Anhand von Berechtigungen wird festgelegt, wozu ein Benutzer im Umgang mit Daten und der Datenbank autorisiert ist. Berechtigungen sollten auf Grundlage der Aufgaben zugewiesen werden, die eine Person innerhalb der Organisation hat. Ist diese Person zuständig für die Verwaltung der Geodatabase? Muss diese Person auch die Möglichkeit haben, Daten zu bearbeiten oder zu erstellen? Oder muss diese Person nur auf die Daten zugreifen können?
Benutzerberechtigungen werden auf verschiedenen Ebenen und für verschiedene Zwecke festgelegt. Im ersten Abschnitt unten werden die mindestens erforderlichen Datenbank- und Dataset-Berechtigungen für gängige Benutzertypen beschrieben: Daten lesen, Daten bearbeiten, Daten erstellen und Geodatabase-Administrator. Im zweiten Abschnitt werden die erforderlichen Berechtigungen zum Erstellen und Aktualisieren einer Geodatabase in PostgreSQL angegeben. Im letzten Abschnitt finden Sie Links zu weiteren Informationen zu möglichen erforderlichen Berechtigungen.
Einzelne Datenbankbenutzer werden in PostgreSQL als Anmelderollen bezeichnet. Sie können Anmelderollen basierend auf häufig von den Benutzern ausgeführten Tasks gruppieren. Erstellen Sie hierzu Gruppenrollen, fügen Sie diesen die Anmelderollen hinzu, und weisen Sie den Gruppenrollen Berechtigungen zu.
Hinweis:
Die Datenbankberechtigungen CONNECT und TEMPORARY sind der Gruppenrolle "public" standardmäßig zugewiesen. Wenn Sie der Gruppenrolle "public" diese Berechtigungen entziehen, müssen Sie die Berechtigungen CONNECT und TEMPORARY für Datenbanken einzelnen Anmelde- oder Gruppenrollen explizit gewähren.
Die Benutzerberechtigungen lassen sich mit einer der Verwaltungsanwendungen für PostgreSQL-Datenbanken verwalten, wie beispielsweise "pgAdmin". Sie können jedoch auch SQL-Anweisungen zum Gewähren und Widerrufen von Berechtigungen verwenden.
Berechtigungen für Datasets in Geodatabases müssen mit ArcGIS erteilt oder widerrufen werden. Dies kann nur der Dataset-Besitzer durchführen.
Die auf dieser Seite aufgeführten Berechtigungen gelten für Anmelderollen in PostgreSQL und PostgreSQL-Datenbank-Services, die von ArcGIS unterstützt werden.
Mindestberechtigungen
In der folgenden Tabelle sind die Berechtigungen für die drei gängigen Gruppen (Daten lesen, Daten bearbeiten und Daten erstellen) sowie die minimalen Berechtigungen aufgeführt, die der Geodatabase-Administrator (die Anmelderolle "sde") benötigt, um alltägliche Aufgaben auszuführen.
| Benutzertyp | Erforderliche Berechtigungen | Zweck |
|---|---|---|
Daten lesen | Gewähren Sie dem SDE-Schema die Berechtigung USAGE. |
Diese Berechtigung ermöglicht den Zugriff auf die Geodatabase. |
Gewähren Sie die Berechtigung USAGE außerdem für alle anderen Schemas, die Daten enthalten, auf die Benutzer der Gruppe "Daten lesen" zugreifen müssen. | Mit dieser Berechtigung wird der Zugriff auf Daten in bestimmten Schemas ermöglicht. | |
Falls die Datenbank den PostGIS-Typ "geometry" für die Speicherung räumlicher Daten verwendet, muss den Rollen die Berechtigung SELECT für die PostGIS-Tabelle "spatial_ref_sys" und die Sicht "geometry_columns" zugewiesen werden. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geometry-Daten. | |
Wenn die Datenbank den PostGIS-Typ "geography" für die Speicherung räumlicher Daten verwendet, muss den Rollen die Berechtigung SELECT für die PostGIS-Tabelle "spatial_ref_sys" und die Sicht "geography_columns" zugewiesen werden. | Diese Berechtigung ist erforderlich zum Zugreifen auf die PostGIS Geography-Daten. | |
Gewähren Sie die Berechtigung SELECT für bestimmte Datasets. | Der Datenbesitzer muss Benutzern, die Daten anzeigen, die Berechtigung SELECT für Tabellen und Feature-Classes in einer Geodatabase gewähren, damit sie auf die Daten zugreifen können. | |
Daten bearbeiten Benutzer mit der Berechtigung "Daten bearbeiten" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten anzeigen" und die folgenden Berechtigungen. |
