Права определяют, что какой-либо пользователь может делать с данными и с базой данных. Права должны предоставляться с учетом типа работ, выполняемых пользователем, работающим в организации. Участвует ли пользователь в администрировании базы геоданных? Требуется ли пользователю редактировать или создавать данные? Или должен ли пользователь только формировать запросы к данным?
Права доступа пользователей устанавливаются на разных уровнях. В этом разделе перечислены необходимые права доступа в базе данных и наборам данных для основных типов пользователей: читателей, редакторов, авторов данных и администраторов базы геоданных.
Индивидуальные пользователи базы данных PostgreSQL именуются подключающимися ролями. Для группировки подключающихся ролей на основе общих задач, которые выполняют пользователи, можно создать групповые роли, добавить роли учетных записей в групповые и назначить им права доступа.
Можно использовать одно из приложений для администрирования, которое подключается к базам данных PostgreSQL, например, pgAdmin III, для управления правами пользователей. Для предоставления и отзыва прав также можно использовать SQL-выражения.
Права доступа к наборам данных должны быть предоставлены или отозваны владельцем набора данных с помощью ArcGIS. Инструкции см. в разделе Предоставление и отзыв прав доступа к наборам данных.
Минимальные привилегии
В следующей таблице перечислены права доступа, которые предоставляются каждой из трех общих групп – просмотр данных, редактирование данных и создание данных – и минимальные права, необходимые администратору базы геоданных (подключающаяся роль sde) для ежедневных операций.
| Тип пользователя | Права в базе данных | Права для наборов данных | Примечания |
|---|---|---|---|
Пользователь, просматривающий данные |
| SELECT для определенных наборов данных | Если пользователь будет работать с классами объектов, использующие хранение геометрии PostGIS, ему необходимо предоставить права SELECT для таблиц public.geometry_columns и public.spatial_ref_sys. |
Редактор данных |
| SELECT, INSERT, UPDATE и DELETE для других пользовательских наборов данных | При использовании ArcGIS для выдачи прав SELECT (Выбор), INSERT (Вставка), UPDATE (Обновление) и DELETE (Удаление) версионных классов объектов, эти права автоматически выдаются в связанном версионном представлении. Эти права доступа необходимы пользователю для редактирования посредством версионных представлений. Если пользователь будет работать с классами объектов, использующие хранение геометрии PostGIS, ему необходимо предоставить права SELECT для таблиц public.geometry_column и public.spatial_ref_sys. |
Создатель данных |
| При использовании типа геометрии PostGIS, необходимо также предоставить права SELECT, INSERT, UPDATE и DELETE для таблицы public.geometry_columns (синтаксис = GRANT SELECT, INSERT, UPDATE, DELETE ON TABLE public.geometry_columns TO <role_name>). Также предоставьте SELECT для таблицы public.spatial_ref_sys (синтаксис = GRANT SELECT ON TABLE public.spatial_ref_sys TO <role_name>). | |
Администратор базы геоданных (роль учетной записи sde) | USAGE для всех остальных пользовательских схем | Если это право не предоставлено, sde не сможет сжимать и обновлять базу геоданных. |
Права доступа, необходимые для создания или обновления базы геоданных
Для создания базы геоданных роль учетной записи sde должна иметь статус superuser. Для обновления базы геоданных роли учетной записи sde, она должна иметь доступ ко всем схемам других пользователей и права на выделение во всех наборах данных базы геоданных.
Статус superuser также необходим для пользователя sde для сброса подключения к базе данных с помощью инструментов ArcGIS. Поэтому вы можете отозвать статус superuser после создания базы геоданных, но только если вы не хотите, чтобы пользователь sde мог сбрасывать подключения.