Nesta página, explicamos como configurar o controle de acesso detalhado para bancos de dados do Spanner.
Para saber mais sobre o controle de acesso detalhado, consulte Sobre o controle de acesso detalhado.
A configuração do controle de acesso detalhado envolve as seguintes etapas:
Conceda acesso a papéis de banco de dados para principais do Identity and Access Management (IAM).
Informe os usuários e desenvolvedores para começar a usar os papéis de banco de dados.
Os usuários de controle de acesso granular precisam especificar um papel de banco de dados para executar consultas, DML ou operações de linha no banco de dados.
Antes de começar
Verifique se cada principal que será um usuário de controle de acesso refinado recebe o papel Cloud Spanner Viewer
do IAM (roles/spanner.viewer
). Esse papel é recomendado no nível do projeto para usuários que precisam interagir com os recursos do Spanner no console do Google Cloud.
Para mais instruções, consulte Conceder permissões aos principais.
Criar funções de banco de dados e conceder privilégios
Um papel de banco de dados é uma coleção de privilégios de acesso detalhados. É possível criar até 100 papéis para cada banco de dados.
Defina papéis e hierarquias no banco de dados e codifique-os em DDL. Assim como em outras alterações de esquema no Spanner, é altamente recomendável emitir as alterações de esquema em um lote, e não separadamente. Para mais informações, consulte Limitar a frequência de atualizações do esquema.
Console
Para criar um papel de banco de dados e conceder privilégios de acesso detalhados a ele, siga estas etapas:
Acesse a página Instâncias no console do Google Cloud.
Selecione a instância que contém o banco de dados ao qual você quer adicionar o papel.
Selecione o banco de dados.
Na página Visão geral, clique em Spanner Studio.
Na página do Spanner Studio, para cada papel de banco de dados que você quer criar e conceder privilégios, siga estas etapas:
Para criar o papel, insira a seguinte instrução:
CREATE ROLE ROLE_NAME;
Não clique em Enviar ainda.
Para conceder privilégios ao papel, insira uma instrução
GRANT
na próxima linha após a instruçãoCREATE ROLE
.Para detalhes de sintaxe da instrução
GRANT
, consulte Linguagem de definição de dados do GoogleSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para conceder
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
ao papel de banco de dadoshr_manager
, insira a seguinte instrução:GoogleSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_manager;
PostgreSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_manager;
É possível usar um modelo DDL para a instrução
GRANT
. No painel Explorador, navegue até o papel em que você quer conceder privilégios. Clique em Ver ações e selecione o tipo de privilégio a que você quer conceder acesso para esse papel. A instrução do modeloGRANT
será preenchida em uma nova guia do editor.
Clique em Enviar.
Se houver erros no DDL, o console do Google Cloud retornará um erro.
gcloud
Para criar um papel de banco de dados e conceder privilégios de acesso detalhados a ele,
use o comando gcloud spanner databases ddl update
com instruções CREATE ROLE
e GRANT
.
Para detalhes de sintaxe nas instruções CREATE ROLE
e GRANT
, consulte
Linguagem de definição de dados do GoogleSQL.
Por exemplo, use o comando a seguir para criar um papel de banco de dados e conceder privilégios a ele em uma ou mais tabelas.
GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE_NAME;'
Substitua:
PRIVILEGES
é uma lista delimitada por vírgulas de privilégios de controle de acesso refinados. Para informações sobre privilégios, consulte Privilégios de controle de acesso refinados.TABLES
é uma lista de tabelas delimitadas por vírgulas.
Por exemplo, para conceder SELECT
, INSERT
e UPDATE
nas tabelas employees
e contractors
ao papel de banco de dados hr_analyst
no banco de dados hrdb1
na instância hr
, digite a seguinte instrução:
GoogleSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_analyst;'
PostgreSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_analyst;'
Bibliotecas de cliente
Esses exemplos de código criam e descartam um papel de banco de dados.
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Criar uma hierarquia de papéis com herança
É possível criar uma hierarquia de papéis de banco de dados concedendo um papel de banco de dados a outro. Os papéis filhos (conhecidos como funções de membro) herdam privilégios do pai.
Para conceder um papel de banco de dados a outro, use a seguinte instrução:
GoogleSQL
GRANT ROLE role1 TO ROLE role2;
PostgreSQL
GRANT role1 TO role2;
Para mais informações, consulte Hierarquias e heranças de papéis do banco de dados.
Conceder acesso a papéis de banco de dados aos principais do IAM
Antes que um principal possa usar um papel de banco de dados para acessar os recursos do Spanner, é preciso conceder a ele acesso ao papel de banco de dados.
Console
Para conceder acesso a papéis de banco de dados a um principal do IAM, siga estas etapas:
Na página Visão geral do banco de dados, clique em MOSTRAR PAINEL DE INFORMAÇÕES se o Painel de informações ainda não estiver aberto.
