Questa pagina spiega come configurare il controllo dell'accesso granulare per i database di Spanner.
Per informazioni sul controllo dell'accesso granulare, vedi Informazioni sul controllo dell'accesso granulare.
La configurazione di controllo dell'accesso granulare prevede i seguenti passaggi:
Concedi l'accesso ai ruoli del database alle entità Identity and Access Management (IAM).
Informa utenti e sviluppatori di iniziare a utilizzare i ruoli del database.
Gli utenti con un controllo dell'accesso granulare devono quindi specificare un ruolo del database per eseguire query, DML o operazioni di riga sul database.
Prima di iniziare
Assicurati che a ogni entità che deve diventare un utente per controllo dell'accesso granulare venga concesso il ruolo IAM Cloud Spanner Viewer
(roles/spanner.viewer
).
Questo ruolo è consigliato a livello di progetto per gli utenti che devono interagire con le risorse Spanner nella console Google Cloud.
Per le istruzioni, consulta Concedere le autorizzazioni alle entità.
Creazione di ruoli del database e concessione di privilegi
Un ruolo del database è un insieme di privilegi di accesso granulari. Puoi creare fino a 100 ruoli di database per ogni database.
Decidi i ruoli e le gerarchie di ruoli nel tuo database e codificali in DDL. Come per altre modifiche allo schema in Spanner, consigliamo vivamente di inviare le modifiche allo schema in batch anziché separatamente. Per maggiori informazioni, consulta Limitare la frequenza degli aggiornamenti dello schema.
Console
Per creare un ruolo nel database e concedergli privilegi di accesso granulari, segui questi passaggi:
Vai alla pagina Istanze nella console Google Cloud.
Seleziona l'istanza contenente il database per cui vuoi aggiungere il ruolo.
Seleziona il database.
Nella pagina Panoramica, fai clic su Spanner Studio.
Nella pagina Spanner Studio, segui questi passaggi per ogni ruolo del database per cui vuoi creare e concedere privilegi:
Per creare il ruolo, inserisci la seguente istruzione:
CREATE ROLE ROLE_NAME;
Non fare ancora clic su Invia.
Per concedere i privilegi al ruolo, inserisci un'istruzione
GRANT
nella riga successiva dopo l'istruzioneCREATE ROLE
.Per dettagli sulla sintassi dell'istruzione
GRANT
, consulta il linguaggio di definizione dei dati di GoogleSQL. Per informazioni sui privilegi, vedi Privilegi di controllo dell'accesso granulari.Ad esempio, per concedere
SELECT
,INSERT
eUPDATE
nelle tabelleemployees
econtractors
al ruolo del databasehr_manager
, inserisci la seguente istruzione:GoogleSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_manager;
PostgreSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_manager;
Puoi utilizzare un modello DDL per l'istruzione
GRANT
. Nel riquadro Explorer, vai al ruolo per cui vuoi concedere i privilegi. Fai clic su Visualizza azioni e seleziona il tipo di privilegio a cui vuoi concedere l'accesso per questo ruolo. L'istruzione del modelloGRANT
viene compilata in una nuova scheda dell'editor.
Fai clic su Invia.
Se si verificano errori nel DDL, la console Google Cloud restituisce un errore.
gcloud
Per creare un ruolo nel database e concedergli privilegi di accesso granulari, utilizza il comando gcloud spanner databases ddl update
con le istruzioni CREATE ROLE
e GRANT
.
Per dettagli sulla sintassi delle istruzioni CREATE ROLE
e GRANT
, consulta
linguaggio di definizione dei dati di GoogleSQL.
Ad esempio, utilizza il comando seguente per creare un ruolo di database e concedergli i privilegi su una o più tabelle.
GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE_NAME;'
Sostituisci quanto segue:
PRIVILEGES
è un elenco delimitato da virgole di privilegi granulari per controllo dell'accesso dell'accesso. Per informazioni sui privilegi, vedi Privilegi di controllo dell'accesso granulari.TABLES
è un elenco di tabelle delimitato da virgole.
