Права доступа для баз геоданных в PostgreSQL

Права определяют, что какой-либо пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Или должен ли пользователь только формировать запросы к данным?

Права доступа пользователей устанавливаются на разных уровнях. В этом разделе перечислены необходимые права доступа в базе данных и наборам данных для основных типов пользователей: читателей, редакторов, авторов данных и администраторов базы геоданных.

Индивидуальные пользователи базы данных PostgreSQL именуются подключающимися ролями. Для группировки подключающихся ролей на основе общих задач, которые выполняют пользователи, можно создать групповые роли, добавить роли учетных записей в групповые и назначить им права доступа.

Примечание:

Права доступа базы данных CONNECT и TEMPORARY предоставляются групповой роли public по умолчанию. Если вы отмените эти права для роли группы public, понадобится предоставить CONNECT и TEMPORARY для конкретных подключающихся или групповых ролей.

Можно использовать одно из приложений для администрирования, которое подключается к базам данных PostgreSQL, например, pgAdmin, для управления правами пользователей. Для предоставления и отзыва прав также можно использовать SQL-выражения.

Права доступа к наборам данных в базах геоданных должны назначаться или отзываться с помощью клиентов ArcGIS, это может делать только владелец набора данных.

Права, перечисленные на этой странице, применяются к ролям учетных записей в PostgreSQL и PostgreSQL сервисов баз данных, которые поддерживает ArcGIS.

Минимальные права доступа

В следующей таблице перечислены права доступа, которые предоставляются каждой из трех общих групп – просмотр данных, редактирование данных и создание данных – и минимальные права, необходимые администратору базы геоданных (подключающаяся роль sde) для ежедневных операций.

Тип пользователяТребуемые права доступаЦель

Пользователь, имеющий право просматривать данные

Назначьте USAGE для схемы sde.

Это право доступа позволяет подключаться к базе геоданных.

Предоставьте USAGE для всех остальных схем, содержащих данные, к которым необходим доступ.

Это право доступа позволяет получать доступ к данных в определенных схемах.

Если ваша база данных использует тип геометрии PostGIS для хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geometry_columns PostGIS.

Это право необходимо для доступа к данным PostGIS geometry.

Если ваша база данных использует тип географии PostGISдля хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geography_columns PostGIS.

Это право необходимо для доступа к данным PostGIS geography.

Предоставьте SELECT для определенных наборов данных.

Владелец данных должен предоставить право доступа SELECT к таблицам и классам объектов в базе геоданных для пользователей, просматривающих данные, чтобы они смогли получить к ним доступ.

Редактор данных

Для редактирования данных требуются такие же права доступа, как и для их просмотра, а также дополнительные.

SELECT, INSERT, UPDATE и DELETE для наборов данных, которыми владеют другие пользователи.

При использовании ArcGIS для обеспечения прав SELECT (Выбор), INSERT (Вставка), UPDATE (Обновление) и DELETE (Удаление) классов объектов или таблиц, которые зарегистрированы для традиционных версий, эти права автоматически выдаются в связанном версионном представлении. Эти права необходимы пользователю, чтобы выполнять редактирование с помощью SQL и версионного представления.

Владельцы данных должны предоставить редакторам права, необходимые для редактирования данных в базе геоданных. Владельцы данных могут предоставить редакторам любой вариант этих прав.

Создатель данных

Для создания данных требуются такие же права доступа, как и для вьюеров данных, а также это дополнительное.

Каждая роль пользователя, создающего данные, требует AUTHORIZATION для собственной схемы. Необходимо учитывать, что имя схемы должно соответствовать имени роли пользователя, и что групповые роли не могут использовать одну и ту же схему.

AUTHORIZATION гарантирует, что все объекты, созданные в схеме, принадлежат этому пользователю.

Администратор базы геоданных (роль учетной записи sde)

AUTHORIZATION в собственной схеме с именем sde.

Для роли учетной записи sde необходимо USAGE для всех других схем пользователей.

Системные таблицы базы геоданных, функции и процедуры хранятся в схеме sde.

USAGE во всех других пользовательских схемах необходимо для пользователя sde, чтобы сжимать базу геоданных.

Таблица прав доступа PostgreSQL

Права доступа, необходимые для создания или обновления базы геоданных

Права, которые нужны учетной записи sde для создания и обновления базы геоданных, а также права, необходимые для выполнения других дополнительных административных задач, описаны в следующей таблицы. В таблице перечислены права для каждого типа внедрения PostgreSQL, которое поддерживает ArcGIS.

Создание базы геоданныхОбновление базы геоданныхДругие операции администратора
PostgreSQL

Учетная запись и статус superuser

У статуса Superuser есть возможность доступа ко всем другим схемам пользователя, а также права SELECT для всех наборов данных в базе геоданных.

У пользователя sde должен быть статус superuser в PostgreSQL, чтобы сбросить подключения к базе данных с помощью инструментов ArcGIS. Если вы не хотите, чтобы пользователь sde сбрасывал подключения, вы можете отозвать статус superuser у sde после того, как база геоданных будет создана или обновлена.

Amazon Relational Database Service (RDS) for PostgreSQL

Учетная запись и статус rds_superuser

Учетная запись и статус rds_superuser

Пользователю sde также должны быть назначены все роли, которые владеют данными в базе геоданных.

Например, если роли gisdata1 and и gisdata2 владеют данными в базе геоданных, то вы должны назначить эти роли sde до обновления.

grant gisdata1 to sde;

grant gisdata2 to sde;

Отзовите эти роли из sde после обновления базы геоданных.

Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных.

Но если вы хотите использовать инструмент геообработки Создать пользователя базы данных, чтобы создать владельцев данных в базе, не отзывайте rds_superuser у sde и запустите этот инструмент геообработки от имени пользователя sde.

Amazon Aurora (PostgreSQL-compatible edition)

Учетная запись и статус rds_superuser

Учетная запись и статус rds_superuser

Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных.

Но если вы хотите использовать инструмент геообработки Создать пользователя базы данных, чтобы создать владельцев данных в базе, не отзывайте rds_superuser у sde и запустите этот инструмент геообработки от имени пользователя sde.

Microsoft Azure Database for PostgreSQL

Войти

GRANT pgazureadmin TO sde;

Войти

GRANT pgazureadmin TO sde;

Вы можете отозвать pgazureadmin у sde после того, как пользователь sde создаст или обновит базу геоданных.

Google Cloud SQL for PostgreSQL

Пользователю sde должно быть назначено cloudsqlsuperuser.

Пользователю sde должно быть назначено cloudsqlsuperuser.

Вы можете отозвать cloudsqlsuperuser у sde после того, как пользователь sde создаст или обновит базу геоданных.