Clique em ADICIONAR CONTA PRINCIPAL.
No painel Conceder acesso a database_name, em Adicionar principais, especifique um ou mais principais do IAM.
Em Atribuir papéis, no menu Selecionar um papel, selecione Cloud Spanner > Usuário de acesso refinado do Cloud Spanner.
Você precisa conceder esse papel apenas uma vez para cada principal. Ele torna o principal um usuário de controle de acesso refinado.
Clique em ADICIONAR OUTRO PAPEL.
No menu Selecionar papel, escolha Cloud Spanner > Usuário com papel de banco de dados do Cloud Spanner.
Siga estas etapas para criar a condição do IAM que especifica os papéis a serem concedidos.
Ao lado do papel de usuário do papel de banco de dados do Cloud Spanner, clique em ADICIONAR CONDIÇÃO DE IAM.
No painel Adicionar condição, insira um título e uma descrição opcional para a condição.
Se você estiver concedendo um único papel de banco de dados, normalmente o nome do papel é incluído no título da condição. Se você estiver concedendo vários papéis, indique algo sobre o conjunto de papéis.
Clique em EDITOR DE CONDIÇÕES.
No campo Expressão, insira o seguinte código:
resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE")
Substitua
ROLE
pelo nome do papel.Ou, para conceder acesso ao principal a mais de um papel, adicione mais condições com o operador or (
||
), conforme mostrado no exemplo a seguir:resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))
Esse código concede dois papéis. Substitua
ROLE1
eROLE2
pelos nomes dos papéis. Para conceder mais de dois papéis, adicione mais condições ou.É possível usar qualquer expressão de condição compatível com o IAM. Para mais informações, consulte Visão geral das condições do IAM.
Clique em Salvar.
No painel anterior, verifique se a condição aparece na coluna Condição do IAM, ao lado do campo Papel.
Clique em Salvar.
No painel de informações, em Papel/Principal, observe que Usuário de papel do banco de dados do Cloud Spanner aparece para cada condição definida.
O número entre parênteses ao lado da condição indica o número de principais que recebem o papel de banco de dados por essa condição. Clique na seta de expansão para conferir a lista de principais.
Para corrigir erros em nomes ou condições de papéis de banco de dados ou para adicionar outros papéis de banco de dados a um principal, siga estas etapas:
Expanda a entrada Usuário com papel de banco de dados do Cloud Spanner que lista a condição que você quer.
Clique no ícone Editar (lápis) ao lado de um principal.
No painel Acesso para editar a database_name, realize uma das seguintes ações:
Clique em ADICIONAR OUTRO PAPEL.
Para editar a condição, clique no ícone Editar (lápis) ao lado do nome da condição. Na página Editar condição, clique em EDITOR DE CONDIÇÕES, faça as correções e clique em Salvar duas vezes.
gcloud
Para conceder acesso aos papéis de banco de dados a um principal do IAM, siga estas etapas:
Ative o controle de acesso refinado para o principal usando o comando
gcloud spanner databases add-iam-policy-binding
da seguinte maneira:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.fineGrainedAccessUser \ --member=MEMBER_NAME \ --condition=None
MEMBER_NAME
é o identificador do principal. Ele precisa estar no formatouser|group|serviceAccount:email
oudomain:domain
.Esse comando torna o principal um usuário de controle de acesso detalhado. Envie esse comando apenas uma vez para cada principal.
Se bem-sucedido, o comando gera a política inteira para o banco de dados.
Conceda permissão para usar um ou mais papéis de banco de dados usando o comando
gcloud spanner databases add-iam-policy-binding
da seguinte maneira:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.databaseRoleUser \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
é o identificador do principal. Ele precisa estar no formatouser|group|serviceAccount:email
oudomain:domain
.CONDITION
é uma expressão de condição do IAM que especifica os papéis que serão concedidos ao principal.CONDITION
tem o seguinte formato:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE1")),title=TITLE,description=DESCRIPTION'
Ou, para conceder acesso ao principal a mais de um papel, adicione mais condições com o operador or (
||
), conforme mostrado no exemplo a seguir:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
Esse código concede dois papéis. Substitua
ROLE1
eROLE2
pelos nomes dos papéis. Para conceder mais de dois papéis, adicione mais condições or com o operador||
.É possível usar qualquer expressão de condição compatível com o IAM. Para mais informações, consulte Visão geral das condições do IAM.
Se bem-sucedido, o comando gera a política inteira para o banco de dados.