Ad esempio, per concedere SELECT
,
INSERT
e UPDATE
nelle tabelle employees
e contractors
al
ruolo del database hr_analyst
nel database hrdb1
nell'istanza hr
, inserisci
la seguente istruzione:
GoogleSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_analyst;'
PostgreSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_analyst;'
Librerie client
Questi esempi di codice creano e eliminano un ruolo del database.
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Creare una gerarchia di ruoli con ereditarietà
Puoi creare una gerarchia di ruoli del database concedendo un ruolo del database a un altro. I ruoli secondari (noti come ruoli membri) ereditano i privilegi dall'organizzazione principale.
Per concedere un ruolo del database a un altro ruolo del database, utilizza la seguente istruzione:
GoogleSQL
GRANT ROLE role1 TO ROLE role2;
PostgreSQL
GRANT role1 TO role2;
Per saperne di più, consulta Gerarchie ed ereditarietà dei ruoli del database.
Concedi l'accesso ai ruoli del database alle entità IAM
Prima che un'entità possa utilizzare un ruolo di database per accedere alle risorse Spanner, devi concedere all'entità l'accesso al ruolo database.
Console
Per concedere l'accesso ai ruoli di database a un'entità IAM, segui questi passaggi:
Nella pagina Panoramica del database, fai clic su MOSTRA RIQUADRO INFORMAZIONI se il riquadro informazioni non è già aperto.
Fai clic su AGGIUNGI PRINCIPALE.
Nel riquadro Concedi l'accesso a database_name, in Aggiungi entità, specifica una o più entità IAM.
In Assegna ruoli, nel menu Seleziona un ruolo, seleziona Cloud Spanner > Utente con accesso granulare a Cloud Spanner.
Devi concedere questo ruolo solo una volta a ogni entità. Rende l'entità un utente con controllo dell'accesso granulare.
Fai clic su AGGIUNGI UN ALTRO RUOLO.
Nel menu Seleziona un ruolo, seleziona Cloud Spanner > Utente ruolo database Cloud Spanner.
Segui questi passaggi per creare la condizione IAM che specifica i ruoli da concedere.
Accanto al ruolo Utente del ruolo database Cloud Spanner, fai clic su AGGIUNGI CONDIZIONE IAM.
Nel riquadro Aggiungi condizione, inserisci un titolo e una descrizione facoltativa per la condizione.
Se stai concedendo un singolo ruolo del database, in genere includi il nome del ruolo nel titolo della condizione. Se intendi concedere più ruoli, potresti indicare qualcosa in merito all'insieme di ruoli.
Fai clic su EDITOR CONDIZIONI.
Nel campo Espressione, inserisci il seguente codice:
resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE")
Sostituisci
ROLE
con il nome del tuo ruolo.In alternativa, per concedere l'accesso all'entità a più ruoli, aggiungi altre condizioni con l'operatore or (
||
), come mostrato nell'esempio seguente:resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))
Questo codice assegna due ruoli. Sostituisci
ROLE1
eROLE2
con i nomi dei ruoli. Per concedere più di due ruoli, aggiungi più condizioni or.Puoi utilizzare qualsiasi espressione di condizione supportata da IAM. Per saperne di più, consulta la panoramica delle condizioni IAM.
Fai clic su Salva.
Torna al riquadro precedente e verifica che la condizione venga visualizzata nella colonna Condizione IAM accanto al campo Ruolo.
Fai clic su Salva.
Torna al riquadro Informazioni, in Ruolo/Entità, per vedere che viene visualizzato Utente ruolo database Cloud Spanner per ogni condizione definita.
Il numero tra parentesi accanto alla condizione indica il numero di entità a cui viene concesso il ruolo di database da quella condizione. Puoi fare clic sulla freccia di espansione per visualizzare l'elenco delle entità.
Per correggere gli errori nei nomi o nelle condizioni dei ruoli di database o per aggiungere ulteriori ruoli di database per un'entità, segui questi passaggi:
Espandi la voce Utente ruolo database Cloud Spanner che elenca la condizione prescelta.
Fai clic sull'icona Modifica (matita) accanto a un'entità.
Nel riquadro Modifica l'accesso a database_name, esegui una delle seguenti operazioni:
Fai clic su AGGIUNGI UN ALTRO RUOLO.
