Procédures stockées pour l'octroi et la révocation de privilèges pour RDS pour Db2 - Amazon Relational Database Service
rdsadmin.create_rolerdsadmin.grant_rolerdsadmin.revoke_rolerdsadmin.drop_rolerdsadmin.add_userrdsadmin.change_passwordrdsadmin.list_usersrdsadmin.remove_userrdsadmin.add_groupsrdsadmin.remove_groupsrdsadmin.dbadm_grantrdsadmin.dbadm_revokerdsadmin.set_sid_group_mappingrdsadmin.list_sid_group_mappingrdsadmin.remove_sid_group_mapping

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Procédures stockées pour l'octroi et la révocation de privilèges pour RDS pour Db2

Les procédures stockées intégrées décrites dans cette rubrique gèrent les utilisateurs, les rôles, les groupes et les autorisations pour les bases de données Amazon RDS for Db2. Pour exécuter ces procédures, l'utilisateur principal doit d'abord se connecter à la rdsadmin base de données.

Pour les tâches utilisant ces procédures stockées, reportez-vous aux sections Octroi et révocation de privilèges etConfiguration de Kerberos l'authentification.

Reportez-vous aux procédures stockées intégrées suivantes pour obtenir des informations sur leur syntaxe, leurs paramètres, leurs notes d'utilisation et des exemples.

rdsadmin.create_role

Crée un rôle.

Syntaxe

db2 "call rdsadmin.create_role(
    'database_name',
    'role_name')"

Paramètres

Les paramètres suivants sont obligatoires :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

role_name

Nom du rôle que vous souhaitez créer. Le type de données estvarchar.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de création d'un rôle, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant crée un rôle appelé base MY_ROLE de donnéesDB2DB.

db2 "call rdsadmin.create_role(
    'DB2DB',
    'MY_ROLE')"

rdsadmin.grant_role

Attribue un rôle à un rôle, à un utilisateur ou à un groupe.

Syntaxe

db2 "call rdsadmin.grant_role(
    ?,
    'database_name',
    'role_name',
    'grantee',
    'admin_option')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètres qui génère l'identifiant unique de la tâche. Ce paramètre accepte uniquement?.

Les paramètres d'entrée suivants sont requis :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

role_name

Nom du rôle que vous souhaitez créer. Le type de données estvarchar.

grantee

Rôle, utilisateur ou groupe devant recevoir l'autorisation. Le type de données estvarchar. Valeurs valides: ROLE, USER, GROUP, PUBLIC.

Le format doit être une valeur suivie d'un nom. Séparez les valeurs et les noms multiples par des virgules. Exemple : « USER user1, user2, GROUP group1, group2 ». Remplacez les noms par vos propres informations.

Le paramètre d'entrée suivant est facultatif :

admin_option

Spécifie si le bénéficiaire ROLE est DBADM autorisé à attribuer des rôles. Le type de données estchar. L’argument par défaut est N.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de l'attribution d'un rôle, consultezrdsadmin.get_task_status.

Exemples

Exemple 1 : attribution d'un rôle à un rôle, à un utilisateur et à un groupe, et octroi d'une autorisation

L'exemple suivant attribue un rôle appelé base ROLE_TEST de données TESTDB au rôle appelérole1, à l'utilisateur appelé user1 et au groupe appelégroup1. ROLE_TESTreçoit l'autorisation d'administrateur pour attribuer des rôles.

db2 "call rdsadmin.grant_role(
    ?,
    'TESTDB',
    'ROLE_TEST',
    'ROLE role1, USER user1, GROUP group1',
    'Y')"

Exemple 2 : Attribuer un rôle à PUBLIC et ne pas accorder d'autorisation

L'exemple suivant attribue un rôle appelé base ROLE_TEST de données TESTDB àPUBLIC. ROLE_TESTn'a pas l'autorisation d'administrateur d'attribuer des rôles.

db2 "call rdsadmin.grant_role(
    ?,
    'TESTDB',
    'ROLE_TEST',
    'PUBLIC')"

rdsadmin.revoke_role

Révoque un rôle d'un rôle, d'un utilisateur ou d'un groupe.

Syntaxe

db2 "call rdsadmin.revoke_role(
    ?,
    'database_name',
    'role_name',
    'grantee')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètres qui génère l'identifiant unique de la tâche. Ce paramètre accepte uniquement ?.

Les paramètres d'entrée suivants sont requis :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

role_name

Nom du rôle que vous souhaitez révoquer. Le type de données estvarchar.

grantee

Le rôle, l'utilisateur ou le groupe à qui l'autorisation doit être perdue. Le type de données estvarchar. Valeurs valides: ROLE, USER, GROUP, PUBLIC.

