En esta página, se explica cómo configurar el control de acceso detallado para las bases de datos de Spanner.
Para obtener información sobre el control de acceso detallado, consulta Acerca del control de acceso detallado.
La configuración del control de acceso detallado implica los siguientes pasos:
Otorga acceso a los roles de base de datos a los principales de Identity and Access Management (IAM).
Informa a los usuarios y desarrolladores para que comiencen a usar roles de bases de datos.
Entonces, los usuarios de control de acceso detallado deben especificar una función de base de datos para realizar consultas, operaciones de DML o de filas en la base de datos.
Antes de comenzar
Asegúrate de que a cada principal que sea un usuario de control de acceso detallado se le otorgue el rol de IAM Cloud Spanner Viewer
(roles/spanner.viewer
).
Esta función se recomienda a nivel de proyecto para los usuarios que deben interactuar con
recursos de Spanner en la consola de Google Cloud.
Para obtener instrucciones, consulta Otorga permisos a las principales.
Crea roles de base de datos y otorga privilegios
Un rol de base de datos es una colección de privilegios de acceso detallados. Puedes crear hasta 100 funciones de base de datos para cada base de datos.
Elige roles y jerarquías de roles en tu base de datos y codifícalos en DDL. Al igual que con otros cambios de esquema en Spanner, se recomienda emitir los cambios de esquema en un lote en lugar de hacerlo por separado. Para obtener más información, consulta Limita la frecuencia de las actualizaciones del esquema.
Console
Para crear una función de base de datos y otorgarle privilegios de acceso detallados, sigue estos pasos:
Ve a la página Instancias en la consola de Google Cloud.
Selecciona la instancia que contiene la base de datos para la que deseas agregar el rol.
Selecciona la base de datos.
En la página Descripción general, haz clic en Spanner Studio.
En la página de Spanner Studio, sigue estos pasos para cada función de base de datos que desees crear y otorgar privilegios:
Para crear el rol, ingresa la siguiente declaración:
CREATE ROLE ROLE_NAME;
Aún no hagas clic en Enviar.
Para otorgar privilegios a la función, ingresa una declaración
GRANT
en la línea siguiente después de la declaraciónCREATE ROLE
.Para obtener detalles de la sintaxis de la instrucción
GRANT
, consulta Lenguaje de definición de datos de GoogleSQL. Para obtener información sobre los privilegios, consulta Privilegios de control de acceso detallados.Por ejemplo, para otorgar
SELECT
,INSERT
yUPDATE
en las tablasemployees
ycontractors
a la función de base de datoshr_manager
, ingresa la siguiente declaración:GoogleSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_manager;
PostgreSQL
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_manager;
Puedes usar una plantilla de DDL para la declaración
GRANT
. En el panel Explorador, navega a la función para la que deseas otorgar privilegios. Haz clic en Ver acciones y selecciona el tipo de privilegio al que deseas otorgar acceso para este rol. La sentencia de plantillaGRANT
se propaga en una nueva pestaña del editor.
Haz clic en Enviar.
Si hay errores en tu DDL, la consola de Google Cloud mostrará un error.
gcloud
Para crear una función de base de datos y otorgarle privilegios de acceso detallados, usa el comando gcloud spanner databases ddl update
con las instrucciones CREATE ROLE
y GRANT
.
Para obtener detalles de la sintaxis de las instrucciones CREATE ROLE
y GRANT
, consulta Lenguaje de definición de datos de GoogleSQL.
Por ejemplo, usa el siguiente comando para crear una función de base de datos y otorgarle privilegios en una o más tablas.
GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLE ROLE_NAME; GRANT PRIVILEGES ON TABLE TABLES TO ROLE_NAME;'
Reemplaza lo siguiente:
PRIVILEGES
es una lista delimitada por comas de privilegios de control de acceso detallados. Para obtener información sobre los privilegios, consulta Privilegios de control de acceso detallados.TABLES
es una lista de tablas delimitadas por comas.
Por ejemplo, para otorgar SELECT
, INSERT
y UPDATE
en las tablas employees
y contractors
a la función de base de datos hr_analyst
en la base de datos hrdb1
en la instancia hr
, ingresa la siguiente declaración:
GoogleSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_analyst;'
PostgreSQL
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_analyst;'
Bibliotecas cliente
Con estas muestras de código, se crea y se descarta un rol de base de datos.