Per modificare la condizione, fai clic sull'icona a forma di matita Modifica accanto al nome della condizione. Nella pagina Modifica condizione, fai clic su EDITOR CONDIZIONI, apporta le correzioni e fai clic due volte su Salva.
gcloud
Per concedere l'accesso ai ruoli di database a un'entità IAM, segui questi passaggi:
Abilita il controllo dell'accesso granulare per l'entità utilizzando il comando
gcloud spanner databases add-iam-policy-binding
come segue:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.fineGrainedAccessUser \ --member=MEMBER_NAME \ --condition=None
MEMBER_NAME
è l'identificatore dell'entità. Deve essere nel formatouser|group|serviceAccount:email
odomain:domain
.Questo comando rende l'entità un utente con controllo dell'accesso granulare. Invia questo comando solo una volta per ogni entità.
Se l'esito è positivo, il comando restituisce l'intero criterio per il database.
Concedi l'autorizzazione a utilizzare uno o più ruoli del database utilizzando il comando
gcloud spanner databases add-iam-policy-binding
come segue:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.databaseRoleUser \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
è l'identificatore dell'entità. Deve essere nel formatouser|group|serviceAccount:email
odomain:domain
.CONDITION
è un'espressione della condizione IAM che specifica i ruoli da concedere all'entità.CONDITION
ha il formato seguente:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE1")),title=TITLE,description=DESCRIPTION'
In alternativa, per concedere l'accesso all'entità a più ruoli, aggiungi altre condizioni con l'operatore or (
||
), come mostrato nell'esempio seguente:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
Questo codice assegna due ruoli. Sostituisci
ROLE1
eROLE2
con i nomi dei ruoli. Per concedere più di due ruoli, aggiungi più condizioni or con l'operatore||
.Puoi utilizzare qualsiasi espressione di condizione supportata da IAM. Per saperne di più, consulta la panoramica delle condizioni IAM.
Se l'esito è positivo, il comando restituisce l'intero criterio per il database.
L'esempio seguente concede i ruoli del database
hr_rep
ehr_manager
all'entitàjsmith@example.com
.gcloud spanner databases add-iam-policy-binding myDatabase \ --instance=myInstance \ --role=roles/spanner.databaseRoleUser \ --member=user:jsmith@example.com \ --condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/hr_rep") || resource.name.endsWith("/hr_manager"))),title=HR roles,description=Grant permissions on HR roles'
Librerie client
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Comunica a utenti e sviluppatori che devono iniziare a utilizzare i ruoli del database
Una volta completata la configurazione iniziale controllo dell'accesso granulare, informa gli utenti e gli sviluppatori delle applicazioni che devono iniziare a utilizzare i ruoli del database.
Gli utenti con un controllo dell'accesso granulare devono iniziare a specificare un ruolo database quando accedono ai database Spanner tramite la console Google Cloud o Google Cloud CLI.
Le applicazioni che utilizzano un controllo dell'accesso granulare devono specificare un ruolo del database quando accedono al database.
Per maggiori informazioni, consulta Accedere a un database con un controllo dell'accesso granulare.
Transizione di un'entità al controllo dell'accesso granulare
Per passare un'entità IAM dal controllo dell'accesso a livello di database al controllo dell'accesso dell'accesso granulare:
Abilita il controllo dell'accesso granulare per l'entità e concedi l'accesso a tutti i ruoli del database richiesti, come descritto in Concedere l'accesso ai ruoli del database alle entità IAM.
Aggiorna tutte le applicazioni eseguite come entità. Specifica i ruoli del database appropriati nelle chiamate ai metodi delle librerie client.
Revoca tutti i ruoli IAM a livello di database dall'entità. In questo modo, l'accesso per l'entità è regolato da un solo metodo.
Eccezione: per interagire con le risorse Spanner nella console Google Cloud, tutti gli utenti devono avere il ruolo IAM
roles/spanner.viewer
.Per revocare i ruoli IAM a livello di database, segui le istruzioni in Rimuovere le autorizzazioni a livello di database.
Elenco ruoli database
Puoi elencare i ruoli del database associati a un database.
