新しいデータ・セットの作成の制御

データ・セット・プロファイルを使用すれば、ユーザーが新規データ・セットを作成する (割り振る) ことができるかどうかを制御できます。

カタログ式データ・セットの場合、データ・セットを作成、削除、または名前変更すると、データ・セットを保護するデータ・セット・プロファイルに対してだけでなく、そのデータ・セットがカタログされているカタログに対してもアクセスできます。通常、ユーザーは以下を必要とします。
  • カタログに項目を追加する場合、以下の指定に応じたデータ・セットを作成するための権限と、カタログに対する UPDATE 権限がユーザーに必要。
  • カタログから項目を削除する場合、ユーザーは保護するプロファイルに対する、またはカタログに対する ALTER 権限が必要。

詳細については、カタログの保護および「z/OS DFSMS カタログの管理」を参照してください。

以下に、新しいユーザー・データ・セットおよびグループ・データ・セットの 作成を制御するときの RACF® の使用方法を、いくつかの事例で説明しています。

以下の状況において、ユーザーは新しいユーザー・データ・ セットを作成できます。
  • データ・セットは既存の総称プロファイルによって保護されていて、ユーザーが ADSP を持っていない場合。

    作成が許可されるのは、(1) ユーザーが、総称プロファイルまたはグローバル・アクセス検査を介してデータ・セットに対する ALTER 権限を持っている場合、または (2) データ・セットがそのユーザー所有のデータ・セットである場合です。RACF はプロファイルを生成しません。

  • データ・セット名が既存の総称プロファイルによって保護されておらず、ユーザーが ADSP を持っていない場合。

    PROTECTALL が有効でない場合、作成は許可されますが、RACF はプロファイル を作成しません。注 2 を参照してください。

  • ユーザーが ADSP を持っており、そのデータ・セットがユーザー所有のデータ・セットである場合。

    作成が許可されると、RACF はそのデータ・セットの個別プロファイルを 作成します。

  • REQUEST=DEFINE プリプロセス出口ルーチンを使用して、RACF 保護を行う。
  • ユーザーが OPERATIONS 属性を持っている。ユーザーがグループ OPERATIONS 属性を持っている場合 (つまり、ユーザーが OPERATIONS 属性を持つグループに接続されている場合)、新規データ・セット の高位修飾子はグループのスコープ内にあるユーザーの ID でなければなりま せん。
以下の状況において、ユーザーは新しいグループ・データ・ セットを作成できます。
  • データ・セット名は既存の総称プロファイルによって保護されていて、ユーザーが ADSP を持っていない場合。
    以下のうちで 1 つ以上該当するものがある場合に、作成が許可されます。
    • ユーザーが、総称プロファイルまたはグローバル・アクセス検査を介してデータ・ セットに対する ALTER 権限を持っている場合。
    • ユーザーがそのグループ内での CREATE 権限を持っている場合。

    RACF はプロファイルを生成しません。

  • データ・セット名が既存の総称プロファイルによって保護されておらず、ユーザーが ADSP を持っていない場合。

    PROTECTALL が有効でない場合、作成は許可されますが、RACF はプロファイル を作成しません。注 2 を参照してください。

  • ユーザーが ADSP を持っており、そのユーザーがメンバーであるグループ にデータ・セットが属している場合。

    作成が許可されるのは、ユーザーがそのグループに CREATE 権限を持っている場合 に限ります。作成が許可されると、RACF はそのデータ・セットの個別プロファイルを作成します。

  • REQUEST=DEFINE プリプロセス出口ルーチンを使用して、RACF 保護を行う。
  • 以下の両方が真である場合を除き、ユーザーは OPERATIONS 属性を持っています。
    1. ユーザーが CREATE 権限よりも低い権限でグループに接続されている。
    2. データ・セットが総称プロファイルで保護されている場合、データ・セットに対してユーザーが ALTER アクセスよりも低い権限を持っている。

    ユーザーがグループ OPERATIONS 属性を持っている場合 (つまり、ユーザーが OPERATIONS 属性を持つ上位グループに接続されている場合)、新規データ・セット が作成されるグループは上位グループの効力範囲内になければなりません。

PROTECTALL が有効になっていない場合、ADSP がないユーザーは、高位修飾子が RACF ユーザー ID (ユーザー・データ・セット) でも RACF グループ名 (グループ・データ・セット) でもないデータ・セットを作成できますが、そのデータ・セットは RACF 保護できません。これらのデータ・セットの高位修飾子に対してダミー・グループ (ユーザー が 1 つもそれに接続されていないグループ) が定義されると、そのデータ・セットは RACF 保護可能になることに注意してください。
注:
  1. すべての場合において、ユーザーが、JCL DD ステートメントで PROTECT=YES パラメーターまたは SECMODEL パラメーター、TSO ALLOCATE コマンドに PROTECT オペランドまたは SECMODEL オペランド (これらのオペランドは、RACF に個別プロファイルの作成を要求する) を指定する場合、RACF はそのユーザーを ADSP を持つユーザーと同じように取り扱います。ただし、これらのオペランドの使用は任意指定であるため、インストール・システムで オペランドを使用してもデータ・セットの作成を制御できない可能性があります。
  2. インストール・システムで PROTECTALL が有効である場合、個別または総称プロファイルのいずれかで、データ・セットが RACF 保護されていない限り、ユーザーは新しいデータ・セットを作成することはできません。ただし、無保護データ・セットの作成要求をすべてリジェクトする代わりに、PROTECTALL は、インストール・システムが警告メッセージを出すようにすることもできます。PROTECTALL オプションの詳細については、RACF 保護された全データ・セット (PROTECTALL オプション)を参照してください。
親トピック: データ・セットの保護