Права определяют, что какой-либо пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Или должен ли пользователь только формировать запросы к данным?
Права доступа пользователей устанавливаются на разных уровнях и для разных целей. В первом разделе перечислены минимальные необходимые права доступа к базе данных и наборам данных для основных типов пользователей: читателей, редакторов, авторов данных и администраторов базы геоданных. Во втором разделе перечислены права, которые требуются администратору базы геоданных для создания и обновления базы геоданных в PostgreSQL. В последнем разделе содержатся ссылки на прочую информацию о том, какие еще права могут потребоваться.
Индивидуальные пользователи базы данных PostgreSQL именуются подключающимися ролями. Для группировки подключающихся ролей на основе общих задач, которые выполняют пользователи, можно создать групповые роли, добавить роли учетных записей в групповые и назначить им права доступа.
Примечание:
Права доступа базы данных CONNECT и TEMPORARY предоставляются групповой роли public по умолчанию. Если вы отмените эти права для роли группы public, понадобится предоставить CONNECT и TEMPORARY для конкретных подключающихся или групповых ролей.
Можно использовать одно из приложений для администрирования, которое подключается к базам данных PostgreSQL, например, pgAdmin, для управления правами пользователей. Для предоставления и отзыва прав также можно использовать SQL-выражения.
Права доступа к наборам данных в базах геоданных должны назначаться или отзываться с помощью ArcGIS, это может делать только владелец набора данных.
Права, перечисленные на этой странице, применяются к ролям учетных записей в PostgreSQL и PostgreSQL сервисов баз данных, которые поддерживает ArcGIS.
Минимальные права доступа
В следующей таблице перечислены права доступа, которые предоставляются каждой из трех общих групп – просмотр данных, редактирование данных и создание данных – и минимальные права, необходимые администратору базы геоданных (Роль учетной записи sde) для ежедневных операций.
| Тип пользователя | Требуемые права доступа | Цель |
|---|---|---|
Пользователь, имеющий право просматривать данные | Назначьте USAGE для схемы sde. |
Это право доступа позволяет подключаться к базе геоданных. |
Предоставьте USAGE для всех остальных схем, содержащих данные, к которым необходим доступ. | Это право доступа позволяет получать доступ к данных в определенных схемах. | |
Если база данных использует тип геометрии PostGIS для хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geometry_columns PostGIS. | Это право необходимо для доступа к данным PostGIS geometry. | |
Если база данных использует тип географии PostGIS для хранения пространственных данных, то ролям необходимо предоставить право SELECT для таблицы spatial_ref_sys и представления geography_columns PostGIS. | Это право необходимо для доступа к данным PostGIS geography. | |
Предоставьте SELECT для определенных наборов данных. | Владелец данных должен предоставить право доступа SELECT к таблицам и классам объектов в базе геоданных для пользователей, просматривающих данные, чтобы они смогли получить к ним доступ. | |
Редактор данных Для редактирования данных требуются такие же права доступа, как и для их просмотра, а также дополнительные. |
INSERT, UPDATE, DELETE в таблицах других пользователей При использовании ArcGIS для обеспечения прав SELECT, INSERT, UPDATE и DELETE классов объектов или таблиц, которые зарегистрированы для традиционных версий, эти права автоматически выдаются в связанном версионном представлении. Эти права необходимы пользователю, чтобы выполнять редактирование с помощью SQL и версионного представления. |
Владельцы данных должны предоставить редакторам права, необходимые для редактирования данных в базе геоданных. |
Создатель данных Для создания данных требуются такие же права доступа, как и для вьюеров данных, а также это дополнительное. |
Каждая роль пользователя, создающего данные, требует AUTHORIZATION для собственной схемы. Необходимо учитывать, что имя схемы должно соответствовать имени роли пользователя, и что групповые роли не могут использовать одну и ту же схему. | Назначение AUTHORIZATION для пользовательской схемы гарантирует, что все объекты, созданные в схеме, принадлежат этому пользователю. |
Администратор базы геоданных (роль учетной записи sde) |
AUTHORIZATION в собственной схеме с именем sde. Для роли учетной записи sde необходимо USAGE для всех других схем пользователей. |
Системные таблицы базы геоданных, функции и процедуры хранятся в схеме sde. USAGE во всех других пользовательских схемах необходимо для пользователя sde, чтобы сжимать базу геоданных. |
Права доступа, необходимые для создания или обновления базы геоданных
Права, которые нужны учетной записи sde для создания и обновления базы геоданных, описаны в следующей таблице. В таблице перечислены права для каждого типа внедрения PostgreSQL, которое поддерживает ArcGIS.
| Создание базы геоданных | Обновление базы геоданных | Примечания | |
|---|---|---|---|
| PostgreSQL | Login Статус superuser | Статус Superuser Возможность доступа ко всем другим схемам пользователя, а также права SELECT для всех наборов данных в базе геоданных. | Если вы не хотите, чтобы пользователь sde сбрасывал подключения, вы можете отозвать статус superuser у sde после того, как база геоданных будет создана или обновлена. |
| Amazon Relational Database Service (RDS) for PostgreSQL | Login Статус rds_superuser | Login Статус rds_superuser Пользователю sde также должны быть назначены все роли, которые владеют данными в базе геоданных. Например, если роли gisdata1 and и gisdata2 владеют данными в базе геоданных, то вы должны назначить эти роли sde до обновления. grant gisdata1 to sde; grant gisdata2 to sde; Отзовите эти роли из sde после обновления базы геоданных. | Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных. |
| Amazon Aurora (PostgreSQL-compatible edition) | Login Статус rds_superuser | Login Статус rds_superuser | Вы можете отозвать rds_superuser от sde после того, как пользователь sde создаст или обновит базу геоданных. |
| Microsoft Azure Database for PostgreSQL | Login GRANT azure_pg_admin TO sde; | Login GRANT azure_pg_admin TO sde; | Вы можете отозвать azure_pg_admin от sde после того, как пользователь sde создаст или обновит базу геоданных. |
| Google Cloud SQL for PostgreSQL | Пользователю sde должно быть назначено cloudsqlsuperuser. | Пользователю sde должно быть назначено cloudsqlsuperuser. | Вы можете отозвать cloudsqlsuperuser от sde после того, как пользователь sde создаст или обновит базу геоданных. |
Другие права доступа
Для выполнения прочих задач в ArcGIS могут потребоваться следующие дополнительные права:
Статус superuser в PostgreSQL необходим для пользователя sde для сброса подключения к базе данных с помощью инструментов ArcGIS.
- Для ArcGIS Insights могут потребоваться дополнительные права доступа. См. раздел Необходимые права доступа к базе данных справочной системы ArcGIS Insights для получения дополнительной информации.
- Для доступа и отслеживания базы геоданных ArcGIS Monitor могут потребоваться дополнительные права. Для получения дополнительной информации см. раздел Регистрация баз данных PostgreSQL.