権限によって、データおよびデータベースに対してユーザーが許可される操作を決定します。組織内での作業のタイプに基づいて、権限を割り当てます。
データベースに対してユーザーが必要とする操作に基づいて、PostgreSQL データベース管理者としてグループ ロールを作成し、それらのグループ ロールに権限を付与し、各グループ ロールに個別のログイン ロールを追加します。このトピックでは、グループ ロールの作成対象のデータベース ユーザーの一般的なタイプ (データ参照者、データ編集者、データ作成者) に最低限必要な権限について説明します。
これらの権限は、ArcGIS で PostgreSQL データベースを使用する際に適用されるので注意してください。PostgreSQL 内のジオデータベースを使用するために必要な権限については、「PostgreSQL でのジオデータベースの権限」をご参照ください。
下の表に、3 つのユーザー グループと、データを検索、編集、または作成するために必要な最小限の権限を示します。
| ユーザーの種類 | 必要な権限 | 目的 |
|---|---|---|
データ参照者 | CONNECT | この権限でユーザーはデータベースに接続することができます。 データベースの CONNECT および TEMP 権限は、デフォルトで PUBLIC グループ ロールに割り当てられます。これらの権限を PUBLIC から削除する場合は、データベースに対する CONNECT および TEMP 権限を明示的に特定のログイン ロールまたはグループ ロールに割り当てる必要があります。 |
データ参照者がアクセスする必要のあるデータを含むスキーマに対する USAGE | この権限で、特定のスキーマのデータにアクセスできるようになります。 | |
データベースが空間データの格納に PostGIS ジオメトリ タイプを使用している場合、ロールには public.geometry_columns ビューと public.spatial_ref_sys ビューに対する SELECT が必要です。 | これらの権限は、PostGIS ジオメトリ列を読み取るために必要です。 | |
データベースが空間データの格納に PostGIS ジオグラフィ タイプを使用している場合、ロールには public.geography_columns ビューと public.spatial_ref_sys ビューに対する SELECT が必要です。 | これらの権限は、PostGIS ジオグラフィ列を読み取るために必要です。 | |
特定のデータセットの SELECT | これによって、参照者は権限が付与されたスキーマ内の特定のテーブルとフィーチャクラスにアクセスできます。 | |
データ編集者* データ編集者には、データ参照者に必要な権限に加えて、次の追加の権限が必要です。 | 特定のデータセットに対する INSERT、UPDATE、DELETE | 編集者が必要とする操作に基づいて、INSERT、UPDATE、DELETE の権限を任意に組み合わせて付与できます。したがって、複数のグループ ロールを作成して、それぞれに対し適切な権限を付与できます。たとえば、full_edit グループ ロールには 3 つすべての権限とグループ メンバーが編集に必要とするテーブルの SELECT 権限を付与し、updates_only グループ ロールにはメンバーが編集に必要とするテーブルの SELECT と UPDATE の権限のみを付与します。 |
データ作成者 データ作成者には、データ参照者に必要な権限に加えて、次の追加の権限が必要です。 | データを作成する各ログイン ロールには、その独自のスキーマに対する AUTHORIZATION が必要です。スキーマ名はログイン ロール名と一致する必要があることと、グループ ロールはスキーマを共有できないことに注意してください。 | AUTHORIZATION により、そのスキーマで作成されたすべてのオブジェクトをそのユーザーが所有することになります。 |
*データを編集するには、PostgreSQL データベース内のデータを参照する編集可能なフィーチャ サービス レイヤーを公開します。