Console
Per elencare i ruoli del database, inserisci la seguente query nella pagina di Spanner Studio per il database:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.ROLES;
PostgreSQL
SELECT * FROM information_schema.enabled_roles;
La risposta include il ruolo attuale e i ruoli con privilegi che il ruolo attuale può utilizzare tramite ereditarietà. Per recuperare tutti i ruoli, utilizza il comando Google Cloud CLI.
gcloud
Per ottenere un elenco non filtrato dei ruoli del database, inserisci il seguente comando.
Richiede l'autorizzazione spanner.databaseRoles.list
.
gcloud spanner databases roles list --database=DATABASE_NAME --instance=INSTANCE_NAME
Librerie client
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Visualizzare i privilegi concessi a un ruolo del database
Per visualizzare i privilegi concessi a un ruolo, esegui queste query:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.COLUMN_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.CHANGE_STREAM_PRIVILEGES WHERE grantee = 'ROLE_NAME';
INFORMATION_SCHEMA.TABLE_PRIVILEGES
restituisce i privilegi sia sulle tabelle che sulle viste.
I privilegi SELECT
, INSERT
e UPDATE
in TABLE_PRIVILEGES
sono mostrati anche in COLUMN_PRIVILEGES
.
PostgreSQL
SELECT * FROM information_schema.table_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.column_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.change_stream_privileges WHERE grantee = 'ROLE_NAME';
information_schema.table_privileges
restituisce i privilegi sia sulle tabelle che sulle viste.
I privilegi SELECT
, INSERT
e UPDATE
in table_privileges
sono mostrati anche in column_privileges
.
Visualizza gli utenti controllo dell'accesso granulare
Per visualizzare un elenco di entità con utenti granulari per controllo dell'accesso, esegui questo comando. Per eseguire il comando, devi avere abilitato l'API Cloud Asset nel progetto e disporre dell'autorizzazione IAM cloudasset.assets.searchAllIamPolicies
.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.fineGrainedAccessUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
L'output è simile al seguente:
MEMBERS user:222larabrown@gmail.com user:baklavainthebalkans@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com serviceAccount:cs-fgac-sa-2@cloud-spanner-demo.google.com.iam.gserviceaccount.com
Per saperne di più, vedi Abilitazione di un'API nel progetto Google Cloud.
Visualizza le entità IAM con accesso a un ruolo di database
Per visualizzare un elenco di entità a cui è stato concesso l'accesso a un determinato ruolo del database, esegui questo comando. Per eseguire il comando, devi avere abilitato l'API Cloud Asset nel progetto e disporre dell'autorizzazione IAM cloudasset.assets.searchAllIamPolicies
.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:"resource.name" AND policy:/ROLE_NAME AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
L'output è simile al seguente:
MEMBERS 222larabrown@gmail.com
Visualizza le condizioni IAM per un'entità
Per visualizzare un elenco di condizioni IAM specificate durante la concessione del ruolo Utente ruolo database Cloud Spanner a un'entità, esegui questo comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:resource.name AND policy:"PRINCIPAL_IDENTIFIER" AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[] \ --format='table(policy.bindings.condition.expression)'
dove PRINCIPAL_IDENTIFIER è:
{ user:user-account-name | serviceAccount:service-account-name }
PRINCIPAL_IDENTIFIER esempi:
user:222larabrown@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com
Il seguente output di esempio mostra due espressioni di condizione.
EXPRESSION resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_analyst") resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_manager")
Verifica la presenza di condizioni dei ruoli di database mancanti nei criteri IAM
Dopo aver concesso alle entità l'accesso ai ruoli del database, ti consigliamo di assicurarti che per ogni associazione IAM sia specificata una condizione.
Per farlo, esegui questo comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles:roles/spanner.databaseRoleUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' --flatten=policy.bindings[].members[]
L'output è simile al seguente:
ROLE MEMBERS EXPRESSION roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-1@... roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-2@... resource.type == "spanner…"
Tieni presente che nel primo risultato manca una condizione, quindi le entità in questa associazione hanno accesso a tutti i ruoli del database.
Elimina un ruolo del database
L'eliminazione di un ruolo di database comporta la revoca automatica dell'appartenenza ad altri ruoli del ruolo e la revoca dell'appartenenza del ruolo ad altri ruoli.
