GRANT (スキーマ特権) ステートメント

この形式の GRANT ステートメントは、スキーマに対する特権を付与します。

呼び出し

このステートメントは、アプリケーション・プログラムに組み込んだり、動的 SQL ステートメントを使用して発行したりすることができます。 これは、DYNAMICRULES の実行動作がパッケージに効力を持つ場合にのみ、動的に準備できる実行可能ステートメントです (SQLSTATE 42509)。

許可

ステートメントの許可 ID によって保持されている特権には、少なくとも以下のいずれかの権限が含まれていなければなりません。
  • schema-name に対する指定された特権ごとに WITH GRANT OPTION
  • ACCESSCTRL または SECADM 権限
注: ユーザーは、SYSIBM、SYSCAT、SYSFUN、または SYSSTAT で始まるスキーマ名に対する特権を付与することはできません (SQLSTATE 42501)。

構文

構文図を読むビジュアル構文図をスキップ GRANT ALLPRIVILEGES,ALTERINCREATEINDROPIN ON SCHEMAschema-nameCURRENT SCHEMA TO ,USERGROUPROLEauthorization-namePUBLIC WITH GRANT OPTION

説明

ALL または ALL PRIVILEGES
ON 節で指定されているスキーマに対するすべてのスキーマ特権を付与します。

ALL の指定がない場合、 特権のリストに示されているキーワードの 1 つまたは複数を指定する必要があります。

ALTERIN
スキーマ内のすべてのオブジェクトの変更、またはコメント付けのための特権を与えます。 明示的にスキーマを作成した所有者は、ALTERIN 特権が自動的に与えられます。
CREATEIN
スキーマにオブジェクトを作成する特権を与えます。 オブジェクトの作成に必要なその他の権限または特権 (CREATETAB など) は、これを指定しても必要です。 明示的に作成されたスキーマの所有者には、自動的に CREATEIN 特権が付与されます。 暗黙的に作成されたスキーマの CREATEIN 特権は、PUBLIC に自動的に付与されます。
DROPIN
スキーマ内のオブジェクトをドロップする特権を与えます。 明示的に作成されたスキーマの所有者は、DROPIN 特権を自動的に与えられます。
ON
SCHEMA スキーマ名
権限を与える対象のスキーマの名前を指定します。 SYS プレフィックスで開始するスキーマに対しては権限を付与できません (SQLSTATE 42501)。
CURRENT SCHEMA
DB2®® 特殊レジスター CURRENT SCHEMA によって記述されるスキーマに対して権限が付与されることを指定します。 SYS プレフィックスで開始するスキーマに対しては権限を付与できません (SQLSTATE 42501)。
今後
特権を誰に与えるかを指定します。
ユーザー
authorization-name がユーザーであることを指定します。
GROUP
authorization-name がグループ名であることを指定します。
ROLE
authorization-name がロール名であることを指定します。 ロール名は、現行サーバーに存在するものでなければなりません (SQLSTATE 42704)。
権限名, ...
1 つ以上のユーザー、グループ、またはロールの許可 ID のリストを指定します。

この許可 ID のリストに、このステートメントを発行するユーザーの許可 ID を含めることはできません (SQLSTATE 42502)。

PUBLIC
特権をユーザー (許可 ID) の集合に付与します。 詳細については、『権限、特権、およびオブジェクト所有権』を参照してください。
WITH GRANT OPTION
指定した authorization-name に対し、特権を他のユーザーに与えることを許可します。

ルール

  • 指定したそれぞれの authorization-name に関して、USER、GROUP、ROLE のいずれも指定されていない場合には、次のようになります。
    • インスタンスに対して有効なセキュリティー・プラグインによって authorization-name の状況を判別できなければ、エラーが戻されます (SQLSTATE 56092)。
    • authorization-name がデータベースでは ROLE として定義され、有効なセキュリティー・プラグインでは GROUP または USER のいずれかとして定義されている場合には、エラーが戻されます (SQLSTATE 56092)。
    • 有効なセキュリティー・プラグインに従って authorization-name が USER と GROUP の両方として定義されている場合、エラーが戻されます (SQLSTATE 56092)。
    • authorization-name有効なセキュリティー・プラグインに従って USER のみとして定義されている場合、または未定義の場合は、USER が想定されます。
    • authorization-name が、 有効なセキュリティー・プラグインに従って GROUP としてのみ定義されている場合は、GROUP が想定されます。
    • authorization-nameデータベースで ROLE としてのみ定義されている場合には、ROLE であると見なされます。
  • 一般に、GRANT ステートメントはステートメントの許可 ID が与えることを許されている特権の GRANT のみを処理し、 1 つ以上の特権が与えられなかった場合は警告 (SQLSTATE 01007) を戻します。 どのような特権も与えられなかった場合は、エラーが戻されます (SQLSTATE 42501)。 (ステートメントの処理に使用されるパッケージが、 LANGLEVEL を SQL92E または MIA に設定してプリコンパイルされていた場合、付与者が GRANT 操作の対象に対して特権を持っていない場合以外は警告が戻されます (SQLSTATE 01007)。)

  • SYSPUBLIC に対する権限付与: 予約済みスキーマの SYSPUBLIC に対して特権を付与することができます。 CREATEIN 特権が付与されると公開の別名を作成でき、DROPIN 特権が付与されると公開の別名をドロップできます。 SELECTIN が付与されると、スキーマで定義された表から選択することができます。
  • SCHEMAADM、スキーマ ACCESSCTRL、スキーマ DATAACCESS、またはスキーマ LOAD のどの権限も、特殊グループ PUBLIC に付与することはできません。 したがって、直接的であれ間接的であれ、role-name が PUBLIC に付与されている場合、スキーマ ACCESSCTRL、SCHEMAADM、スキーマ DATAACCESS、またはスキーマ LOAD の各権限を role-name に付与する操作は失敗します (SQLSTATE 42508)。
    • 以下のステートメントが発行済みの場合、ロール role-name は PUBLIC に直接的に付与されます。
      GRANT ROLE role-name TO PUBLIC
    • 以下のステートメントが発行済みの場合、ロール role-name は間接的に PUBLIC に付与されます。
      GRANT ROLE role-name TO ROLE role-name2
      GRANT ROLE role-name2 TO PUBLIC
  • グループに付与される特権: 以下の許可検査では、グループに付与される権限は使用されません。
    • パッケージ内の静的 DML ステートメント
    • CREATE VIEW ステートメントの処理過程での基本表
    • マテリアライズ照会表の CREATE TABLE ステートメントの処理過程での基本表
    • SQL ルーチンの作成
    • トリガーの作成
  • スキーマ権限 (SCHEMAADM、ACCESSCTRL、DATAACCESS、LOAD) を付与するとき、WITH GRANT OPTION は無視されます。

  • 例 1: スキーマ CORPDATA にオブジェクトを作成する特権を、ユーザー JSINGLETON に与えます。
       GRANT CREATEIN ON SCHEMA CORPDATA TO JSINGLETON
  • 例 2: スキーマ CORPDATA のオブジェクトを作成およびドロップする特権を、ユーザー IHAKES に与えます。
       GRANT CREATEIN, DROPIN ON SCHEMA CORPDATA TO IHAKES