セキュリティロール (Analysis Services-多次元データ)
適用対象:
SQL Server Analysis Services 
Azure Analysis Services Power BI Premium
ロールは、Microsoft SQL Server Analysis Services で Analysis Services オブジェクトとデータのセキュリティを管理するために使用されます。 基本的に、ロールは、Analysis Services のインスタンスによって管理されるオブジェクトに対して定義されている特定のアクセス権とアクセス許可を持つ、Microsoft Windows のユーザーおよびグループのセキュリティ識別子 (sid) を関連付けます。 Analysis Services には、次の2種類のロールが用意されています。
サーバーロール。 Analysis Services のインスタンスへの管理者アクセスを提供する固定ロールです。
データベース ロール。管理者以外のユーザーによるオブジェクトやデータへのアクセスを制御するために、管理者によって定義されるロールです。
Microsoft SQL Server Analysis Services セキュリティのセキュリティは、ロールとアクセス許可を使用して管理されます。 ロールはユーザーのグループです。 ユーザー (メンバーとも呼ばれる) はロールに追加したり、ロールから削除したりできます。 オブジェクトに対する権限はロールによって指定されます。ロールのすべてのメンバーは、そのロールが権限を持つオブジェクトを使用できます。 ロールのすべてのメンバーは、オブジェクトに対して等しい権限を持ちます。 権限はオブジェクトに対して適用されます。 各オブジェクトは、そのオブジェクトに対して許可された権限のコレクションを持ちます。複数の異なる権限セットを 1 つのオブジェクトに付与できます。 オブジェクトの権限コレクションに含まれる各権限には、1 つのロールが割り当てられています。
Role オブジェクトと Role Member オブジェクト
ロールは、ユーザー (メンバー) のコレクションを格納するオブジェクトです。 ロールの定義により、Analysis Services のユーザーのメンバーシップが確立されます。 権限はロールに基づいて割り当てられます。したがって、ユーザーがオブジェクトにアクセスするためには、いずれかのロールのメンバーになる必要があります。
Role オブジェクトは、Name、ID、および Members の各パラメーターで構成されます。 Members は文字列のコレクションです。 各メンバーには "domain\username" という形式のユーザー名が含まれます。 Name はロールの名前を表す文字列です。 ID はロールの一意な識別子を表す文字列です。
サーバー ロール
Analysis Services サーバーロールは、Analysis Services のインスタンスへの Windows ユーザーおよびグループの管理アクセスを定義します。 このロールのメンバーは、Analysis Services のインスタンス上のすべての Analysis Services データベースおよびオブジェクトにアクセスでき、次のタスクを実行できます。
データベースの作成やサーバーレベルのプロパティの設定など、SQL Server Management Studio または SQL Server Data Tools を使用して、サーバーレベルの管理機能を実行します。
分析管理オブジェクト (AMO) を使用して、プログラムで管理機能を実行する。
Analysis Services データベースロールを維持します。
トレースを開始する (プロセス アクセス権を持つデータベース ロールによって実行可能な処理イベントを除く)。
Analysis Services のすべてのインスタンスには、そのインスタンスを管理できるユーザーを定義するサーバーロールがあります。 このロールの名前と ID は Administrators で、データベース ロールとは異なり、サーバー ロールは削除できず、権限を追加または削除することもできません。 つまり、ユーザーは、Analysis Services のインスタンスのサーバーロールに含まれているかどうかに応じて、Analysis Services のインスタンスの管理者ではありません。
データベース ロール
Analysis Services データベースロールは、Analysis Services データベース内のオブジェクトおよびデータへのユーザーアクセスを定義します。 データベースロールは、Analysis Services データベース内の個別のオブジェクトとして作成され、そのロールが作成されたデータベースにのみ適用されます。 Windows ユーザーおよびグループは、管理者によってこのロールに含まれています。管理者は、このロール内の権限も定義します。
ロールの権限は、メンバーがデータベース内のオブジェクトとデータだけでなく、データベース自体にアクセスして管理できるようにするものです。 各権限には 1 つまたは複数のアクセス権が関連付けられており、アクセス権によってデータベース内の特定のオブジェクトへのアクセスをさらに詳細に制御できるようになっています。
Permission オブジェクト
