授权视图概览
授权视图是表的逻辑视图 对 Bigtable 数据进行精细的访问权限控制。授权视图是表的一部分,您可以将其配置为包含特定的表数据,然后向已获授权的视图授予访问权限 与对表的访问相互独立
授权视图对于多租户表或其他 如果您的表包含并非所有用户都能够使用的数据 访问权限。与其他数据库服务中的视图不同,Bigtable 授权视图可用于控制读取和写入权限。您可以通过编程方式创建数千个已获授权的视图,就像其他存储系统所称的“可更新视图”或“过滤别名”一样。
本文档介绍了已获授权的视图,还提供了定义示例 文件。在阅读本文档之前, 请先熟悉Bigtable 存储空间 模型。如需了解相关说明,请参阅创建和管理已获授权的视图。
什么是授权视图
在创建授权视图时,您可以通过指定 使用以下参数之一添加到已获授权的视图中:
- 行键前缀 - 例如,所有以
examplepetstore1|开头的行 - 列限定符前缀 - 例如,指定列族中所有限定符以
order#开头的列 - 列限定符 - 例如,仅指定列族中的
order-examplepetstore列 - 行键前缀和列限定符的组合
如果多个列族中使用相同的列限定符,并且您希望 在视图中包含具有该限定符的所有列,则必须指定每个 请在定义 视图。
用于定义 将被视为服务数据因此, 使用行键或列限定符值创建授权视图, 包含敏感信息。如需了解服务数据的处理方式,请参阅 Google Cloud 隐私权声明。
包含列族中的列或所有行
如果您想确保添加到
基础表也包含在您的授权视图中,
应指定空字符串 ("") 作为列限定符前缀。例如,定义文件会在族子子集中包含以下内容:"qualifierPrefixes": [""]。
同样,如果您想定义一个包含表中所有行的授权视图,请将空字符串 ("") 指定为行键前缀。在
定义文件中,在视图子集中将其写为 "rowPrefixes": [""]。
为了避免过于复杂的授权视图,Bigtable 允许 您最多只能指定 10 个不同的限定符前缀。这意味着,授权视图可以指定一个包含 10 个限定符前缀的列族、10 个包含单个限定符前缀的列族,或介于这两者之间的任何数量,只要限定符总数不超过 10 个即可。
最佳实践是,每个 JSON 对象仅指定一次键。如果您指定 键,例如列族名称(多个),则是键的最终条目 覆盖键之前的所有条目。
定义文件示例
本部分介绍了 JSON 格式的已获授权的视图定义文件示例。
以下是已获授权视图的定义文件示例,其中包含行键前缀为 examplepetstore1# 的所有行。
{
"subsetView":
{
"rowPrefixes": ["examplestore1#"],
"familySubsets":
{
"customer":
{
"qualifiers":["address"],
"qualifierPrefixes":["tel"]
}
}
},
"deletionProtection": true
}
以下是授权视图的定义文件示例
包含 order 列族中的 skus 列以及
customer 列族。
{
"subsetView": {
"familySubsets": {
"order": {
"qualifiers": ["skus"]
}
}
"familySubsets": {
"key": "customer"
"qualifierPrefixes": [""]
}
}
}
以下是授权视图的定义文件示例
仅包含 order 中 skus 列中的数据
行键前缀为 examplepetstore1# 的行中的列族。
{
"subsetView": {
"rowPrefixes": ["examplepetstore1#"]
"familySubsets": {
"order": {
"qualifiers": ["skus"]
}
}
}
}
以下是已获授权视图的定义文件示例,其中仅包含 order 列族中的 skus 和 agents 列以及 pet_id 列族中的 dog、cat 和 bird 列中的数据。
{
"subsetView": {
"rowPrefixes": ["examplepetstore1#"]
"familySubsets": {
"order": {
"qualifiers": ["skus", "agents"]
"pet_id": {
"qualifiers": ["dog", "cat", "bird"]
}
}
}
}
}