アクセス・ポリシーと通信セキュリティー

テキスト検索サーバーのファイル・アクセスに関する考慮事項

テキスト・サーバー・プロセスのプロセス所有者には、構成データ、およびカスタム・コレクション・ディレクトリーにあるコレクションを含むすべてのコレクション・データに対する読み取り権限および書き込み権限が必要です。

プロセス所有者は、統合テキスト・サーバーの場合はインスタンス所有者であり、スタンドアロン・テキスト・サーバーの場合は開始コマンドでテキスト・サーバーを開始するユーザーです。

コレクションには、ファイルを直接開いたときに、部分的に読み取れる機密データが含まれる場合があります。 無許可アクセスを防ぐには、構成ディレクトリーとコレクション・ディレクトリーへのアクセス権限を確認して更新し、テキスト・サーバーのプロセス所有者だけがファイルにアクセスできるようにします。

ステージング表のアクセス・ポリシー

テキスト索引に適用する必要がある変更を識別するために、変更 (挿入、更新、削除) された行の主キーがステージング表に挿入されます。

主キーは、機密データを含む基本表のデータ列に基づいている場合があります。 デフォルトでは、SYSTS_ADM ロールと SYSTS_MGR ロールを持つユーザー、および (いくつかの制限がある) SYSTS_USR ロールを持つユーザーに、少なくともステージング表の内容に対する読み取り権限があります。 基本表のアクセス・ポリシーおよび監査ポリシーは、ステージング表には継承されません。 特定のステージング表へのアクセスにさらに制限が必要な場合、セキュリティー管理者は、ロールが持つ、特定の表への読み取り権限を取り消し、特定のテキスト索引を管理するユーザーまたはカスタム・ロールにその権限を付与する必要があります。

スタンドアロンのセットアップ

Db2®は、スタンドア Db2 と通信するためにTCP/IPを使用します。 SSL または IBM Global Security Kit (GSKit)のサポートは利用できませんが、暗号化チャネルは stunnel プログラムまたは SSH トンネリングを通じて使用できます。 セキュリティー要件に応じて、文書リポジトリーとテキスト検索索引ファイルへのアクセスを制限してください。 スタンドアロン・テキスト検索サーバーは、テキスト検索索引への無許可アクセスを防ぐため、ファイアウォールの内側にある、セキュアなネットワーク接続を行うコンピューター上にインストールする必要があります。 スタンドアロン・テキスト検索サーバーに TCP/IP アクセス制限を設定することで、データベース・サーバーがインストールされているホストによってのみアクセスできるようになります。