O exemplo a seguir concede os papéis de banco de dados
hr_rep
ehr_manager
ao principaljsmith@example.com
.gcloud spanner databases add-iam-policy-binding myDatabase \ --instance=myInstance \ --role=roles/spanner.databaseRoleUser \ --member=user:jsmith@example.com \ --condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/hr_rep") || resource.name.endsWith("/hr_manager"))),title=HR roles,description=Grant permissions on HR roles'
Bibliotecas de cliente
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Informar usuários e desenvolvedores para começar a usar papéis de banco de dados
Após a conclusão da configuração inicial de controle de acesso detalhado, informe aos usuários e os desenvolvedores de aplicativos que eles precisam começar a usar os papéis de banco de dados.
Os usuários de controle de acesso refinado precisam começar a especificar um papel de banco de dados quando acessam os bancos de dados do Spanner por meio do console do Google Cloud ou da Google Cloud CLI.
Os aplicativos que usam controle de acesso refinado precisam especificar um papel de banco de dados ao acessá-lo.
Para mais informações, consulte Acessar um banco de dados com controle de acesso detalhado.
Transição de um principal para um controle de acesso detalhado
Para fazer a transição de um principal do IAM do controle de acesso no nível do banco de dados para o controle de acesso detalhado, siga estas etapas:
Ative o controle de acesso refinado para o principal e conceda acesso a todos os papéis necessários do banco de dados, conforme descrito em Conceder acesso a papéis de banco de dados aos principais do IAM.
Atualize todos os aplicativos executados como este principal. Especifique os papéis apropriados do banco de dados em chamadas para os métodos da biblioteca de cliente.
Revogue todos os papéis do banco de dados do IAM do principal. Dessa forma, o acesso do principal é regido por apenas um método.
Exceção: para interagir com os recursos do Spanner no console do Google Cloud, todos os usuários precisam ter o papel
roles/spanner.viewer
do IAM.Para revogar esses papéis, siga as instruções em Remover permissões no nível do banco de dados.
Listar papéis de banco de dados
É possível listar os papéis de banco de dados associados a um banco de dados.
Console
Para listar papéis de banco de dados, insira a seguinte consulta na página do Spanner Studio para o banco de dados:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.ROLES;
PostgreSQL
SELECT * FROM information_schema.enabled_roles;
A resposta inclui o papel atual e os papéis com privilégios que o papel atual pode usar por meio da herança. Para buscar todos os papéis, use o comando da Google Cloud CLI.
gcloud
Para receber uma lista não filtrada de papéis do banco de dados, digite o comando a seguir.
Ela exige a permissão spanner.databaseRoles.list
.
gcloud spanner databases roles list --database=DATABASE_NAME --instance=INSTANCE_NAME
Bibliotecas de cliente
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Visualizar os privilégios concedidos a um papel de banco de dados
Para ver os privilégios concedidos a um papel, execute as seguintes consultas:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.COLUMN_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.CHANGE_STREAM_PRIVILEGES WHERE grantee = 'ROLE_NAME';
INFORMATION_SCHEMA.TABLE_PRIVILEGES
retorna privilégios em tabelas e visualizações.
Os privilégios SELECT
, INSERT
e UPDATE
em TABLE_PRIVILEGES
também são
mostrados em COLUMN_PRIVILEGES
.
PostgreSQL
SELECT * FROM information_schema.table_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.column_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.change_stream_privileges WHERE grantee = 'ROLE_NAME';
information_schema.table_privileges
retorna privilégios em tabelas e visualizações.
Os privilégios SELECT
, INSERT
e UPDATE
em table_privileges
também são
mostrados em column_privileges
.
Visualize usuários de controle de acesso detalhados
Para visualizar uma lista de principais que são usuários de controle de acesso refinados, execute o comando
a seguir. Para executar o comando, você precisa ter a API Cloud Asset ativada no
projeto e a permissão
cloudasset.assets.searchAllIamPolicies
do IAM.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.fineGrainedAccessUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
A resposta será semelhante a:
MEMBERS user:222larabrown@gmail.com user:baklavainthebalkans@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com serviceAccount:cs-fgac-sa-2@cloud-spanner-demo.google.com.iam.gserviceaccount.com
Para mais informações, consulte Como ativar uma API no projeto do Google Cloud.
Mostrar principais do IAM com acesso a um papel de banco de dados
Para visualizar uma lista dos principais que receberam acesso a um papel de banco de dados específico, execute o comando a seguir. Para executar o comando, você precisa ter a
API Cloud Asset ativada no projeto e a
permissão do IAM
cloudasset.assets.searchAllIamPolicies
.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:"resource.name" AND policy:/ROLE_NAME AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
A resposta será semelhante a:
MEMBERS 222larabrown@gmail.com
Consultar as condições do IAM para um principal
Para ver uma lista de condições do IAM especificadas ao conceder o papel Usuário do papel de banco de dados do Cloud Spanner a um principal, execute o seguinte comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:resource.name AND policy:"PRINCIPAL_IDENTIFIER" AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[] \ --format='table(policy.bindings.condition.expression)'
em que PRINCIPAL_IDENTIFIER é:
{ user:user-account-name | serviceAccount:service-account-name }
Exemplos de PRINCIPAL_IDENTIFIER:
user:222larabrown@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com
O exemplo de saída a seguir mostra duas expressões condicionais.