INSERT, UPDATE, DELETE für Tabellen anderer Benutzer Wenn Sie ArcGIS verwenden, um die Berechtigungen SELECT, INSERT, UPDATE und DELETE für eine Feature-Class oder -Tabelle zu gewähren, die für die traditionelle Versionierung registriert wurde, werden diese Berechtigungen automatisch für die zugeordnete versionierte Sicht gewährt. Diese Berechtigungen sind erforderlich, damit der Benutzer mithilfe einer SQL-Sicht und einer versionierten Sicht Änderungen vornehmen kann. |
Datenbesitzer müssen Editoren die für die Bearbeitung von Daten in einer Geodatabase erforderlichen Berechtigungen gewähren. |
Daten erstellen Benutzer mit der Berechtigung "Daten erstellen" benötigen dieselben Berechtigungen wie Benutzer mit der Berechtigung "Daten lesen" sowie die folgenden Berechtigungen: |
Jede Anmelderolle, die Daten erstellt, benötigt AUTHORIZATION für ihr eigenes Schema. Beachten Sie, dass der Schemaname dem Anmelderollennamen entsprechen muss und die Freigabe von Schemas durch Gruppenrollen nicht möglich ist. | Durch Gewähren von AUTHORIZATION für das Schema des Benutzers wird sichergestellt, dass der Benutzer der Besitzer aller im Schema erstellten Objekte ist. |
Geodatabase-Administrator (die Anmelderolle "sde") |
AUTHORIZATION für das eigene Schema namens "sde" Die SDE-Anmelderolle benötigt USAGE für alle anderen Benutzerschemas. |
Die Systemtabellen, Funktionen und Prozeduren der Geodatabase werden im Schema "sde" gespeichert. Zum Komprimieren der Geodatabase benötigt der SDE-Benutzer USAGE für andere Benutzerschemas. |
Zum Erstellen oder Aktualisieren einer Geodatabase erforderliche Berechtigungen
Die für die SDE-Anmeldung erforderlichen Berechtigungen zum Erstellen und Aktualisieren einer Geodatabase werden in der folgenden Tabelle beschrieben. In der Tabelle sind die Berechtigungen für die einzelnen Typen der PostgreSQL-Implementierung aufgeführt, die von ArcGIS unterstützt werden.
| Erstellen der Geodatabase | Aktualisieren der Geodatabase | Hinweise | |
|---|---|---|---|
| PostgreSQL | Login superuser-Status | Superuser-Status Zugriff auf alle anderen Benutzerschemas und Berechtigung SELECT für alle Datasets in der Geodatabase | Wenn Sie nicht möchten, dass der SDE-Benutzer Verbindungen beenden kann, können Sie den superuser-Status für SDE widerrufen, nachdem die Geodatabase erstellt oder aktualisiert wurde. |
| Amazon Relational Database Service (RDS) for PostgreSQL | Login rds_superuser-Status | Login rds_superuser-Status Dem SDE-Benutzer müssen auch sämtliche Rollen zugewiesen werden, die Daten in der Geodatabase besitzen. Wenn beispielsweise die Rollen "gisdata1" und "gisdata2" Daten in der Geodatabase besitzen, müssen Sie SDE diese Rollen zuweisen, bevor eine Aktualisierung erfolgt. grant gisdata1 to sde; grant gisdata2 to sde; Widerrufen Sie die Rollen des SDE-Benutzers, nachdem die Geodatabase aktualisiert wurde. | Sie können rds_superuser für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |
| Amazon Aurora (PostgreSQL-compatible edition) | Login rds_superuser-Status | Login rds_superuser-Status | Sie können rds_superuser für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |
| Microsoft Azure Database for PostgreSQL | Login GRANT azure_pg_admin TO sde; | Login GRANT azure_pg_admin TO sde; | Sie können azure_pg_admin für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |
| Google Cloud SQL for PostgreSQL | Dem SDE-Benutzer muss die Berechtigung cloudsqlsuperuser gewährt werden. | Dem SDE-Benutzer muss die Berechtigung cloudsqlsuperuser gewährt werden. | Sie können cloudsqlsuperuser für SDE widerrufen, nachdem der SDE-Benutzer die Geodatabase erstellt oder aktualisiert hat. |
Zusätzliche Berechtigungen
Die folgenden zusätzlichen Berechtigungen sind zum Ausführen anderer, optionaler Tasks in ArcGIS erforderlich:
Dem SDE-Benutzer muss der superuser-Status in PostgreSQL zum Beenden von Datenbankverbindungen über ArcGIS-Werkzeuge zugewiesen sein.
- Für ArcGIS Insights können zusätzliche Berechtigungen erforderlich sein. Weitere Informationen finden Sie unter Erforderliche Datenbankberechtigungen in der ArcGIS Insights-Hilfe.
- Für ArcGIS Monitor können zusätzliche Berechtigungen erforderlich sein, damit der Zugriff auf die Geodatabase und deren Überwachung möglich ist. Weitere Informationen finden Sie unter Registrieren von PostgreSQL-Datenbanken.