Права определяют, что пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Будет ли пользователь только формировать запросы к данным?
Права доступа пользователей устанавливаются на разных уровнях. В этом разделе перечислены необходимые права доступа в базе данных и наборам данных для основных типов пользователей: читателей, редакторов, авторов данных и администраторов базы геоданных.
Индивидуальные пользователи базы данных PostgreSQL именуются подключающимися ролями. Для группировки подключающихся ролей на основе общих задач, которые выполняют пользователи, можно создать групповые роли, добавить роли учетных записей в групповые и назначить им права доступа.
Можно использовать одно из приложений для администрирования, которое подключается к базам данных PostgreSQL, например, pgAdmin III, для управления правами пользователей. Для предоставления и отзыва прав также можно использовать SQL-выражения.
Права доступа к наборам данных должны быть предоставлены или отозваны владельцем набора данных с помощью диалогового окна Права доступа или инструмента геообработки Изменить права доступа, который доступен в ArcGIS for Desktop. Инструкции см. в разделе Предоставление и отзыв прав доступа к наборам данных.
Минимальные привилегии
В следующей таблице перечислены права доступа, которые предоставляются каждой из трех общих групп – просмотр данных, редактирование данных и создание данных – и минимальные права, необходимые администратору базы геоданных (подключающаяся роль sde) для ежедневных операций.
| Тип пользователя | Привилегии в базе данных | Привилегии для наборов данных | Примечания |
|---|---|---|---|
Пользователь, имеющий право просматривать данные |
| SELECT для определенных наборов данных | Если пользователь будет работать с классами объектов, использующие хранение геометрии PostGIS, ему необходимо предоставить права SELECT для таблиц public.geometry_columns и public.spatial_ref_sys. |
Редактирование данных |
| SELECT, INSERT, UPDATE и DELETE для других пользовательских наборов данных | Если пользователь редактирует версионные данные через версионное представление, ему должны быть выданы также права SELECT (Выборка), UPDATE (Обновление), INSERT (Вставка) и DELETE (Удаление) в версионном представлении. При использовании диалогового окна Права доступа (Privileges) в ArcGIS для выдачи прав SELECT (Выборка), UPDATE (Обновление), INSERT (Вставка) и DELETE (Удаление) версионных классов объектов, эти права автоматически выдаются в соответствующем версионном представлении. Если пользователь будет работать с классами объектов, использующие хранение геометрии PostGIS, ему необходимо предоставить права SELECT для таблиц public.geometry_column и public.spatial_ref_sys. |
Пользователь, имеющий право на создание данных |
| При использовании типа геометрии PostGIS, необходимо также предоставить права SELECT, INSERT, UPDATE и DELETE для таблицы public.geometry_columns (синтаксис = GRANT SELECT, INSERT, UPDATE, DELETE ON TABLE public.geometry_columns TO <role_name>). Также предоставьте SELECT для таблицы public.spatial_ref_sys (синтаксис = GRANT SELECT ON TABLE public.spatial_ref_sys TO <role_name>). | |
Администратор базы геоданных (роль учетной записи sde) | USAGE для всех остальных пользовательских схем | Если это право не предоставлено, sde не сможет сжимать и обновлять базу геоданных. |
Права доступа, необходимые для создания или обновления базы геоданных
Для создания базы геоданных роль учетной записи sde должна иметь статус superuser. Для обновления базы геоданных роли учетной записи sde должен быть предоставлен статус superuser, кроме того, она должна иметь доступ ко всем схемам других пользователей и права на выделение во всех наборах данных базы геоданных.
Статус superuser также необходим для сброса подключения к базе данных с помощью инструментов ArcGIS. Поэтому вы можете отозвать статус superuser после создания или обновления базы геоданных, но только если вы не хотите, чтобы пользователь sde мог сбрасывать подключения.