り当て、その他のユーザの権限はグループ(ロール)に割り当てます。ジオデータベース管理者は特別な存在です。ほとんどの場合、ジオデータベースの管理者は 1 人だけであり、大きな論理グループには属しません。経験豊富な DBA は、そうしたアプリケーション管理者アカウントに直接権限を割り当てることを適切な設計であると考えます。対照的に、エンド ユーザのアカウントには、担当する業務、プロジェクトでの役割、その他組織内での論理的な分類を表すグループから権限が適用されます。
- エンド ユーザ アカウントへの直接的な権限の割り当てとロールの混在を避けます。エンド ユーザ アカウントにロールからの権限と直接割り当てられた権限の両方が適用されると、適切に計画されたはずのセキュリティ モデルが管理不能となってしまい、正常な状態に戻すのに膨大な時間と労力が必要になります。スキーマ オブジェクトへのアクセスを許可する際にデータの所有者が従うポリシーを設定してください。
まれに、エンド ユーザが特異なセキュリティ要件を持つ場合があります。この場合は、ロール ベースのセキュリティ モデルが複雑になるのを避けるため、一部の特権を直接割り当てることを検討してください。これらのケースは文書化し、例外として扱ってください。
5/10/2014