Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss er oder sie auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?
Benutzerberechtigungen werden auf verschiedenen Ebenen festgelegt. In diesem Thema werden die erforderlichen Datenbank- und Dataset-Berechtigungen für gängige Benutzertypen beschrieben: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator.
Einzelne Datenbankbenutzer werden in PostgreSQL als Anmelderollen bezeichnet. Sie können Anmelderollen basierend auf häufig von den Benutzern ausgeführten Tasks gruppieren. Erstellen Sie hierzu Gruppenrollen, fügen Sie diesen die Anmelderollen hinzu, und weisen Sie den Gruppenrollen Berechtigungen zu.
Hinweis:
Die Berechtigungen "CONNECT" und "TEMPORARY" sind der Gruppenrolle "public" standardmäßig zugewiesen. Wenn Sie der Gruppenrolle "public" diese Berechtigungen entziehen, müssen Sie die Berechtigungen "CONNECT"und "TEMPORARY" einzelnen Anmelde- oder Gruppenrollen explizit gewähren.
Die Benutzerberechtigungen lassen sich mit einer der Verwaltungsanwendungen für PostgreSQL-Datenbanken verwalten, wie beispielsweise "pgAdmin". Sie können jedoch auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.
Berechtigungen für Datasets in Geodatabases sollten mit ArcGIS-Clients erteilt oder widerrufen werden. Dies kann nur der Dataset-Besitzer durchführen.
Die auf dieser Seite aufgeführten Berechtigungen gelten für Anmelderollen in PostgreSQL und PostgreSQL-Datenbank-Services, die von ArcGIS unterstützt werden.
Mindestberechtigungen
In der folgenden Tabelle sind die Berechtigungen für die drei gängigen Gruppen (Daten lesen, Daten bearbeiten und Daten erstellen) sowie die minimalen Berechtigungen aufgeführt, die der Geodatabase-Administrator (die Anmelderolle "sde") benötigt, um alltägliche Aufgaben auszuführen.
Benutzertyp | Erforderliche Berechtigungen | Zweck |
---|---|---|
Daten lesen | Gewähren Sie dem SDE-Schema die Berechtigung USAGE. |
Diese Berechtigung ermöglicht den Zugriff auf die Geodatabase. |
Gewähren Sie die Berechtigung USAGE außerdem für alle anderen Schemas, die Daten enthalten, auf die Benutzer der Gruppe "Daten lesen" zugreifen müssen. | Mit dieser Berechtigung wird der Zugriff auf Daten in bestimmten Schemas ermöglicht. | |
Falls Ihre Datenbank den PostGIS-Typ "geometry" für die Speicherung räumlicher Daten verwendet, müssen den Rollen SELECT-Berechtigungen für die PostGIS-Tabelle "spatial_ref_sys" und die Sicht "geometry_columns" zugewiesen werden. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geometry-Daten. | |
Falls Ihre Datenbank den PostGIS-Typ "geography" für die Speicherung räumlicher Daten verwendet, müssen den Rollen SELECT-Berechtigungen für die PostGIS-Tabelle "spatial_ref_sys" und die Sicht "geometry_columns" zugewiesen werden. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geography-Daten. | |
Gewähren Sie die Berechtigung "SELECT" für bestimmte Datasets. | Der Datenbesitzer muss Benutzern, die Daten anzeigen, die Berechtigung "SELECT" für Tabellen und Feature-Classes gewähren, damit sie auf die Daten zugreifen können. | |
Daten bearbeiten Benutzer mit der Berechtigung "Daten bearbeiten" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen: |
SELECT, INSERT, UPDATE und DELETE für Datasets im Besitz anderer Benutzer Wenn Sie ArcGIS verwenden, um die Berechtigungen SELECT, INSERT, UPDATE und DELETE für eine Feature-Class oder -Tabelle zu gewähren, die für die traditionelle Versionierung registriert wurde, werden diese Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt. Diese Berechtigungen sind erforderlich, damit der Benutzer mithilfe einer SQL-Sicht und einer versionierten Sicht Änderungen vornehmen kann. |
Datenbesitzer müssen Editoren die für die Bearbeitung von Daten in einer Geodatabase erforderlichen Berechtigungen gewähren. Die Datenbesitzer können den Editoren dabei eine beliebige Kombination dieser Berechtigungen gewähren. |
