GRANT

説明

このステートメントは、指定されたユーザーまたはロールに対応する権限を付与する、またはロールをユーザーまたはロールに付与するために使用されます。

制限事項と注意点

ループ状のGRANT操作はサポートされていません。例えば、ロールAがロールBに権限を付与し、ロールBがロールCに権限を付与した場合、ロールCがロールAに権限を付与しようとするとエラーが発生します。

権限要件

オブジェクト権限をユーザーに付与するための権限要件

• GRANT ステートメントを実行する際、現在のユーザーは付与される権限を持っていなければなりません。例えば、ユーザー user1 がユーザー user2 にテーブル tbl1 の SELECT 権限を付与したい場合、ユーザー user1 はテーブル tbl1 の SELECT 権限を持っている必要があります。

• GRANT ステートメントを実行する際、現在のユーザーは GRANT OPTION 権限を持っていなければなりません。OceanBaseデータベースの権限の詳細については、MySQLモードの権限分類を参照してください。

ロールをユーザーまたは他のロールに付与するための権限要件

• 現在のユーザーが SUPER 権限を持っている場合、すべてのロールを GRANT できます。
• ロールを他のユーザーまたはロールに付与する際、現在のユーザーは付与されるロールを持ち、かつ ADMIN OPTION 権限を持っている必要があります。現在のユーザーが持つ権限の確認方法については、ユーザー権限の確認を参照してください。

構文

オブジェクト権限をユーザーまたはロールに付与する

GRANT priv_type[(column_name_list)] [, priv_type[(column_name_list)] ...]
    ON [object_type] priv_level
    TO {user [, user...]}
    [WITH GRANT OPTION];

column_name_list:
    column_name [, column_name ...]

object_type:
    TABLE
    | FUNCTION
    | PROCEDURE
    | CATALOG

user:
    user_or_role
    | user_name IDENTIFIED [WITH auth_plugin] BY password
    | user_name IDENTIFIED [WITH auth_plugin] BY PASSWORD password

user_or_role:
    user_name | role_name

ロールをユーザーまたはロールに付与する

GRANT role_name [, role_name ...]
    TO user_or_role [, user_or_role ...]
    [WITH ADMIN OPTION];

user_or_role:
    user_name | role_name

パラメータの説明

object_type

• TABLE：権限が適用されるオブジェクトのタイプがテーブルであることを示します。

• FUNCTION：権限が適用されるオブジェクトのタイプが関数であることを示します。

• PROCEDURE：権限が適用されるオブジェクトのタイプがストアドプロシージャであることを示します。

• CATALOG：権限が適用されるオブジェクトのタイプがカタログであることを示します。

  説明

  OceanBaseデータベースV4.3.5では、権限が適用されるオブジェクトのタイプは、V4.3.5 BP2バージョンから CATALOG が導入されました。

例：

• user001 に test データベース内のすべてのオブジェクトに対する SELECT 権限を付与します。指定されたオブジェクトが指定されたタイプではないため、エラーが報告されます。

  GRANT SELECT ON TABLE test.* TO user001;
  

  実行結果は次のとおりです：

  ERROR 1144 (42000): Illegal GRANT/REVOKE command; please consult the manual to see which privileges can be used
  

• user001 に test データベース内のテーブル tbl1 に対する SELECT 権限を付与します。

  GRANT SELECT ON TABLE test.tbl1 TO user001;
  

• user002 に test データベース内の関数 calculate_salary の実行権限を付与します。

  GRANT EXECUTE ON FUNCTION test.calculate_salary TO user002;
  

• user003 に test データベース内のストアドプロシージャ pro_generate_data の実行権限を付与します。

  GRANT EXECUTE ON PROCEDURE test.pro_generate_data TO user003;
  

• user004 にカタログのオブジェクト test_odps_catalog に対する SELECT および USE CATALOG 権限を付与します。

  GRANT SELECT, USE CATALOG ON CATALOG test_odps_catalog TO user004 WITH GRANT OPTION;
  

例

例1：オブジェクトに権限を付与する

• 既存のユーザーuser1にデータベースdb1のCREATE VIEW権限を付与し、他のユーザーに同じ権限を再付与できるように設定します。

  GRANT CREATE VIEW ON db1.* TO user1 WITH GRANT OPTION;
  

• 既存のユーザーuser1にデータベースdb1のCREATE権限を付与し、user1のパスワードを変更します。

  GRANT CREATE ON db1.* TO user1 IDENTIFIED by '********';
  

  実行後にmysql.userテーブルのuser1ユーザーのパスワードを確認すると、最新に設定されたパスワードに更新されていることがわかります。

• 存在しないユーザーuser2にデータベースdb1のCREATE権限を付与し、user2にパスワードを設定します。

  GRANT CREATE ON db1.* TO user2 IDENTIFIED by '********';
  

• 既存のユーザーuser001にデータベースtest内のテーブルtbl1の列col1に対するSELECT権限を付与します。

  GRANT SELECT(col1) ON test.tbl1 TO user001;
  

• ユーザーuser005にグローバルレベルのCREATE CATALOGおよびUSE CATALOG権限を付与します。

  GRANT CREATE CATALOG, USE CATALOG ON *.* TO user004 WITH GRANT OPTION;
  

例2：ロールをユーザーまたは別のロールに付与する

• ロールrole001の権限をロールrole002に付与し、再付与を許可します。

  GRANT role001 TO role002 WITH ADMIN OPTION;
  

• ロールrole001の権限をユーザーuser001に付与し、再付与を許可します。

  GRANT role001 TO user001 WITH ADMIN OPTION;
  

関連ドキュメント

• ユーザーに権限を付与する操作については、権限の付与を参照してください。
• ユーザー権限を確認する操作については、ユーザー権限の確認を参照してください。
• mysql.userテーブルから作成されたユーザー情報を確認できます。mysql.userテーブルの詳細については、mysql.userを参照してください。
• ロールに権限の追加
• ロールのユーザーまたはロールへの付与
• ロールの有効化
• 間接的な権限付与