Le format doit être une valeur suivie d'un nom. Séparez les valeurs et les noms multiples par des virgules. Exemple : « USER user1, user2, GROUP group1, group2 ». Remplacez les noms par vos propres informations.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de révocation d'un rôle, consultezrdsadmin.get_task_status.

Exemples

Exemple 1 : Révocation du rôle d'un rôle, d'un utilisateur ou d'un groupe

L'exemple suivant révoque un rôle appelé base ROLE_TEST de données TESTDB du rôle appelérole1, de l'utilisateur appelé user1 et du groupe appelégroup1.

db2 "call rdsadmin.revoke_role(
    ?,
    'TESTDB',
    'ROLE_TEST',
    'ROLE role1, USER user1, GROUP group1')"

Exemple 2 : Révocation du rôle de PUBLIC

L'exemple suivant révoque un rôle appelé ROLE_TEST database TESTDB fromPUBLIC. 

db2 "call rdsadmin.revoke_role(
    ?,
    'TESTDB',
    'ROLE_TEST',
    'PUBLIC')"

rdsadmin.drop_role

Supprime un rôle.

Syntaxe

db2 "call rdsadmin.drop_role(
    ?,
    'database_name',
    'role_name')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètres qui génère l'identifiant unique de la tâche. Ce paramètre accepte uniquement ?.

Les paramètres d'entrée suivants sont requis :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

role_name

Nom du rôle que vous souhaitez supprimer. Le type de données estvarchar.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de suppression d'un rôle, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant supprime un rôle appelé base ROLE_TEST de donnéesTESTDB.

db2 "call rdsadmin.drop_role(
    ?,
    'TESTDB',
    'ROLE_TEST')"

rdsadmin.add_user

Ajoute un utilisateur à une liste d'autorisations.

Syntaxe

db2 "call rdsadmin.add_user(
    'username',
    'password',
    'group_name,group_name')"

Paramètres

Les paramètres suivants sont obligatoires :

username

Le nom d'utilisateur d'un utilisateur. Le type de données estvarchar.

password

Le mot de passe d'un utilisateur. Le type de données estvarchar.

Le paramètre suivant est facultatif :

group_name

Le nom du groupe auquel vous souhaitez ajouter l'utilisateur. Le type de données estvarchar. La valeur par défaut est une chaîne vide ou nulle.

Notes d’utilisation

Vous pouvez ajouter un utilisateur à un ou plusieurs groupes en séparant les noms des groupes par des virgules.

Vous pouvez créer un groupe lorsque vous créez un nouvel utilisateur ou lorsque vous ajoutez un groupe à un utilisateur existant. Vous ne pouvez pas créer un groupe tout seul.

Note

Le nombre maximum d'utilisateurs que vous pouvez ajouter en appelant rdsadmin.add_user est de 5 000.

Pour plus d'informations sur la vérification de l'état de l'ajout d'un utilisateur, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant crée un utilisateur appelé jorge_souza et l'affecte aux groupes appelés sales etinside_sales.

db2 "call rdsadmin.add_user(
    'jorge_souza',
    '*******',
    'sales,inside_sales')"

rdsadmin.change_password

Modifie le mot de passe d'un utilisateur.

Syntaxe

db2 "call rdsadmin.change_password(
    'username',
    'new_password')"

Paramètres

Les paramètres suivants sont obligatoires :

username

Le nom d'utilisateur d'un utilisateur. Le type de données estvarchar.

new_password

Nouveau mot de passe pour l'utilisateur. Le type de données estvarchar.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de modification d'un mot de passe, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant modifie le mot de passe dejorge_souza.

db2 "call rdsadmin.change_password(
    'jorge_souza',
    '*******')"

rdsadmin.list_users

Répertorie les utilisateurs sur une liste d'autorisation.

Syntaxe

db2 "call rdsadmin.list_users()"

Notes d’utilisation

Pour plus d'informations sur la vérification du statut des utilisateurs de la liste, consultezrdsadmin.get_task_status.

rdsadmin.remove_user

Supprime l'utilisateur de la liste d'autorisation.

Syntaxe

db2 "call rdsadmin.remove_user('username')"

Paramètres

Les paramètres suivants sont obligatoires :

username

Le nom d'utilisateur d'un utilisateur. Le type de données estvarchar.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de suppression d'un utilisateur, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant supprime l'accès aux bases jorge_souza de données dans RDS pour les instances de base de données DB2.

db2 "call rdsadmin.remove_user('jorge_souza')"

rdsadmin.add_groups

Ajoute des groupes à un utilisateur.

