Privilèges pour les géodatabases dans PostgreSQL

Les privilèges déterminent les opérations qu'une personne est autorisée à réaliser avec les données et la base de données. Les privilèges doivent être attribués selon le type de travail que la personne effectue au sein de l'organisation. Cette personne a-t-elle un rôle dans l'administration de la géodatabase ? Doit-elle modifier ou créer des données ? Ou cette personne a-t-elle seulement besoin d'effectuer des requêtes sur les données ?

Les privilèges utilisateur sont définis à différents niveaux. Cette rubrique présente les privilèges de bases de données et de jeux de données requis pour les types courants d'utilisateurs : visualiseurs de données, éditeurs de données, créateurs de données et administrateur de géodatabase.

Les utilisateurs de base de données individuels dans PostgreSQL sont connus sous le nom de rôles de connexion. Pour regrouper des rôles de connexion en fonction des tâches courantes effectuées par les utilisateurs, vous pouvez créer des rôles de groupe, ajouter les rôles de connexion aux rôles de groupe, puis attribuer des privilèges aux rôles de groupe.

Remarque :

Les privilèges de base de données CONNECT et TEMP sont accordés par défaut au rôle de groupe public. Si vous révoquez ces privilèges du groupe public, vous devez accorder explicitement les privilèges CONNECT et TEMP sur les bases de données à des rôles de connexion ou de groupe spécifiques.

Vous pouvez utiliser l’une des applications d’administration qui se connectent aux bases de données PostgreSQL, telles que pgAdmin, pour gérer les privilèges utilisateur. ou vous pouvez utiliser les instructions SQL pour accorder et révoquer des privilèges.

Les privilèges sur les jeux de données dans des géodatabases doivent être accordés ou révoqués à l’aide de clients ArcGIS. Le propriétaire du jeu de données doit se charger de cette opération.

Privilèges minimaux

Le tableau suivant répertorie les privilèges à accorder à chacun des trois groupes communs : visualiseurs de données, éditeurs de données et créateurs de données et les privilèges nécessaires à l'administrateur de géodatabase (le rôle de connexion sde) pour effectuer ses opérations quotidiennes.

Type d'utilisateurPrivilèges requisObjet

Visualiseur de données

Accordez USAGE sur la structure sde.

Ce privilège permet d’accéder à la géodatabase.

Accordez USAGE sur toutes les autres structures contenant des données auxquelles les visualiseurs de données ont besoin d’accéder.

Ce privilège permet d'accéder aux données dans différentes structures.

Si le type de stockage géométrie PostGIS est utilisé dans des classes d’entités, accordez les privilèges SELECT sur les vues public.geometry_columns et public.spatial_ref_sys aux utilisateurs dotés du rôle de consultation des données.

Ce privilège est requis pour accéder aux données de la géométrie PostGIS.

Si le type de stockage géographie PostGIS est utilisé dans des classes d’entités, accordez les privilèges SELECT sur les vues public.geography_columns et public.spatial_ref_sys aux utilisateurs dotés du rôle de consultation des données.

Ce privilège est requis pour accéder aux données de géographie PostGIS.

Accordez SELECT sur des jeux de données spécifiques.

Le propriétaire des données doit accorder les privilèges SELECT sur les tables et les classes d’entités d’une géodatabase aux utilisateurs dotés du rôle de consultation des données de telle sorte qu’ils puissent accéder aux données.

Editeur de données

Les éditeurs de données nécessitent les mêmes privilèges que les visualiseurs de données, plus ces privilèges supplémentaires.

SELECT, INSERT, UPDATE et DELETE sur les jeux de données détenus par d’autres utilisateurs.

Lorsque vous utilisez ArcGIS pour accorder les privilèges SELECT, INSERT, UPDATE et DELETE sur une table ou une classe d’entités inscrite pour le versionnement traditionnel, ces privilèges sont automatiquement accordés sur la vue versionnée associée. Pour effectuer une mise à jour avec une vue versionnée et SQL, l’utilisateur doit détenir ces privilèges.

Les propriétaires des données doivent accorder aux éditeurs les privilèges requis pour la mise à jour des données dans une géodatabase. Les propriétaires des données peuvent accorder n’importe quelle combinaison de ces privilèges aux éditeurs.

Créateur de données

Les créateurs de données requièrent les mêmes privilèges que les visualiseurs de données, plus le privilège supplémentaire ci-après.

Chaque rôle de connexion qui crée des données requiert le privilège AUTHORIZATION sur sa propre structure. Notez que le nom de la structure doit correspondre au nom du rôle de connexion et que les rôles de groupe ne peuvent pas partager une structure.

AUTHORIZATION fait en sorte que tous les objets créés dans le schéma sont possédés par cet utilisateur.

Administrateur de géodatabase (rôle de connexion sde)

USAGE sur toutes les autres structures utilisateur.

Ce privilège est requis pour que l’utilisateur sde puisse compresser et mettre à niveau la géodatabase.

Table des privilèges PostgreSQL

Privilèges requis pour créer ou mettre à niveau une géodatabase

Le rôle de connexion sde doit bénéficier du statut de superutilisateur pour créer une géodatabase. Pour mettre à niveau une géodatabase, le rôle de connexion sde doit être en mesure d'accéder aux structures des autres utilisateurs et de sélectionner tous les jeux de données dans la géodatabase.

L'utilisateur sde doit détenir le statut de superutilisateur pour supprimer des connexions à la base de données à l'aide d'outils ArcGIS. Par conséquent, vous pouvez retirer les privilèges de superutilisateur après la création de la géodatabase, mais uniquement si vous ne voulez pas que l'utilisateur sde puisse fermer des connexions.