C++
C#
Go
Java
Node.js
PHP
Python
Rita
Crea una jerarquía de roles con herencia
Puedes crear una jerarquía de funciones de base de datos si otorgas una función de base de datos a otra. Los roles secundarios (conocidos como roles de miembro) heredan los privilegios del superior.
Para otorgar un rol de base de datos a otro rol de base de datos, usa la siguiente instrucción:
GoogleSQL
GRANT ROLE role1 TO ROLE role2;
PostgreSQL
GRANT role1 TO role2;
Para obtener más información, consulta Jerarquías y herencia de los roles de las bases de datos.
Otorga acceso a las principales de IAM a los roles de la base de datos
Antes de que una principal pueda usar un rol de base de datos para acceder a los recursos de Spanner, debes otorgarle acceso al rol de base de datos.
Console
Para otorgar acceso a los roles de base de datos a una principal de IAM, sigue estos pasos:
En la página Descripción general de la base de datos, haz clic en MOSTRAR PANEL DE INFORMACIÓN si el panel de información no está abierto.
Haz clic en AGREGAR PRINCIPAL.
En el panel Otorgar acceso a database_name, en Agregar principales, especifica una o más principales de IAM.
En Asignar roles, en el menú Selecciona un rol, elige Cloud Spanner > Usuario con acceso detallado de Cloud Spanner.
Debes otorgar este rol solo una vez a cada principal. Hace que la principal sea un usuario de control de acceso detallado.
Haz clic en AGREGAR OTRA FUNCIÓN.
En el menú Selecciona un rol, elige Cloud Spanner > Usuario del rol de base de datos de Cloud Spanner.
Sigue estos pasos para crear la condición de IAM que especifique los roles que se otorgarán.
Junto a la función Usuario de función de base de datos de Cloud Spanner, haz clic en AGREGAR CONDICIÓN DE IAM.
En el panel Agregar condición, ingresa un título y una descripción opcional para la condición.
Si otorgas un solo rol de base de datos, por lo general, debes incluir el nombre de la función en el título de la condición. Si asignas varios roles, podrías indicar algo acerca del conjunto de roles.
Haz clic en EDITOR DE CONDICIÓN.
En el campo Expresión, ingresa el siguiente código:
resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE")
Reemplaza
ROLE
por el nombre de tu rol.O bien, para otorgar acceso a la principal a más de una función, agrega más condiciones con el operador or (
||
), como se muestra en el siguiente ejemplo:resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))
Este código otorga dos roles. Reemplaza
ROLE1
yROLE2
por los nombres de tus funciones. Para otorgar más de dos funciones, agrega más condiciones or.Puedes usar cualquier expresión de condición que sea compatible con IAM. Para obtener más información, consulta la Descripción general de las condiciones de IAM.
Haz clic en Guardar.
Regresa al panel anterior y verifica que la condición aparezca en la columna Condición de IAM junto al campo Función.
Haz clic en Guardar.
En el panel de información, en Función/Principal, observa que aparece Usuario de rol de base de datos de Cloud Spanner para cada condición definida.
La cifra entre paréntesis junto a la condición indica la cantidad de principales que tienen la función de base de datos según esa condición. Puedes hacer clic en la flecha de expansión para ver la lista de principales.
Para corregir errores en los nombres o las condiciones de los roles de base de datos, o agregar roles de base de datos adicionales para una principal, sigue estos pasos:
Expande la entrada Usuario del rol de base de datos de Cloud Spanner que enumera la condición que deseas.
Haz clic en el ícono de edición (lápiz) junto a una principal.
En el panel Acceso de edición a database_name, realiza una de las siguientes acciones:
Haz clic en AGREGAR OTRA FUNCIÓN.
Para editar la condición, haz clic en el ícono Editar (lápiz) junto al nombre de la condición. Luego, en la página Editar condición, haz clic en EDITOR DE CONDICIÓN, realiza las correcciones y haz clic dos veces en Guardar.
gcloud
Para otorgar acceso a los roles de base de datos a una principal de IAM, sigue estos pasos:
Habilita el control de acceso detallado para la principal con el comando
gcloud spanner databases add-iam-policy-binding
como se indica a continuación:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.fineGrainedAccessUser \ --member=MEMBER_NAME \ --condition=None
MEMBER_NAME
es el identificador de la principal. Debe tener el formatouser|group|serviceAccount:email
odomain:domain
.Este comando convierte a la principal en un usuario de control de acceso detallado. Envía este comando solo una vez por cada principal.
