Babelfish for Aurora PostgreSQL でのアクセス許可とアクセスコントロールの管理 - Amazon Aurora
対応するユースケースサポートされていないユースケースと回避策サポートされていないユースケース

Babelfish for Aurora PostgreSQL でのアクセス許可とアクセスコントロールの管理

Babelfish for Aurora PostgreSQL では、データベース、スキーマ、オブジェクトのアクセス許可とアクセスコントロールを管理できます。次の表は、さまざまなアクセスコントロールのシナリオを達成するために、Babelfish でアクセス許可を付与するための特定の SQL コマンドの概要を示しています。サポートされている実装可能なユースケースと、現在サポートされていないケースの回避策について説明します。これにより、Babelfish データベースを使用する際のセキュリティおよびコンプライアンス要件を満たす適切なアクセス許可を設定できます。

対応するユースケース

次の表は、Babelfish でサポートされているユースケースを示しています。各ユースケースについて、達成するために必要なアクションとサンプル SQL コマンドがテーブルに表示されています。

ユースケース アクション SQL コマンド コメント

ログインして任意のデータベースで SELECT/DML/DDL を実行できるようにする

sysadmin サーバーロールにログインを追加する

ALTER SERVER ROLE sysadmin ADD MEMBER login

なし

ログインしてデータベースで SELECT/DML/DDL を実行できるようにする

ログインをデータベースの所有者にする

ALTER AUTHORIZATION ON DATABASE::database TO login

データベースの所有者は 1 人だけです。

データベースユーザーにスキーマでの SELECT/DML の実行を許可する

スキーマのデータベースユーザーにアクセス許可を付与する

GRANT SELECT/EXECUTE/INSERT/UPDATE/DELETE ON SCHEMA::schema TO user

なし

データベースユーザーにスキーマでの SELECT/DML の実行を許可する

スキーマ作成時にデータベースユーザーをスキーマの所有者にする

CREATE SCHEMA schema AUTHORIZATION user

作成後のスキーマ所有者の変更は現在サポートされていません。

データベースユーザーにオブジェクトに対する SELECT/DML の実行を許可する

オブジェクトのデータベースユーザーにアクセス許可を付与する

GRANT SELECT/EXECUTE/INSERT/UPDATE/DELETE ON SCHEMA::object TO user

なし

サポートされていないユースケースと回避策

次の表は、Babelfish ではサポートされていないものの、回避策を使用して達成できるユースケースを示しています。

ユースケース アクション SQL コマンド コメント

データベースユーザーに、データベースの削除を含む、データベース内での SELECT/DML/DDL の実行を許可する

ログインをデータベースの所有者にする

ALTER AUTHORIZATION ON DATABASE database TO login

db_owner ロールへのデータベースユーザー/ロールの追加は現在サポートされていません。

データベースユーザーがデータベース内で SELECT のみを実行できるようにする

データベース内のすべてのスキーマに対して、データベースユーザーに SELECT を許可する

GRANT SELECT ON SCHEMA::schema TO user

データベースロール db_datareader は現在サポートされていません。

データベースユーザーがデータベース内のすべてのオブジェクトに対して DML を実行できるようにする

データベース内のすべてのスキーマに対して、データベースユーザーに INSERT、UPDATE、DELETE を許可する

GRANT INSERT, UPDATE, DELETE ON SCHEMA::schema TO user

データベースロール db_datawriter は現在サポートされていません。

サポートされていないユースケース

次の表は、Babelfish でサポートされていないユースケースを示しています。

ユースケース コメント

データベースユーザーがデータベース内の DDL のみを実行できるようにする

データベースロール db_ddladmin は現在サポートされていません。

データベースユーザーに任意のデータベースロールの CREATE/ALTER/DROP のみを許可する

データベースロール db_securityadmin は現在サポートされていません。

データベースユーザーに、データベース内のオブジェクトに対する GRANT/REVOKE アクセスのみを許可する

データベースロール db_securityadmin は現在サポートされていません。

データベースユーザーに任意のユーザーの CREATE/ALTER/DROP のみを許可する

データベースロール db_accessadmin は現在サポートされていません。

データベースユーザーに、ログイン用のデータベースアクセスとエイリアスユーザーアカウントのみの許可と取り消しを許可する

データベースロール db_accessadmin は現在サポートされていません。

ログインに任意のデータベースの CREATE/DROP のみを許可する

サーバーロール dbcreator は現在サポートされていません。

ログインに任意のログインの ALTER のみを許可する

データベースロール securityadmin は現在サポートされていません。