Nesta página, explicamos como acessar um banco de dados do Spanner quando você for um usuário de controle de acesso detalhado.
Para saber mais sobre o controle de acesso detalhado, consulte Sobre o controle de acesso detalhado.
Como um usuário de controle de acesso refinado, você precisa selecionar um papel de banco de dados a ser usado para executar instruções e consultas SQL e para executar operações de linha em um banco de dados. A seleção de função persistirá durante toda a sessão até que você altere a função.
Quando você envia uma consulta, DML ou operação de linha, o Spanner verifica a autorização usando as seguintes regras:
- Console do Google Cloud
O Spanner primeiro verifica se você tem permissões do IAM no nível do banco de dados. Nesse caso, o console do Google Cloud não mostra um seletor de papéis do banco de dados e sua sessão continua com as permissões no nível do banco de dados.
Se você tiver apenas privilégios de controle de acesso refinados e nenhuma permissão no nível do banco de dados do IAM, precisará ter acesso ao papel do sistema
spanner_sys_reader
ou um dos papéis de membro. Selecione um papel na página Visão geral do banco de dados para que a sessão do console do Google Cloud continue com os privilégios necessários.
- SDK Google Cloud
Se você especificar um papel de banco de dados ao enviar uma operação de consulta, DML ou linha, o Spanner verificará os privilégios de controle de acesso refinados. Se a verificação falhar, o Spanner não verificará as permissões do IAM no nível do banco de dados e a operação falhará.
Se você não especificar um papel de banco de dados, o Spanner verificará as permissões do IAM no nível do banco de dados e, se as verificações forem bem-sucedidas, a sessão continuará com as permissões no nível do banco de dados.
Use estes métodos para especificar um papel de banco de dados ao acessar um banco de dados do Spanner:
Console
Selecione um banco de dados e, na página Visão geral do banco de dados, clique no ícone Alterar papel do banco de dados (lápis) ao lado do campo Papel atual.
Por padrão, quando um usuário de controle de acesso detalhado faz login, esse campo tem o valor
public
. Para informações sobre o papel do sistemapublic
, consulte Papéis detalhados do sistema de controle de acesso.Na caixa de diálogo Alterar papel do banco de dados, selecione outro papel na lista de papéis disponíveis.
Clique em Atualizar.
O campo Função atual mostra a nova função.
gcloud
Adicione a opção
--database-role
ao comandogcloud spanner databases execute-sql
da seguinte maneira:gcloud spanner databases execute-sql DATABASE_NAME \ --instance=INSTANCE_NAME \ --sql="SELECT * from TABLE_NAME;" \ --database-role=ROLE_NAME
Bibliotecas de cliente
C++
C#
Go
Java
Node.js
PHP
Python
Ruby