Si se ejecuta de forma correcta, el comando genera toda la política para la base de datos.
Otorga permisos para usar una o más funciones de base de datos mediante el comando
gcloud spanner databases add-iam-policy-binding
de la siguiente manera:gcloud spanner databases add-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.databaseRoleUser \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
es el identificador de la principal. Debe tener el formatouser|group|serviceAccount:email
odomain:domain
.CONDITION
es una expresión de condición de IAM que especifica los roles que se otorgarán a la principal.CONDITION
tiene la siguiente forma:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/ROLE1")),title=TITLE,description=DESCRIPTION'
O bien, para otorgar acceso a la principal a más de una función, agrega más condiciones con el operador or (
||
), como se muestra en el siguiente ejemplo:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
Este código otorga dos roles. Reemplaza
ROLE1
yROLE2
por los nombres de tus funciones. Para otorgar más de dos funciones, agrega más condiciones or con el operador||
.Puedes usar cualquier expresión de condición que sea compatible con IAM. Para obtener más información, consulta la Descripción general de las condiciones de IAM.
Si se ejecuta de forma correcta, el comando genera toda la política para la base de datos.
En el siguiente ejemplo, se otorgan los roles de base de datos
hr_rep
yhr_manager
a la principaljsmith@example.com
.gcloud spanner databases add-iam-policy-binding myDatabase \ --instance=myInstance \ --role=roles/spanner.databaseRoleUser \ --member=user:jsmith@example.com \ --condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/hr_rep") || resource.name.endsWith("/hr_manager"))),title=HR roles,description=Grant permissions on HR roles'
Bibliotecas cliente
C++
C#
Go
Java
Node.js
PHP
Python
Rita
Informa a los usuarios y desarrolladores para que comiencen a usar roles de bases de datos
Una vez completada la configuración inicial de control de acceso detallada, informa a los usuarios y a los desarrolladores de aplicaciones que deben comenzar a usar roles de base de datos.
Los usuarios de control de acceso detallado deben comenzar a especificar un rol de base de datos cuando acceden a las bases de datos de Spanner a través de la consola de Google Cloud o Google Cloud CLI.
Las aplicaciones que usan control de acceso detallado deben especificar una función de base de datos cuando acceden a la base de datos.
Para obtener más información, consulta Accede a una base de datos con un control de acceso detallado.
Realiza la transición de una principal a un control de acceso detallado
Para realizar la transición de una principal de IAM del control de acceso a nivel de la base de datos al control de acceso detallado, sigue estos pasos:
Habilita un control de acceso detallado para la principal y otorga acceso a todos los roles de bases de datos necesarios, como se describe en Otorga acceso a los roles de base de datos a las principales de IAM.
Actualiza todas las aplicaciones que se ejecutan como esta principal. Especifica las funciones adecuadas de las bases de datos en las llamadas a los métodos de la biblioteca cliente.
Revoca todos los roles de IAM a nivel de base de datos de la principal. De esta manera, el acceso a la principal se rige por un solo método.
Excepción: Para interactuar con los recursos de Spanner en la consola de Google Cloud, todos los usuarios deben tener la función de IAM
roles/spanner.viewer
.Para revocar los roles de IAM a nivel de la base de datos, sigue las instrucciones en Quita los permisos a nivel de la base de datos.
Enumerar roles de bases de datos
Puedes enumerar los roles de base de datos asociados con una base de datos.
Console
Para enumerar los roles de la base de datos, ingresa la siguiente consulta en la página de Spanner Studio de la base de datos:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.ROLES;
PostgreSQL
SELECT * FROM information_schema.enabled_roles;
La respuesta incluye la función actual y las funciones cuyos privilegios esta puede usar a través de la herencia. Para recuperar todos los roles, usa el comando de Google Cloud CLI.
gcloud
Para obtener una lista no filtrada de roles de base de datos, ingresa el siguiente comando.
