Права определяют, что какой-либо пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Или должен ли пользователь только формировать запросы к данным?
Права доступа пользователей устанавливаются на разных уровнях. В этом разделе перечислены необходимые права доступа в базе данных и наборам данных для основных типов пользователей: читателей, редакторов, авторов данных и администраторов базы геоданных.
Индивидуальные пользователи базы данных PostgreSQL именуются подключающимися ролями. Для группировки подключающихся ролей на основе общих задач, которые выполняют пользователи, можно создать групповые роли, добавить роли учетных записей в групповые и назначить им права доступа.
Примечание:
Права доступа базы данных CONNECT и TEMPORARY предоставляются групповой роли public по умолчанию. Если вы отмените эти права для роли группы public, понадобится предоставить CONNECT и TEMPORARY для конкретных подключающихся или групповых ролей.
Можно использовать одно из приложений для администрирования, которое подключается к базам данных PostgreSQL, например, pgAdmin, для управления правами пользователей. Для предоставления и отзыва прав также можно использовать SQL-выражения.
Права доступа к наборам данных в базах геоданных должны назначаться или отзываться с помощью клиентов ArcGIS, это может делать только владелец набора данных.
Права, перечисленные на этой странице, применяются к ролям учетных записей в PostgreSQL и PostgreSQL сервисов баз данных, которые поддерживает ArcGIS.
Минимальные права доступа
В следующей таблице перечислены права доступа, которые предоставляются каждой из трех общих групп – просмотр данных, редактирование данных и создание данных – и минимальные права, необходимые администратору базы геоданных (подключающаяся роль sde) для ежедневных операций.
| Тип пользователя | Требуемые права доступа | Цель |
|---|---|---|
Пользователь, имеющий право просматривать данные | Назначьте USAGE для схемы sde. |
Это право доступа позволяет подключаться к базе геоданных. |
Предоставьте USAGE для всех остальных схем, содержащих данные, к которым необходим доступ. | Это право доступа позволяет получать доступ к данных в определенных схемах. | |
Если ваша база данных использует тип геометрии PostGIS для хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geometry_columns PostGIS. | Это право необходимо для доступа к данным PostGIS geometry. | |
Если ваша база данных использует тип географии PostGISдля хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geography_columns PostGIS. | Это право необходимо для доступа к данным PostGIS geography. | |
Предоставьте SELECT для определенных наборов данных. | Владелец данных должен предоставить право доступа SELECT к таблицам и классам объектов в базе геоданных для пользователей, просматривающих данные, чтобы они смогли получить к ним доступ. | |
Редактор данных Для редактирования данных требуются такие же права доступа, как и для их просмотра, а также дополнительные. |
SELECT, INSERT, UPDATE и DELETE для наборов данных, которыми владеют другие пользователи. При использовании ArcGIS для обеспечения прав SELECT (Выбор), INSERT (Вставка), UPDATE (Обновление) и DELETE (Удаление) классов объектов или таблиц, которые зарегистрированы для традиционных версий, эти права автоматически выдаются в связанном версионном представлении. Эти права необходимы пользователю, чтобы выполнять редактирование с помощью SQL и версионного представления. |
Владельцы данных должны предоставить редакторам права, необходимые для редактирования данных в базе геоданных. Владельцы данных могут предоставить редакторам любой вариант этих прав. |
Создатель данных Для создания данных требуются такие же права доступа, как и для вьюеров данных, а также это дополнительное. |
Каждая роль пользователя, создающего данные, требует AUTHORIZATION для собственной схемы. Необходимо учитывать, что имя схемы должно соответствовать имени роли пользователя, и что групповые роли не могут использовать одну и ту же схему. | AUTHORIZATION гарантирует, что все объекты, созданные в схеме, принадлежат этому пользователю. |
Администратор базы геоданных (роль учетной записи sde) |
AUTHORIZATION в собственной схеме с именем sde. Для роли учетной записи sde необходимо USAGE для всех других схем пользователей. |
Системные таблицы базы геоданных, функции и процедуры хранятся в схеме sde. USAGE во всех других пользовательских схемах необходимо для пользователя sde, чтобы сжимать базу геоданных. |
Права доступа, необходимые для создания или обновления базы геоданных
Права, которые нужны учетной записи sde для создания и обновления базы геоданных, а также права, необходимые для выполнения других дополнительных административных задач, описаны в следующей таблицы. В таблице перечислены права для каждого типа внедрения PostgreSQL, которое поддерживает ArcGIS.
| Создание базы геоданных | Обновление базы геоданных | Другие операции администратора | |
|---|---|---|---|
| PostgreSQL | Учетная запись и статус superuser | У статуса Superuser есть возможность доступа ко всем другим схемам пользователя, а также права SELECT для всех наборов данных в базе геоданных. | У пользователя sde должен быть статус superuser в PostgreSQL, чтобы сбросить подключения к базе данных с помощью инструментов ArcGIS. Если вы не хотите, чтобы пользователь sde сбрасывал подключения, вы можете отозвать статус superuser у sde после того, как база геоданных будет создана или обновлена. |
| Amazon Relational Database Service (RDS) for PostgreSQL | Учетная запись и статус rds_superuser | Учетная запись и статус rds_superuser Пользователю sde также должны быть назначены все роли, которые владеют данными в базе геоданных. Например, если роли gisdata1 and и gisdata2 владеют данными в базе геоданных, то вы должны назначить эти роли sde до обновления. grant gisdata1 to sde; grant gisdata2 to sde; Отзовите эти роли из sde после обновления базы геоданных. | Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных. Но если вы хотите использовать инструмент геообработки Создать пользователя базы данных, чтобы создать владельцев данных в базе, не отзывайте rds_superuser у sde и запустите этот инструмент геообработки от имени пользователя sde. |
| Amazon Aurora (PostgreSQL-compatible edition) | Учетная запись и статус rds_superuser | Учетная запись и статус rds_superuser | Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных. Но если вы хотите использовать инструмент геообработки Создать пользователя базы данных, чтобы создать владельцев данных в базе, не отзывайте rds_superuser у sde и запустите этот инструмент геообработки от имени пользователя sde. |
| Microsoft Azure Database for PostgreSQL | Войти GRANT pgazureadmin TO sde; | Войти GRANT pgazureadmin TO sde; | Вы можете отозвать pgazureadmin у sde после того, как пользователь sde создаст или обновит базу геоданных. |
| Google Cloud SQL for PostgreSQL | Пользователю sde должно быть назначено cloudsqlsuperuser. | Пользователю sde должно быть назначено cloudsqlsuperuser. | Вы можете отозвать cloudsqlsuperuser у sde после того, как пользователь sde создаст или обновит базу геоданных. |