Syntaxe

db2 "call rdsadmin.add_groups(
    'username',
    'group_name,group_name')"

Paramètres

Les paramètres suivants sont obligatoires :

username

Le nom d'utilisateur d'un utilisateur. Le type de données estvarchar.

group_name

Le nom du groupe auquel vous souhaitez ajouter l'utilisateur. Le type de données estvarchar. La valeur par défaut est une chaîne vide.

Notes d’utilisation

Vous pouvez ajouter un ou plusieurs groupes à un utilisateur en séparant les noms des groupes par des virgules. Pour plus d'informations sur la vérification de l'état de l'ajout de groupes, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant ajoute les b2b_sales groupes direct_sales et à l'utilisateurjorge_souza. 

db2 "call rdsadmin.add_groups(
    'jorge_souza',
    'direct_sales,b2b_sales')"

rdsadmin.remove_groups

Supprime des groupes d'un utilisateur.

Syntaxe

db2 "call rdsadmin.remove_groups(
    'username',
    'group_name,group_name')"

Paramètres

Les paramètres suivants sont obligatoires :

username

Le nom d'utilisateur d'un utilisateur. Le type de données estvarchar.

group_name

Nom du groupe dont vous souhaitez supprimer l'utilisateur. Le type de données estvarchar.

Notes d’utilisation

Vous pouvez supprimer un ou plusieurs groupes d'un utilisateur en séparant les noms des groupes par des virgules.

Pour plus d'informations sur la vérification de l'état de suppression de groupes, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant supprime les b2b_sales groupes direct_sales et de l'utilisateurjorge_souza. 

db2 "call rdsadmin.remove_groups(
    'jorge_souza',
    'direct_sales,b2b_sales')"

rdsadmin.dbadm_grant

DBADMAccorde ACCESSCTRL ou DATAACCESS autorisation à un rôle, à un utilisateur ou à un groupe.

Syntaxe

db2 "call rdsadmin.dbadm_grant(
    ?,
    'database_name',
    'authorization',
    'grantee')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètres qui génère l'identifiant unique de la tâche. Ce paramètre accepte uniquement?.

Les paramètres d'entrée suivants sont requis :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

authorization

Type d'autorisation à accorder. Le type de données estvarchar. Valeurs valides : DBADM, ACCESSCTRL, DATAACCESS.

Séparez les différents types par des virgules.

grantee

Rôle, utilisateur ou groupe devant recevoir l'autorisation. Le type de données estvarchar. Valeurs valides : ROLE, USER, GROUP.

Le format doit être une valeur suivie d'un nom. Séparez les valeurs et les noms multiples par des virgules. Exemple : « USER user1, user2, GROUP group1, group2 ». Remplacez les noms par vos propres informations.

Notes d’utilisation

Le rôle pour bénéficier de l'accès doit exister.

Pour plus d'informations sur la vérification de l'état de l'octroi de l'accès administrateur à la base de données, consultezrdsadmin.get_task_status.

Exemples

Exemple 1 : Octroi à un administrateur de base de données d'un accès à un rôle

L'exemple suivant accorde à l'administrateur de base de données l'accès à la base de données nommée TESTDB pour le rôleROLE_DBA.

db2 "call rdsadmin.dbadm_grant(
    ?, 
    'TESTDB',
    'DBADM',
    'ROLE ROLE_DBA')"

Exemple 2 : Octroi d'un accès administrateur de base de données à un utilisateur et à un groupe

L'exemple suivant accorde à l'administrateur de base de données l'accès à la base de données nommée TESTDB pour user1 etgroup1.

db2 "call rdsadmin.dbadm_grant(
    ?, 
    'TESTDB', 
    'DBADM', 
    'USER user1, GROUP group1')"

Exemple 3 : Octroi d'un accès d'administrateur de base de données à plusieurs utilisateurs et groupes

L'exemple suivant accorde à l'administrateur de base de données l'accès à la base de données nommée TESTDB pour user1 user2group1,, etgroup2.

db2 "call rdsadmin.dbadm_grant(
    ?, 
    'TESTDB', 
    'DBADM', 
    'USER user1, user2, GROUP group1, group2')"

rdsadmin.dbadm_revoke

Révoque DBADM ou DATAACCESS autorise un rôle, un utilisateur ou un groupe. ACCESSCTRL

Syntaxe

db2 "call rdsadmin.dbadm_revoke(
    ?,
    'database_name',
    'authorization',
    'grantee')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Identifiant unique de la tâche. Ce paramètre accepte uniquement?.