Requiere el permiso spanner.databaseRoles.list
.
gcloud spanner databases roles list --database=DATABASE_NAME --instance=INSTANCE_NAME
Bibliotecas cliente
C++
C#
Go
Java
Node.js
PHP
Python
Rita
Visualiza los privilegios otorgados a un rol de base de datos
Para ver los privilegios otorgados a un rol, ejecuta las siguientes consultas:
GoogleSQL
SELECT * FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.COLUMN_PRIVILEGES WHERE grantee = 'ROLE_NAME'; SELECT * FROM INFORMATION_SCHEMA.CHANGE_STREAM_PRIVILEGES WHERE grantee = 'ROLE_NAME';
INFORMATION_SCHEMA.TABLE_PRIVILEGES
muestra privilegios en las tablas y las vistas.
Los privilegios SELECT
, INSERT
y UPDATE
en TABLE_PRIVILEGES
también se muestran en COLUMN_PRIVILEGES
.
PostgreSQL
SELECT * FROM information_schema.table_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.column_privileges WHERE grantee = 'ROLE_NAME'; SELECT * FROM information_schema.change_stream_privileges WHERE grantee = 'ROLE_NAME';
information_schema.table_privileges
muestra privilegios en las tablas y las vistas.
Los privilegios SELECT
, INSERT
y UPDATE
en table_privileges
también se muestran en column_privileges
.
Visualiza los usuarios del control de acceso detallado
Para ver una lista de las principales que son usuarios de control de acceso detallado, ejecuta el siguiente comando. Para ejecutar el comando, debes tener habilitada la API de Cloud Asset en tu proyecto y el permiso de IAM cloudasset.assets.searchAllIamPolicies
.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.fineGrainedAccessUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
El resultado es similar a este:
MEMBERS user:222larabrown@gmail.com user:baklavainthebalkans@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com serviceAccount:cs-fgac-sa-2@cloud-spanner-demo.google.com.iam.gserviceaccount.com
Si quieres obtener más información, consulta Cómo habilitar una API en tu proyecto de Google Cloud.
Visualiza las principales de IAM con acceso a un rol de base de datos
Para ver una lista de las principales a las que se les otorgó acceso a un rol de base de datos en particular, ejecuta el siguiente comando. Para ejecutar el comando, debes tener habilitada la API de Cloud Asset en tu proyecto y el permiso de IAM cloudasset.assets.searchAllIamPolicies
.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:"resource.name" AND policy:/ROLE_NAME AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
El resultado es similar a este:
MEMBERS 222larabrown@gmail.com
Visualiza las condiciones de IAM de una principal
Para ver una lista de las condiciones de IAM que se especificaron cuando se otorgó el rol Usuario de rol de base de datos de Cloud Spanner a una principal, ejecuta el siguiente comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:resource.name AND policy:"PRINCIPAL_IDENTIFIER" AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' \ --flatten=policy.bindings[] \ --format='table(policy.bindings.condition.expression)'
donde PRINCIPAL_IDENTIFIER es:
{ user:user-account-name | serviceAccount:service-account-name }
Ejemplos de PRINCIPAL_IDENTIFIER:
user:222larabrown@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com
En el siguiente resultado de muestra, se muestran dos expresiones de condición.
EXPRESSION resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_analyst") resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_manager")
Verifica las políticas de IAM para detectar condiciones faltantes del rol de base de datos
Después de otorgar a las principales acceso a los roles de base de datos, te recomendamos que te asegures de que cada vinculación de IAM tenga una condición especificada.
Para realizar esta verificación, ejecuta el siguiente comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles:roles/spanner.databaseRoleUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME/instances/INSTANCE_NAME/databases/DATABASE_NAME' --flatten=policy.bindings[].members[]
El resultado es similar al siguiente:
ROLE MEMBERS EXPRESSION roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-1@... roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-2@... resource.type == "spanner…"
Ten en cuenta que al primer resultado le falta una condición y, por lo tanto, las principales en esta vinculación tienen acceso a todos los roles de base de datos.
Descarta un rol de base de datos
Si quitas una función de base de datos, se revoca automáticamente la membresía de otras funciones de la función y la membresía de otras funciones en otras funciones.
