Oracle Cloud Infrastructureドキュメント

ADMINユーザーのロールおよび権限

Autonomous Databaseでは、事前定義済の管理ユーザーはADMINで、このアカウントにはユーザーの管理およびデータベースの管理権限があります。

ADMINユーザーを使用してアカウントを作成し、ユーザーがデータベースに接続するための権限を付与することをお薦めします。詳細は、ユーザー管理を参照してください。

セキュリティを維持するために、SYSDBA権限はADMINユーザーに付与されず、限られた数のシステム権限がADMINに付与されます。次の問合せでは、ADMINユーザーに付与されていないSYSに付与された権限を示します。

SELECT privilege FROM dba_sys_privs WHERE grantee='SYS' MINUS
    SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;

ADMINユーザーGRANT ANY制限

GRANT ANY PRIVILEGEシステム権限はADMINユーザーには使用できません。かわりに、GRANT ANY OBJECT PRIVILEGEGRANT ANY SCHEMA PRIVILEGEまたはGRANT ANY ROLEを使用します。

システム権限 摘要
GRANT ANY OBJECT PRIVILEGE

これにより、いくつかの例外を除いて、SYSが所有するオブジェクトを含むオブジェクトに対するオブジェクト権限を付与できます。Autonomous Databaseでは、GRANT ANY OBJECT PRIVILEGEは顧客が作成したユーザー・スキーマに対してのみ実行でき、セキュリティを確保するために、SYSTEMやSYSなどのOracle管理スキーマなどに対しては実行できません。

ORA-1031/942エラーは、ADMINによって権限を付与できないことを示します。

GRANT ANY PRIVILEGE

これにより、SYSDBAなどの管理権限を除くすべてのシステム権限を付与できます。ADMINユーザーにはSYSDBA権限がありません(システム権限のリストが付与されるのではなく)。次の問合せを使用して、ADMIN権限をリストします。

SELECT privilege FROM dba_sys_privs WHERE grantee = 'ADMIN' ORDER BY 1;
GRANT ANY ROLE

これにより、ユーザーおよびユーザー・ロールにロールを付与できます。Autonomous Databaseでは、GRANT ANY ROLEは顧客が作成したロールに対してのみ実行できます。WITH ADMIN OPTIONでADMINユーザーに付与されない権限(DBA EXP_FULL_DATABASEなど)は、ADMINユーザーが付与できません。

ORA-1031エラーは、ADMINによってロールを付与できないことを示します。

データ・ディクショナリのロールおよびビューの制限

SELECT ANY DICTIONARYを付与しても、SYS/SYSTEMスキーマにはアクセスできません。必要に応じて、すべてのデータ・ディクショナリ・ビューに対するSELECT権限を許可するSELECT_CATALOG_ROLEを付与できます。