Autoridad administrativa SYSADM
La autoridad SYSADM incluye todos los privilegios, incluyendo privilegios del sistema, para crear objetos y acceder a todos los datos. En función del parámetro de sistema SEPARATE_SECURITY, la autoridad SYSADM también puede crear objetos de seguridad y otorgar y revocar privilegios.
Independientemente de la configuración de SEPARATE_SECURITY, un ID de autorización o un rol con la autoridad SYSADM puede realizar las siguientes acciones. Si SEPARATE_SECURITY se establece en NO, también puede conceder a otros ID los privilegios necesarios para realizar las mismas acciones.
- Utilizar todos los privilegios de DBADM sobre cualquier base de datos
- Utilizar privilegios EXECUTE en todos los paquetes
- Utilizar privilegios EXECUTE en todas las rutinas
- Utilizar el privilegio USAGE en tipos, JAR y secuencias distintos
- Utilice BIND en cualquier plan y COPY en cualquier paquete
- Utilizar privilegios sobre vistas que son propiedad de otros
- Crear y soltar sinónimos y vistas para otros ID en cualquier tabla
- Bajar base de datos DSNDB07
Un ID de autorización o un rol con la autoridad SYSADM también puede realizar las siguientes acciones, pero no puede conceder a otros ID los privilegios para realizarlas:
- Dejar caer o alterar cualquier objeto e Db2 , excepto las bases de datos del sistema
- Emita una declaración COMENTARIO SOBRE cualquier tabla, vista, índice, columna, paquete, plan
- Emitir una declaración LABEL ON para cualquier tabla o vista
- Finalizar cualquier trabajo de utilidad
- Crear roles y contextos de confianza (si SEPARATE_SECURITY está establecido en NO)
- Establezca el ID SQL actual en cualquier valor válido (si SEPARATE_SECURITY está establecido en NO)
- Utilice cualquier valor válido para OWNER en BIND o REBIND (si SEPARATE_SECURITY está establecido en NO)
Cuando SEPARATE_SECURITY se establece en NO, los usuarios con autoridad SYSADM pueden gestionar la mayoría de los objetos de seguridad, realizar concesiones y revocar privilegios concedidos por otros, y los usuarios con autoridad SYSCTRL pueden gestionar roles, realizar la mayoría de las concesiones y revocar privilegios concedidos por otros.
Sin embargo, las siguientes capacidades de seguridad más recientes siempre requieren una autoridad SECADM explícita, incluso si SEPARATE_SECURITY está establecido en NO:
Aunque un ID de autorización o un rol con la autoridad SYSADM no pueden otorgar los privilegios anteriores explícitamente, pueden lograr este objetivo otorgando a otros ID la autoridad SYSADM.
Independientemente de la configuración de SEPARATE_SECURITY, un ID de autorización o un rol con la autoridad SYSADM puede revocar cualquier privilegio que haya concedido. Cuando SEPARATE_SECURITY se establece en NO, el mismo ID o rol también puede revocar privilegios que fueron otorgados por otros. Sin embargo, cuando SEPARATE_SECURITY se establece en YES, el mismo ID o rol no puede revocar privilegios que fueron otorgados por otros.
Las siguientes tablas resumen las autoridades incluidas y los privilegios que posee y puede otorgar a otros la autoridad administrativa de SYSADM.
| Autoridades incluidas | SYSCTRL, Instalación SYSOPR (excepto para acceder a Db2 cuando el subsistema se inicia con ACCESS(MAINT), o emitir el comando ACTIVATE o ejecutar la utilidad CATMAINT), SYSOPR, SECADM 1, 2, ACCESO CONTROLADO, Sistema DBADM, ACCESO A LOS DATOS, SQLADM, DBADM, DBCTRL, DBMAINT, PACKADM |
|---|---|
| Privilegios adicionales que se pueden conceder | Privilegios en todos los planes: EXECUTE Privilegios en todas las rutinas:EXECUTE Privilegios en todos los paquetes:ALL PRIVILEGES Privilegios en distintos tipos:USO Privilegios en secuencias:USO Privilegios del sistema:DEBUGSESSION EXPLAIN, privilegio |
- El uso de las siguientes capacidades de seguridad siempre requiere la autoridad SECADM, independientemente de la configuración SEPARATE_SECURITY.