EXPRESSION resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_analyst") resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_manager")
Verifique se há condições de papéis de banco de dados ausentes nas políticas do IAM
Depois de conceder acesso aos papéis de banco de dados aos principais, recomendamos que você verifique se cada vinculação do IAM tem uma condição especificada.
Para fazer essa verificação, execute o seguinte comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles:roles/spanner.databaseRoleUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' --flatten=policy.bindings[].members[]
O resultado será assim:
ROLE MEMBERS EXPRESSION roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-1@... roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-2@... resource.type == "spanner…"
Observe que o primeiro resultado não tem uma condição e, portanto, os principais dessa vinculação têm acesso a todos os papéis do banco de dados.
Remover um papel de banco de dados
O descarte de um papel de banco de dados revoga automaticamente a associação de outros papéis do papel e revoga a associação do papel em outros papéis.
Para descartar um papel de banco de dados, primeiro faça o seguinte:
- Revogue todos os privilégios de controle de acesso detalhados do papel.
- Remova todas as vinculações de política do IAM que se refiram a esse papel. Assim, um papel de banco de dados criado posteriormente com o mesmo nome não vai herdar essas vinculações.
Console
Para descartar um papel de banco de dados, siga estas etapas:
Na página Visão geral do banco de dados, clique em Spanner Studio.
Para revogar os privilégios do papel, digite uma instrução
REVOKE
.GoogleSQL
Para detalhes de sintaxe da instrução
REVOKE
, consulte Linguagem de definição de dados do GoogleSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para revogar
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
do papel de banco de dadoshr_manager
, insira a seguinte instrução:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM ROLE hr_manager;
PostgreSQL
Para detalhes de sintaxe da instrução
REVOKE
, consulte Linguagem de definição de dados do PostgreSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para revogar os privilégios
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
do papel de banco de dadoshr_manager
, digite a seguinte instrução:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM hr_manager;
É possível usar um modelo DDL para a instrução
REVOKE
. No painel Explorador, navegue até o papel em que você quer revogar o privilégio. Clique em Ver ações e selecione o tipo de privilégio ao qual você quer revogar o acesso desse papel. A instrução do modeloREVOKE
será preenchida em uma nova guia do editor.Exclua qualquer condição do IAM associada ao papel.
Na lista de papéis no painel de informações, localize o papel Usuário de papéis do banco de dados do Cloud Spanner que tem o título de interesse da condição ao lado e, em seguida, expanda o papel para visualizar os principais que têm acesso ao papel.
Para um dos principais, clique no ícone Editar principal (lápis).
Na página Editar acesso, clique no ícone Excluir papel (lixeira) ao lado do papel Usuário do papel do banco de dados do Cloud Spanner.
Clique em Salvar.
Repita as três etapas anteriores para outros principais listados na condição.
Para descartar o papel, acesse a página Spanner Studio e insira a seguinte instrução:
DROP ROLE ROLE_NAME;
Clique em Enviar.
gcloud
Para revogar todos os privilégios de um papel e, em seguida, descartar o papel, use o comando
gcloud spanner databases ddl update
da seguinte maneira:GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE ROLE_NAME; DROP ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE_NAME; DROP ROLE ROLE_NAME;'
Os valores válidos para
PERMISSIONS
sãoSELECT
,INSERT
,UPDATE
eDELETE
.Para excluir quaisquer condições de IAM relacionadas, use o comando
gcloud spanner databases remove-iam-policy-binding
da seguinte maneira:gcloud spanner databases remove-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=ROLE_NAME \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
é o identificador do principal. Ele precisa estar no formatouser|group|serviceAccount:email
oudomain:domain
.CONDITION
é uma expressão de condição do IAM que especifica os papéis que serão concedidos ao principal.CONDITION
tem o seguinte formato:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
Toda a especificação da condição precisa corresponder exatamente à especificação da condição usada no comando que concedeu a permissão, incluindo o título e a descrição.
Bibliotecas de cliente
Esses exemplos de código criam e descartam um papel de banco de dados.
C++
C#
Go
Java
Node.js
PHP
Python
Ruby
Mais informações
- Sobre o controle de acesso detalhado
- Controle de acesso refinado para fluxos de alterações
- Privilégios de controle de acesso refinados
- Referência de DDL do GoogleSQL
- Fazer atualizações de esquema