Para descartar un rol de base de datos, primero debes hacer lo siguiente:
- Revoca todos los privilegios de control de acceso detallados del rol.
- Quita todas las vinculaciones de políticas de IAM que hagan referencia a esa función, para que una función de base de datos creada más adelante con el mismo nombre no herede esas vinculaciones.
Console
Para descartar un rol de base de datos, sigue estos pasos:
En la página Descripción general de la base de datos, haz clic en Spanner Studio.
Para revocar privilegios del rol, ingresa una sentencia
REVOKE
.GoogleSQL
Para obtener detalles de la sintaxis de la instrucción
REVOKE
, consulta Lenguaje de definición de datos de GoogleSQL. Para obtener información sobre los privilegios, consulta Privilegios de control de acceso detallados.Por ejemplo, para revocar
SELECT
,INSERT
yUPDATE
en las tablasemployees
ycontractors
de la función de base de datoshr_manager
, ingresa la siguiente declaración:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM ROLE hr_manager;
PostgreSQL
Para obtener detalles de la sintaxis de la declaración
REVOKE
, consulta Lenguaje de definición de datos de PostgreSQL. Para obtener información sobre los privilegios, consulta Privilegios de control de acceso detallados.Por ejemplo, para revocar los privilegios
SELECT
,INSERT
yUPDATE
en las tablasemployees
ycontractors
de la función de base de datoshr_manager
, ingresa la siguiente declaración:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM hr_manager;
Puedes usar una plantilla de DDL para la declaración
REVOKE
. En el panel Explorador, navega a la función para la que deseas revocar el privilegio. Haz clic en Ver acciones y selecciona el tipo de privilegio al que quieres revocar el acceso a este rol. La sentencia de plantillaREVOKE
se propaga en una nueva pestaña del editor.Borra cualquier condición de IAM asociada con el rol.
En la lista de funciones del panel de información, ubica la función Usuario de función de base de datos de Cloud Spanner que tiene el título de la condición de interés junto a ella y, luego, expande la función para ver las principales que tienen acceso a la función.
Para una de las principales, haz clic en el ícono de lápiz Editar cuenta principal.
En la página Editar acceso, haz clic en el ícono Borrar función (papelera) junto a la función Usuario de función de base de datos de Cloud Spanner.
Haz clic en Guardar.
Repite los tres pasos anteriores para otras principales que figuren en la condición.
Para descartar la función, ve a la página Spanner Studio y, luego, ingresa la siguiente declaración:
DROP ROLE ROLE_NAME;
Haz clic en Enviar.
gcloud
Para revocar todos los privilegios de un rol y, luego, descartarlo, usa el comando
gcloud spanner databases ddl update
de la siguiente manera:GoogleSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE ROLE_NAME; DROP ROLE ROLE_NAME;'
PostgreSQL
gcloud spanner databases ddl update DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKE PERMISSIONS ON TABLE TABLE_NAME FROM ROLE_NAME; DROP ROLE ROLE_NAME;'
Los valores válidos para
PERMISSIONS
sonSELECT
,INSERT
,UPDATE
yDELETE
.Para borrar las condiciones de IAM relacionadas, usa el comando
gcloud spanner databases remove-iam-policy-binding
como se indica a continuación:gcloud spanner databases remove-iam-policy-binding DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=ROLE_NAME \ --member=MEMBER_NAME \ --condition=CONDITION
MEMBER_NAME
es el identificador de la principal. Debe tener el formatouser|group|serviceAccount:email
odomain:domain
.CONDITION
es una expresión de condición de IAM que especifica los roles que se otorgarán a la principal.CONDITION
tiene la siguiente forma:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/ROLE1") || resource.name.endsWith("/ROLE2"))),title=TITLE,description=DESCRIPTION'
Toda la especificación de la condición debe coincidir exactamente con la especificación de la condición que se usó en el comando que otorgó el permiso, incluidos el título y la descripción.
Bibliotecas cliente
Con estas muestras de código, se crea y se descarta un rol de base de datos.
C++
C#
Go
Java
Node.js
PHP
Python
Rita
Más información
- Acerca del control de acceso detallado
- Control de acceso detallado para los flujos de cambios
- Privilegios de control de acceso detallados
- Referencia de DDL de GoogleSQL
- Realiza actualizaciones del esquema