権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。権限は、 このユーザーがジオデータベースの管理に関与するか、 データを編集または作成できる必要があるか、 データを検索できれば十分かといった、組織内でのユーザーの職務に基づいて割り当てる必要があります。
ユーザー権限は、さまざまなレベルで設定されます。このトピックでは、一般的なユーザー (データ参照者、データ編集者、データ作成者、およびジオデータベース管理者) に必要なデータベース権限およびデータセット権限を説明します。
PostgreSQL の個々のデータベース ユーザーは、ログイン ロールと呼ばれます。ユーザーが実行する共通のタスクに基づいてログイン ロールをグループ化するには、グループ ロールを作成し、そのグループ ロールにログイン ロールを追加してから権限を割り当てるという方法があります。
メモ:
データベースの CONNECT および TEMP 権限は、デフォルトで PUBLIC グループ ロールに割り当てられます。これらの権限を PUBLIC から削除する場合は、データベースに対する CONNECT および TEMP 権限を明示的に特定のログイン ロールまたはグループ ロールに割り当てる必要があります。
ユーザー権限の管理には、pgAdmin など、PostgreSQL データベースに接続する管理アプリケーションを使用できます。あるいは、SQL ステートメントを使用して、権限の追加と削除を行うこともできます。
ジオデータベースのデータセットの権限の付与や取り消しは、ArcGIS クライアントを使用して、データセット所有者が行う必要があります。
最小限の権限
以下の表に、一般的な 3 つのグループ (データ参照者、データ編集者、データ作成者) に付与される権限と、日常的な操作にジオデータベース管理者 (sde ログイン ロール) が最低限必要な権限をまとめます。
| ユーザーの種類 | 必要な権限 | 目的 |
|---|---|---|
データ参照者 | sde スキーマの USAGE 権限を付与します。 | この権限で、ジオデータベースにアクセスできるようになります。 |
その他、データ参照者がアクセスする必要のあるデータを含むすべてのスキーマの USAGE を付与します。 | この権限で、特定のスキーマのデータにアクセスできるようになります。 | |
フィーチャクラスで PostGIS ジオメトリ格納タイプを使用する場合は、public.geometry_columns ビューと public.spatial_ref_sys ビューに対する SELECT 権限をデータ参照者に付与します。 | この権限は PostGIS ジオメトリ データにアクセスするために必要な権限です。 | |
フィーチャクラスで PostGIS ジオグラフィ格納タイプを使用する場合は、public.geography_columns ビューと public.spatial_ref_sys ビューに対する SELECT 権限をデータ参照者に付与します。 | この権限は PostGIS ジオグラフィ データにアクセスするために必要な権限です。 | |
特定のデータセットの SELECT を付与します。 | データの所有者は、データ参照者がデータにアクセスできるように、ジオデータベースのテーブルとフィーチャクラスに対する SELECT 権限をデータ参照者に付与する必要があります。 | |
データ編集者 データ編集者には、データ参照者に必要な権限に加えて、次の追加の権限が必要です。 | 他のユーザーが所有しているデータセットに対する SELECT、INSERT、UPDATE、DELETE ArcGIS を使用して、従来のバージョン対応登録されたフィーチャクラスまたはテーブルに対する SELECT、INSERT、UPDATE、および DELETE 権限を付与すると、関連するバージョン対応ビューに対してこれらの権限が自動的に付与されます。これらの権限は、ユーザーが SQL およびバージョン対応ビューを使用して編集する際に必須です。 | データ所有者は、ジオデータベース内のデータの編集に必要な権限を編集者に付与する必要があります。データ所有者は、これらの権限を任意に組み合わせ編集者に付与できます。 |
データ作成者 データ作成者には、データ参照者に必要な権限に加えて、次の追加の権限が必要です。 | データを作成する各ログイン ロールには、その独自のスキーマに対する AUTHORIZATION が必要です。スキーマ名はログイン ロール名と一致する必要があることと、グループ ロールはスキーマを共有できないことに注意してください。 | AUTHORIZATION により、そのスキーマで作成されたすべてのオブジェクトをそのユーザーが所有することになります。 |
ジオデータベース管理者 (sde ログイン ロール) | 他のすべてのユーザー スキーマの USAGE。 | これは sde ユーザーがジオデータベースを圧縮および更新するために必要な権限です。 |
ジオデータベースの作成またはアップグレードに必要な権限
ジオデータベースを作成するには、sde ログイン ロールにスーパーユーザー ステータスを付与する必要があります。ジオデータベースをアップグレードするには、sde ログイン ロールが、他のすべてユーザーのスキーマにアクセスでき、ジオデータベース内のすべてのデータセットを選択できる必要があります。
また、sde ユーザーは、ArcGIS ツールを使用してデータベース接続を削除するためにスーパーユーザー ステータスも必要とします。そのため、スーパーユーザー権限を削除できるのは、ジオデータベースを作成した後に、sde ユーザーが接続を削除できないようにする場合だけに限られます。