Privilèges pour les géodatabases dans Db2

Les privilèges déterminent les opérations qu'une personne est autorisée à réaliser avec les données et la base de données. Les privilèges doivent être attribués selon le type de travail que la personne effectue au sein de l'organisation. Cette personne a-t-elle un rôle dans l'administration de la géodatabase ? Doit-elle modifier ou créer des données ? Ou cette personne a-t-elle seulement besoin d'effectuer des requêtes sur les données ?

Les privilèges sont définis à différents niveaux. Le tableau de cette rubrique présente les privilèges de base de données ou de jeu de données requis minimaux pour les types courants d’utilisateurs de géodatabase : visualiseurs de données, éditeurs de données, créateurs de données et administrateur de géodatabase.

Vous pouvez utiliser les outils IBM Db2 ou les instructions SQL pour administrer les privilèges relatifs aux bases de données.

Les privilèges sur les jeux de données dans des géodatabases doivent être accordés ou révoqués à l’aide de clients ArcGIS. Le propriétaire du jeu de données doit se charger de cette opération.

Db2 accorde l’autorité de base de données CREATETAB, BINDADD, CONNECT et IMPLICITSCHEMA ainsi que le privilège USE sur l’espace de table USERSPACE1 et le privilège SELECT sur les vues du catalogue système au groupe PUBLIC par défaut. Pour supprimer une de ces autorités de base de données, un administrateur de base de données doit explicitement les révoquer du groupe PUBLIC.

Si l'un de ces privilèges est supprimé du groupe PUBLIC, il peut être nécessaire de l'accorder à des utilisateurs de base de données ou à des groupes. Par exemple, si l’autorisation CONNECT est révoquée du groupe PUBLIC, elle doit être accordée aux personnes qui ont besoin de se connecter à la base de données. De même, si l’autorisation SELECT des tables ou des vues du catalogue système est révoquée dans PUBLIC, les utilisateurs ou les groupes doivent recevoir l’autorisation SELECT sur ce qui suit ; sinon, ils ne seront pas en mesure de se connecter à la géodatabase :

  • SYSIBM.SYSDUMMY1 (vue du catalogue)
  • SYSCAT.ROLEAUTH
  • SYSCAT.DBAUTH
  • SYSCAT.TABAUTH

Privilèges Db2 minimaux

Type d'utilisateurPrivilèges de base de donnéesPrivilèges de jeu de donnéesRemarques

Visualiseur de données

  • CONNECT à la base de données
  • EXECUTE on MON_GET_CONNECTION

SELECT sur les objets de base de données, SELECT on SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH, SYSCAT.TABAUTH

Si votre base de données est configurée pour utiliser des tables de fichiers journaux partagés (par défaut), les privilèges supplémentaires suivants sont requis :

  • CREATETAB
  • IMPLICIT_SCHEMA

La fonction MON_GET_CONNECTION purge les processus obsolètes de la table PROCESS_INFORMATION lorsque l'utilisateur se connecte. Pour nettoyer les connexions, l'utilisateur doit être en mesure d'exécuter MON_GET_CONNECTION.

Editeur de données

  • CONNECT à la base de données
  • CREATEIN, ALTERIN et DROPIN pour la structure requise
  • EXECUTE on MON_GET_CONNECTION

  • Privilèges SELECT, INSERT, ALTER et DELETE sur les autres tables de l’utilisateur.
  • CONTROL, ALTER, DELETE, INSERT, SELECT, UPDATE REFERENCES, SELECT on SYSIBM.SYSDUMMY1
  • SELECT on SYSCAT.ROLEAUTH, SYSCAT.DBAUTH, SYSCAT.TABAUTH

Les propriétaires de tables et de classes d'entités utilisent la boîte de dialogue Privilèges ou d'ArcGIS ou l'outil de géotraitement Modifier les privilèges d'ArcGIS pour accorder ou révoquer des privilèges sur leurs données à d'autres utilisateurs.

La fonction MON_GET_CONNECTION purge les processus obsolètes de la table PROCESS_INFORMATION lorsque l'utilisateur se connecte. Pour nettoyer les connexions, l'utilisateur doit être en mesure d'exécuter MON_GET_CONNECTION.

Créateur de données

  • CONNECT à la base de données
  • CREATETAB dans la base de données
  • CREATEIN, ALTERIN et DROPIN pour la structure requise
  • EXECUTE on MON_GET_CONNECTION

CONTROL sur les objets de base de données, SELECT on SYSIBM.SYSDUMMY1

SELECT on SYSCAT.ROLEAUTH, SYSCAT.DBAUTH, SYSCAT.TABAUTH

La fonction MON_GET_CONNECTION purge les processus obsolètes de la table PROCESS_INFORMATION lorsque l'utilisateur se connecte. Pour nettoyer les connexions, l'utilisateur doit être en mesure d'exécuter MON_GET_CONNECTION.

Administrateur de géodatabase (utilisateur sde)

  • Autorité DBADM
  • Autorité SYSCTRL ou SYSADM
  • EXECUTE on MON_GET_CONNECTION

L’autorité DBADM donne à l’utilisateur SDE tous les privilèges relatifs à tous les objets de la base de données et lui permet d’accorder ces privilèges aux autres. C'est obligatoire pour la création ou la mise à niveau d'une géodatabase.

L’autorité DBADM est également nécessaire pour retirer des connexions client de la base de données. De plus, l’utilisateur SDE doit disposer de l’autorité SYSCTRL ou SYSADM pour retirer des connexions client de la base de données.

La fonction MON_GET_CONNECTION purge les processus obsolètes de la table PROCESS_INFORMATION lorsque l'utilisateur se connecte. Pour nettoyer les connexions, l'utilisateur sde doit être en mesure d'exécuter MON_GET_CONNECTION.