Les paramètres d'entrée suivants sont requis :

database_name

Nom de la base de données sur laquelle la commande sera exécutée. Le type de données estvarchar.

authorization

Type d'autorisation à révoquer. Le type de données estvarchar. Valeurs valides : DBADM, ACCESSCTRL, DATAACCESS.

Séparez les différents types par des virgules.

grantee

Le rôle, l'utilisateur ou le groupe dont l'autorisation doit être révoquée. Le type de données estvarchar. Valeurs valides : ROLE, USER, GROUP.

Le format doit être une valeur suivie d'un nom. Séparez les valeurs et les noms multiples par des virgules. Exemple : « USER user1, user2, GROUP group1, group2 ». Remplacez les noms par vos propres informations.

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état de la révocation de l'accès administrateur de base de données, consultezrdsadmin.get_task_status.

Exemples

Exemple 1 : Révocation de l'accès à un rôle d'administrateur de base de données

L'exemple suivant révoque l'accès de l'administrateur de base de données à la base de données nommée TESTDB pour le rôleROLE_DBA.

db2 "call rdsadmin.dbadm_revoke(
    ?, 
    'TESTDB',
    'DBADM',
    'ROLE ROLE_DBA')"

Exemple 2 : Révocation de l'accès administrateur de base de données à un utilisateur ou à un groupe

L'exemple suivant révoque l'accès de l'administrateur de base de données à la base de données nommée TESTDB pour user1 etgroup1.

db2 "call rdsadmin.dbadm_revoke(
    ?, 
    'TESTDB', 
    'DBADM', 
    'USER user1, GROUP group1')"

Exemple 3 : Révocation de l'accès administrateur de base de données à plusieurs utilisateurs et groupes

L'exemple suivant révoque l'accès de l'administrateur de base de données à la base de données nommée TESTDB pour user1user2,group1, etgroup2.

db2 "call rdsadmin.dbadm_revoke(
    ?, 
    'TESTDB', 
    'DBADM', 
    'USER user1, user2, GROUP group1, group2')"

rdsadmin.set_sid_group_mapping

Crée un mappage entre un ID de sécurité (SID) et le groupe Active Directory correspondant.

Syntaxe

db2 "call rdsadmin.set_sid_group_mapping(
    ?,
    'SID',
    'group_name')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètre qui génère un message d'erreur. Ce paramètre accepte uniquement?.

Les paramètres d'entrée suivants sont requis :

SID

L'ID de sécurité (SID). Le type de données estvarchar.

group_name

Nom du groupe Active Directory à mapper au SID. Le type de données estvarchar.

Notes d’utilisation

Utilisez cette procédure stockée pour activer l'authentification Kerberos auprès des groupes Active Directory. Si le SID ou existe group_name déjà dans le mappage, cette procédure stockée échoue.

Pour plus d'informations sur la manière de trouver le SID d'un groupe, consultezÉtape 8 : récupérer le SID du groupe Active Directory dans PowerShell.

Pour plus d'informations sur la vérification de l'état de création d'un mappage, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant associe un SID à un groupe appelémy_group.

db2 "call rdsadmin.set_sid_group_mapping(
    ?,
    'S-1-5-21-9146495592-531070549-834388463-513',
    'my_group')"

rdsadmin.list_sid_group_mapping

Répertorie tous les mappages d'ID de sécurité (SID) et de groupes Active Directory configurés sur l'instance de base de données.

Syntaxe

db2 "call rdsadmin.list_sid_group_mapping()"

Notes d’utilisation

Pour plus d'informations sur la vérification de l'état des mappages de listes, consultezrdsadmin.get_task_status.

rdsadmin.remove_sid_group_mapping

Supprime un ID de sécurité (SID) et le mappage de groupe Active Directory correspondant d'une instance de base de données.

Syntaxe

db2 "call rdsadmin.remove_sid_group_mapping(
    ?,
    'SID')"

Paramètres

Le paramètre de sortie suivant est requis :

?

Marqueur de paramètre qui génère un message d'erreur. Ce paramètre accepte uniquement?.

Le paramètre d'entrée suivant est obligatoire :

SID

L'ID de sécurité (SID). Le type de données estvarchar.

Notes d’utilisation

Pour plus d'informations sur la manière de trouver le SID d'un groupe, consultezÉtape 8 : récupérer le SID du groupe Active Directory dans PowerShell.

Pour plus d'informations sur la vérification de l'état de suppression des mappages, consultezrdsadmin.get_task_status.

Exemples

L'exemple suivant supprime un mappage SID du groupe auquel il a été mappé.

db2 "call rdsadmin.remove_sid_group_mapping(
    ?,
    'S-1-5-21-9146495592-531070549-834388463-513')"