Per eliminare un ruolo del database, devi prima eseguire le seguenti operazioni:
- Revoca tutti i privilegi granulari di controllo dell'accesso dal ruolo.
- Rimuovi tutte le associazioni di criteri IAM che fanno riferimento a quel ruolo, in modo che un ruolo del database creato in seguito con lo stesso nome non erediti queste associazioni.
Console
Per eliminare un ruolo del database:
Nella pagina Panoramica del database, fai clic su Spanner Studio.
Per revocare i privilegi dal ruolo, inserisci un'istruzione
REVOKE
.GoogleSQL
Per dettagli sulla sintassi dell'istruzione
REVOKE
, consulta il linguaggio di definizione dei dati di GoogleSQL. Per informazioni sui privilegi, vedi Privilegi di controllo dell'accesso granulari.Ad esempio, per revocare
SELECT
,INSERT
eUPDATE
nelle tabelleemployees
econtractors
dal ruolo del databasehr_manager
, inserisci la seguente istruzione:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM ROLE hr_manager;
PostgreSQL
Per dettagli sulla sintassi dell'istruzione
REVOKE
, consulta Linguaggio di definizione dei dati PostgreSQL. Per informazioni sui privilegi, vedi Privilegi di controllo dell'accesso granulari.Ad esempio, per revocare i privilegi
SELECT
,INSERT
eUPDATE
nelle tabelleemployees
econtractors
dal ruolo del databasehr_manager
, inserisci la seguente istruzione:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM hr_manager;
Puoi utilizzare un modello DDL per l'istruzione
REVOKE
. Nel riquadro Explorer, vai al ruolo per cui vuoi revocare il privilegio. Fai clic su Visualizza azioni e seleziona il tipo di privilegio che vuoi revocare l'accesso per questo ruolo. L'istruzione del modelloREVOKE
viene compilata in una nuova scheda dell'editor.Elimina qualsiasi condizione IAM associata al ruolo.
Nell'elenco dei ruoli nel riquadro Informazioni, individua il ruolo Utente ruolo database Cloud Spanner con accanto il titolo della condizione di interesse, quindi espandi il ruolo per visualizzare le entità che hanno accesso al ruolo.
Per una delle entità, fai clic sull'icona a forma di matita Modifica entità.
Nella pagina Modifica accesso, fai clic sull'icona Elimina ruolo (cestino) accanto al ruolo Utente ruolo database Cloud Spanner.
Fai clic su Salva.
Ripeti i tre passaggi precedenti per le altre entità elencate nella condizione.
Per rilasciare il ruolo, vai alla pagina Spanner Studio e inserisci la seguente istruzione:
DROP ROLE ROLE_NAME;
Fai clic su Invia.
gcloud
Per revocare tutti i privilegi associati a un ruolo e quindi rilasciare il ruolo, utilizza il comando
gcloud spanner databases ddl update
come segue:GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE ROLE_NAME; DROP ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE_NAME; DROP ROLE ROLE_NAME;'
I valori validi per
PERMISSIONS
sonoSELECT
,INSERT
,UPDATE
eDELETE
.Per eliminare eventuali condizioni IAM correlate, utilizza il comando
gcloud spanner databases remove-iam-policy-binding
come segue:gcloud spanner databases remove-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=ROLE_NAME \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
è l'identificatore dell'entità. Deve essere nel formatouser|group|serviceAccount:email
odomain:domain
.CONDITION
è un'espressione della condizione IAM che specifica i ruoli da concedere all'entità.CONDITION
ha il formato seguente:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
L'intera specifica della condizione deve corrispondere esattamente alla specifica della condizione utilizzata nel comando che ha concesso l'autorizzazione, inclusi titolo e descrizione.
Librerie client
Questi esempi di codice creano e eliminano un ruolo del database.
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Ulteriori informazioni
- Informazioni sul controllo dell'accesso granulare
- Controllo dell'controllo dell'accesso granulare per le modifiche in tempo reale
- Privilegi granulari per controllo dell'accesso dell'accesso
- Riferimento DDL di GoogleSQL
- Eseguire aggiornamenti allo schema