权限用于确定用户有权对数据和数据库执行何种操作。应根据人员在组织中所执行的工作类型来分配权限。
作为 IBM Db2 数据库管理员,您应根据用户需要在数据库中执行的操作创建组、为组授予权限并向每个组添加合适的用户。本主题下的各表列出了您创建的群组中以下普通用户至少需要具有的权限:数据查看人员、数据编辑人员和数据创建人员。
IBM z 操作系统 (z/OS) 上 Db2 的权限与其他 Db2 实施所需的权限不同。因此,提供两张不同的用户权限表,用于描述从 ArcGIS 进行连接时至少需要的权限。
请注意,这些权限适用于在 ArcGIS 中使用 Db2 数据库。如欲了解使用 Db2 中的地理数据库所需的权限,请参阅 Db2 中地理数据库的权限。
Linux、UNIX 和 Windows 上的
默认情况下,Db2 向 PUBLIC 群组授予 CREATETAB、BINDADD、CONNECT 和 IMPLICITSCHEMA 数据库权限、USERSPACE1 表空间的 USE 权限以及系统目录视图的 SELECT 权限。要移除其中任意数据库授权,数据库管理员必须从 PUBLIC 中将其显式撤消。
如果从 PUBLIC 中撤消上述任何权限,请将其授予各个用户或群组。例如,如果从 PUBLIC 中撤消 CONNECT,则请将 CONNECT 授予特定群组,以便其成员可以连接到数据库。同样,如果从 PUBLIC 中撤消系统目录视图或表上的 SELECT,则必须按照以下方式对各个用户或群组授予 SELECT,以便用户进行连接。
- SYSIBM.SYSDUMMY1(目录视图)
- SYSCAT.ROLEAUTH
- SYSCAT.DBAUTH
- SYSCAT.TABAUTH
| 用户类型 | 所需权限 | 用途 |
|---|---|---|
数据查看人员 |
| 这些权限允许用户连接至数据库。 |
对其他用户表的 SELECT 权限 | 数据查看人员需要具有对要查看并查询的特定表的 select 权限。 | |
数据编辑人员* 数据编辑人员需要具有与数据查看人员相同的权限,此外还需要这些附加权限。 |
| 这些权限允许编辑人员编辑其他用户所拥有的数据。 您可以根据编辑者的需要来授予 INSERT、UPDATE 和 DELETE 权限的任意组合。因此,您可以创建多个编辑者群组,并为每个群组授予相应的权限。例如,您可能拥有一个 full_edit 群组,该群组具有群组成员需要编辑的表的全部三种权限以及 SELECT 权限;您还可能拥有一个 updates_only 群组,该群组仅具有成员需要编辑的表的 SELECT 和 UPDATE 权限。 |
数据创建人员 数据创建人员需要具有与数据查看人员相同的权限,此外还需要这些附加权限。 |
| 数据创建人员可使用这些权限在数据库中创建并拥有表和要素类。 |
*要从 ArcGIS 中编辑数据,请将数据发布为启用了编辑功能的要素服务。
Db2 for z/OS
z/OS 的安全性比其他平台的安全性更高。默认情况下,大多数权限都不会自动授予 PUBLIC 角色;需要将这些权限分别授予各个用户 ID 或用户组。
ArcGIS 不支持在 z/OS 数据库的 Db2 中编辑数据;因此,此处只列出了数据查看人员和数据创建人员的权限。
| 用户类型 | 所需权限 | 用途 |
|---|---|---|
数据查看人员 | 下列系统表中的 SELECT 权限:
| 这些权限允许用户访问数据。 |
对其他用户表的 SELECT 权限 | 数据查看人员需要具有对要查看并查询的特定表的 select 权限。 | |
数据创建人员 数据创建人员需要具有与数据查看人员相同的权限,此外还需要这些附加权限。 |
| 数据创建人员可使用这些权限在数据库中创建并拥有表和要素类。 |