権限は、各ロールについて、オブジェクト (キューブやディメンションなど) に関連付けられます。 権限は、ロールのメンバーがオブジェクトに対して実行できる操作を指定します。
Permission クラスは抽象クラスです。 そのため、対応するオブジェクトに権限を定義するには、派生クラスを使用する必要があります。 オブジェクトごとに権限の派生クラスが定義されます。
| Object | クラス |
|---|---|
| Database | DatabasePermission |
| DataSource | DataSourcePermission |
| Dimension | DimensionPermission |
| Cube | CubePermission |
| MiningStructure | MiningStructurePermission |
| MiningModel | MiningModelPermission |
権限によって使用可能となるアクションを以下の一覧に示します。
| アクション | 値 | 説明 |
|---|---|---|
| Process | {true, false} 既定値 =false |
trueを指定した場合、メンバーはこのオブジェクトと、このオブジェクトに含まれる任意のオブジェクトを処理できます。 Process 権限はマイニング モデルには適用されません。 MiningModel 権限は常に MiningStructure から継承されます。 |
| ReadDefinition | {None, Basic, Allowed} 既定値 =None |
オブジェクトに関連付けられたデータ定義 (ASSL) をメンバーが読み取れるかどうかを指定します。 Allowedを指定した場合、メンバーはオブジェクトに関連付けられた ASSL を読み取ることができます。 Basic および Allowed は、オブジェクトに含まれるオブジェクトによって継承されます。 Allowed は Basic および Noneをオーバーライドします。 オブジェクトで DISCOVER_XML_METADATA を使用する場合、Allowed を指定する必要があります。 リンク オブジェクトとローカル キューブを作成する場合、Basic を指定する必要があります。 |
| 読み取り | {なし、 許可} 既定値 =None (DimensionPermission の場合は、既定値 =Allowed) |
スキーマ行セットおよびデータ コンテンツへの読み取りアクセスがメンバーにあるかどうかを指定します。 Allowed を指定した場合は、データベースへの読み取りアクセスが許可され、データベースを検出できるようになります。 キューブで許可されている場合、および CubeDimensionPermission によって制約されて CellPermission いない限り、スキーマ行セットとキューブコンテンツへのアクセスに読み取りアクセス権を付与します。 ディメンションで許可されている場合は、ディメンションのすべての属性に対する読み取り権限が付与されます (で制約されて CubeDimensionPermission いる場合を除く)。 Read (読み取り) 権限は、CubeDimensionPermission の静的継承でのみ使用されます。 ディメンションに対してNone を指定した場合は、ディメンションが非表示になり、集計可能な属性への既定のメンバーのアクセスのみが許可されます。ディメンションに集計不能な属性が含まれる場合はエラーが発生します。 では 、 MiningModelPermission スキーマ行セット内のオブジェクトを表示し、予測結合を実行する権限を付与します。 注 データベース内の任意のオブジェクトの読み取りまたは書き込みを行うには、この権限が必要です。 |
| Write | {なし、 許可} 既定値 =None |
親オブジェクトのデータへの書き込みアクセスがメンバーにあるかどうかを指定します。 Dimension、Cube、および MiningModel の各サブクラスにアクセスが適用されます。 データベースの MiningStructure サブクラスには適用されません。検証エラーが発生します。 許可 では Dimension 、ディメンションのすべての属性に対する書き込み権限を許可します。 許可 では Cube 、型 = 書き戻しとして定義されたパーティションのキューブのセルに対する書き込み権限を許可します。 許可では 、 MiningModel モデルコンテンツを変更するためのアクセス許可を付与します。 で許可されている、 MiningStructure Analysis Services では特定の意味がありません。 注: read もallowedに設定されていない限り、Write をallowedに設定することはできません。 |
| 管理 注: データベースのアクセス許可のみ |
{true, false} 既定値 =false |
メンバーがデータベースを管理できるかどうかを指定します。 true を指定した場合は、データベース内のすべてのオブジェクトへのアクセスが許可されます。 メンバーは特定のデータベースに対してのみ管理権限を持つことができます。他のデータベースを管理することはできません。 |
参照
権限とアクセス権 (Analysis Services - 多次元データ)
オブジェクトと操作へのアクセスの承認 (Analysis Services)