Daten erstellen Benutzer mit der Berechtigung "Daten erstellen" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen: |
Jede Anmelderolle, die Daten erstellt, benötigt AUTHORIZATION für ihr eigenes Schema. Beachten Sie, dass der Schemaname dem Anmelderollennamen entsprechen muss und die Freigabe von Schemas durch Gruppenrollen nicht möglich ist. | Mit AUTHORIZATION wird sichergestellt, dass der Benutzer der Besitzer von allen im Schema erstellten Objekten ist. |
Geodatabase-Administrator (die Anmelderolle "sde") |
AUTHORIZATION für das eigene Schema namens "sde". Die SDE-Anmelderolle benötigt "USAGE" für alle anderen Benutzerschemas. |
Die Systemtabellen, Funktionen und Prozeduren der Geodatabase werden im Schema "sde" gespeichert. Zum Komprimieren der Geodatabase benötigt der SDE-Benutzer "USAGE" für andere Benutzerschemas. |
Zum Erstellen oder Aktualisieren einer Geodatabase erforderliche Berechtigungen
Die für die SDE-Anmeldung erforderlichen Berechtigungen zum Erstellen und Aktualisieren einer Geodatabase sowie die erforderlichen Berechtigungen zum Durchführen anderer optionaler administrativer Tasks werden in der folgenden Tabelle beschrieben. In der Tabelle sind die Berechtigungen für die einzelnen Typen der PostgreSQL-Implementierung aufgeführt, die von ArcGIS unterstützt werden.
Erstellen der Geodatabase | Aktualisieren der Geodatabase | Andere Administratorvorgänge | |
---|---|---|---|
PostgreSQL | Anmeldung und Superuser-Status | Superuser-Status, Zugriff auf alle anderen Benutzerschemas und SELECT-Berechtigungen für alle Datasets in der Geodatabase | Der SDE-Benutzer benötigt den Superuser-Status in PostgreSQL zum Beenden von Datenbankverbindungen über ArcGIS-Werkzeuge. Wenn Sie nicht möchten, dass der SDE-Benutzer Verbindungen beenden kann, können Sie den Superuser-Status für SDE widerrufen, nachdem die Datenbank erstellt oder aktualisiert wurde. |
Amazon Relational Database Service (RDS) for PostgreSQL | Anmeldung und Status "rds_superuser" | Anmeldung und Status "rds_superuser" Dem SDE-Benutzer müssen auch sämtliche Rollen zugewiesen werden, die Daten in der Geodatabase besitzen. Wenn beispielsweise die Rollen "gisdata1" und "gisdata2" Daten in der Geodatabase besitzen, müssen Sie SDE diese Rollen zuweisen, bevor eine Aktualisierung erfolgt. grant gisdata1 to sde; grant gisdata2 to sde; Widerrufen Sie die Rollen des SDE-Benutzers, nachdem die Geodatabase aktualisiert wurde. | Sie können "rds_superuser" für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. Wenn Sie jedoch das Geoverarbeitungswerkzeug Datenbankbenutzer erstellen verwenden möchten, um Datenbesitzer in der Datenbank zu erstellen, widerrufen Sie "rds_superuser" für SDE nicht, und führen Sie dieses Geoverarbeitungswerkzeug als SDE-Benutzer aus. |
Amazon Aurora (PostgreSQL-compatible edition) | Anmeldung und Status "rds_superuser" | Anmeldung und Status "rds_superuser" | Sie können "rds_superuser" für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. Wenn Sie jedoch das Geoverarbeitungswerkzeug Datenbankbenutzer erstellen verwenden möchten, um Datenbesitzer in der Datenbank zu erstellen, widerrufen Sie "rds_superuser" für SDE nicht, und führen Sie dieses Geoverarbeitungswerkzeug als SDE-Benutzer aus. |
Microsoft Azure Database for PostgreSQL | Anmeldung GRANT pgazureadmin TO sde; | Anmeldung GRANT pgazureadmin TO sde; | Sie können "pgazureadmin" für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |
Google Cloud SQL for PostgreSQL | Dem SDE-Benutzer muss die Berechtigung "cloudsqlsuperuser" gewährt werden. | Dem SDE-Benutzer muss die Berechtigung "cloudsqlsuperuser" gewährt werden. | Sie können "cloudsqlsuperuser" für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |