機密グループロールを、他の機密グループに分類しないことを強く勧めます。なぜならば、機密管理支援機能はこのような使い方を禁止しませんが、おそらく機密管理が複雑になるだけだからです。また、ロールのグルーピングが循環することをPostgreSQLが許可していないことにも注意してください。

機密グループにロールを追加した後に、このようなロールを機密マトリクスで管理されていないロールグループのメンバーにしないことを強く勧めます。なぜならば、機密管理支援機能はこのような状況を禁止しませんが、例えば、そのようなロールグループの権限を不当に強くすることが、機密管理支援機能で管理されたロールの抜け道になるかもしれないからです。
なお、この機能は、このような抜け道が設定されたロールを機密グループに追加することを許可しません。

Fujitsu Enterprise Postgres 16ではCREATEROLE権限が変更となり、スーパーユーザー以外を機密管理ロールとして利用する場合には、機密グループに追加するロールへのADMIN OPTION権限が必要になりました。そのため、機密グループに追加できるロールは以下のいずれかとなります。

• 機密管理ロールの権限で作成したロール

• ロールに対するADMIN OPTION権限を、機密管理ロールに対して事前に付与したロール

  例) 機密管理ロールmanager_roleにロールuser_role1のADMIN OPTION権限だけを付与する場合

      GRANT user_role1 TO manager_role WITH ADMIN TRUE, INHERIT FALSE, SET FALSE;

CREATEROLE権限の変更については、“PostgreSQL Documentation”の“Migration to Version 16”を参照してください。