IBM Cloud Docs
ユーザーの管理

ユーザーの管理

お客様のアカウントに属するユーザーの IBM® Db2® on Cloud サービス・インスタンスへのアクセスは IBM Cloud の ID およびアクセス管理 (IAM) によって制御され、データベース・アクセスはデータベースが備えている標準アクセス制御によって決定されます。

IAM について詳しくは、IBM Cloud Identity and Access Management とは何ですか? を参照してください。

ユーザー・タイプ

データベース・ユーザー

これは、データベースへのアクセスに使用されるユーザーです。 従来型の標準的な Db2 実装環境では OS ユーザーと同じですが、クラウドではユーザー・レジストリーが使用されます。 Db2 はそこに登録されたユーザーをデータベースのネイティブ・ユーザーとして認識します。 ユーザーのデータベース特権も、ユーザーによって作成された役割も、付与したり取り消したりすることができます。

データベース・ユーザーにはサービス・レベルの機能は付与されません。 例えば、データに対するアクセス権限があるデータベース管理者は、付与されたデータベース特権の範囲を超えてシステムの構成を変更することはできません。

IAM ユーザー

IAM は、Db2 on Cloud コンソールおよびデータベースで使用可能な特権と操作を管理する上位のサービス・アクセス権限とのみ統合されます。 これらの IAM ユーザーによるデータベースへのアクセスは、前述のように、特定の Db2 ユーザーに対するアクセスを、IAM ユーザーまたはサービス ID に許可することによって提供されます。

役割とアクセス権限

ユーザーは、JDBC または任意の Db2 クライアントを使用してデータベースに接続できます。 ユーザーがデータベースにアクセスするための次の 2 つの方法があります。

  • 自分のアカウントに関連付けられたデータベース・ユーザー名とパスワードを使用する
  • 関連付けられたデータベース・ユーザーにマップされている IAM トークン (またはトークンを取得する API キー) を使用する

IAM 認証は認証メカニズムとして行われます。 IAM によって許可が制御されるわけではありません。 許可は、関連付けられたユーザーのデータベース・レベルの特権によって制御されます。

コンソール・アクセス

コンソール・アクセスは IAM によって制御されます。 すべての Db2 サービス・インスタンス、1 つのリソース・グループ内のすべての Db2 サービス・インスタンス、または特定のサービス・インスタンスに対するアクセス権限を、IAM インターフェースを使用して IAM ユーザーに割り当てることができます。 これらのパラメーターの範囲で、プラットフォーム・レベルとサービス・レベルのアクセス権限を IAM ユーザーに割り当てることができます。

表 1. 役割とコンソールの権限
役割 ユーザー管理 SQL エディター/表 情報のモニター 設定 (スケール、バックアップ、DR などを含む) 情報パネル
IAM - プラットフォーム - ビューアー いいえ いいえ (Db2 ユーザーにマップされていない場合) ある いいえ ある
IAM - プラットフォーム - オペレーター いいえ いいえ (Db2 ユーザーにマップされていない場合) ある ある ある
IAM - プラットフォーム - エディター いいえ いいえ (Db2 ユーザーにマップされていない場合) ある ある ある
IAM - プラットフォーム - 管理者 ある いいえ (Db2 ユーザーにマップされていない場合) ある ある ある
非 IAM、ただし JDBC での認証 「パスワードの変更」のみ ある いいえ いいえ ある

サービス・アクションのマッピング

サービス・アクション・アクセスも IAM 役割によって制御されます。 すべての Db2 サービス・インスタンス、1 つのリソース・グループ内のすべての Db2 サービス・インスタンス、または特定のサービス・インスタンスに対するアクセス権限を、IAM インターフェースを使用して IAM ユーザーに割り当てることができます。 これらのパラメーターの範囲で、IAM ユーザーに、指定のサービス・アクションからのアクセスを割り当てたり取り消したりすることができます。

表 2. 役割とサービス・アクション
役割 ユーザーの管理 スケール 複製 リストア DR 設定 Backup Monitor 設定の表示
IAM - プラットフォーム - ビューアー いいえ いいえ いいえ いいえ いいえ いいえ いいえ ある ある
IAM - プラットフォーム - オペレーター いいえ ある いいえ ある ある ある ある ある ある
IAM - プラットフォーム - エディター いいえ ある ある ある ある ある ある ある ある
IAM - プラットフォーム - 管理者 ある ある ある ある ある ある ある ある ある

ユーザー管理について詳しくは、 データベース・ユーザー管理 を参照してください。