Privilegios para geodatabases en DB2—Ayuda

DB2 en Linux, UNIX y Windows
DB2 for z/OS

Los privilegios determinan lo que alguien está autorizado a hacer con los datos y la base de datos. Debe asignar los privilegios según el tipo de trabajo que realiza la persona dentro de la organización. ¿Participa esta persona en la administración de la geodatabase? ¿Necesita editar o crear datos? ¿O solo necesitaría consultar los datos?

Los privilegios se establecen en diferentes niveles. En las tablas de este tema se enumeran los privilegios mínimos que necesitan los tipos comunes de usuarios de geodatabases: visores, editores y creadores de datos, así como el administrador de la geodatabase.

Los privilegios de los usuarios de geodatabases en DB2 en Linux, UNIX y Windows son diferentes de los que se necesitan para las geodatabases en DB2 en el sistema operativo z (z/OS) de IBM. Por lo tanto, existen dos tablas diferentes para los privilegios de usuario.

Puede utilizar las herramientas de DB2 o instrucciones de SQL para administrar privilegios de base de datos.

Los privilegios sobre los datasets debe otorgarlos o revocarlos el propietario del dataset utilizando ArcGIS. Consulte Otorgar y revocar privilegios sobre datasets para obtener instrucciones.

DB2 en Linux, UNIX y Windows

De manera predeterminada, DB2 otorga autoridad de base de datos CREATETAB, BINDADD, CONNECT e IMPLICITSCHEMA más el privilegio USE en el espacio de tabla USERSPACE1 y el privilegio SELECT en las vistas de catálogo del sistema al grupo PUBLIC. Para eliminar cualquiera de estas autoridades de la base de datos, el administrador de la base de datos debe revocar de PUBLIC dichas autoridades explícitamente.

Si quita cualquiera de estos privilegios de PUBLIC, debe otorgárselos a usuarios individuales o a grupos de la base de datos. Por ejemplo, si revoca CONNECT de PUBLIC, debe otorgárselo a alguien que necesite conectarse a la base de datos. Del mismo modo, si SELECT en las tablas o las vistas de catálogo del sistema se revoca desde PUBLIC, se debe conceder a los usuarios o los grupos individuales el privilegio SELECT en las siguientes ubicaciones o de lo contrario no podrán conectarse a la geodatabase:

SYSIBM.SYSDUMMY1 (vista de catálogo)
SYSCAT.ROLEAUTH
SYSCAT.DBAUTH
SYSCAT.TABAUTH

Privilegios mínimos DB2

Tipo de usuario	Privilegios de base de datos	Privilegios de dataset	Notas
Visor de datos	CONNECT a base de datos EXECUTE sobre MON_GET_CONNECTION	SELECT en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1, SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH	Si la base de datos está configurada para utilizar tablas de archivos de registro compartidos (la opción predeterminada), es posible que se necesiten privilegios adicionales. CREATETAB IMPLICIT_SCHEMA La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION.
Editor de datos	CONNECT a base de datos CREATEIN, ALTERIN y DROPIN para el esquema necesario EXECUTE sobre MON_GET_CONNECTION	Privilegios SELECT, INSERT, ALTER y DELETE en las tablas de otros usuarios CONTROL, ALTER, DELETE, INSERT, SELECT, UPDATE REFERENCES, SELECT en SYSIBM.SYSDUMMY1 SELECT en SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH	Los propietarios de la tabla y clase de entidad utilizan el cuadro de diálogo Privilegios o la herramienta de geoprocesamiento Cambiar privilegios de ArcGIS para conceder privilegios de edición en sus datos a otros usuarios. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION.
Creador de datos	CONNECT a base de datos CREATETAB en base de datos CREATEIN, ALTERIN y DROPIN para el esquema necesario EXECUTE sobre MON_GET_CONNECTION	CONTROL en objetos de base de datos, SELECT en SYSIBM.SYSDUMMY1 SELECT en SYSCAT.ROLEAUTH, SYSCAT.DBAUTH y SYSCAT.TABAUTH	La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario tiene que poder ejecutar MON_GET_CONNECTION.
Administrador de geodatabase (usuario sde)	Autoridad DBADM Autoridad SYSCTRL o SYSADM EXECUTE sobre MON_GET_CONNECTION		La autoridad DBADM otorga al usuario sde todos los privilegios contra todos los objetos de la base de datos y le permite otorgar estos privilegios a otros. Esto se requiere para crear o actualizar una geodatabase. También necesita autoridad DBADM para quitar conexiones cliente de la base de datos. Además, el usuario sde debe tener autoridad SYSCTRL o SYSADM para eliminar las conexiones del cliente de la base de datos. La función MON_GET_CONNECTION borra los procesos caducados de la tabla PROCESS_INFORMATION cuando el usuario se conecta. Para borrar las conexiones, el usuario sde tiene que poder ejecutar MON_GET_CONNECTION.

DB2 for z/OS

La seguridad en z/OS es mayor que en otras plataformas. La mayoría de los privilegios no se otorgan automáticamente a PUBLIC de forma predeterminada, sino que debe otorgar privilegios a Id. de usuarios individuales o a grupos.

Privilegios mínimos DB2 z/OS

Tipo de usuario	Privilegios de base de datos	Privilegios de dataset
Visor de datos		SELECT en objetos de base de datos definidos por el usuario y en las siguientes tablas del sistema: SYSIBM.SYSTABAUTH SYSIBM.SYSDBAUTH SYSIBM.SYSROUTINES SYSIBM.SYSTABCONST SYSIBM.SYSINDEXES SYSIBM.SYSKEYS SYSIBM.SYSCOLUMNS SYSIBM.SYSCHECKS SYSIBM.SYSSCHEMAAUTH SYSIBM.SYSTABLES SYSIBM.SYSSEQUENCES SYSIBM.SYSDUMMY1
Editor de datos		Igual que para los visores de datos más CONTROL, ALTER, DELETE, INSERT, SELECT y UPDATE REFERENCES en objetos de base de datos.
Creador de datos	CREATETAB y CREATETS	Igual que para los visores de datos más CONTROL en objetos de base de datos.
Administrador de geodatabase (usuario sde)	BINDADD CREATE ON COLLECTION SDE DBADM	Igual que para los visores de datos