Esta página explica como configurar o controle de acesso detalhado para bancos de dados do dialeto GoogleSQL e do PostgreSQL no Spanner.
Para saber mais sobre o controle de acesso detalhado, consulte Sobre o controle de acesso detalhado.
Para configurar o controle de acesso detalhado, siga estas etapas:
Os usuários com controle de acesso granular precisam especificar um papel de banco de dados para executar consultas, operações de DML ou de linha no banco de dados.
Antes de começar
Garanta que cada participante que será um usuário de controle de acesso granular receba
o papel do IAM Cloud Spanner Viewer
(roles/spanner.viewer
).
Esse papel é recomendado no nível do projeto para usuários que precisam interagir com
recursos do Spanner no console do Google Cloud.
Para instruções, consulte Conceder permissões a participantes.
Criar papéis de banco de dados e conceder privilégios
Um papel de banco de dados é um conjunto de privilégios de acesso refinados. É possível criar até 100 papéis de banco de dados para cada banco de dados.
Decida as funções e hierarquias de função no seu banco de dados e as codifique no DDL. Como em outras mudanças de esquema no Spanner, recomendamos fazer mudanças de esquema em lote, em vez de separadamente. Para mais informações, consulte Limitar a frequência das atualizações de esquema.
Para criar uma função de banco de dados e conceder privilégios de acesso detalhados a ela, siga estas etapas:
Acesse a página Instâncias no console do Google Cloud.
Selecione a instância que contém o banco de dados para o qual você quer adicionar o papel.
Selecione o banco de dados.
Na página Visão geral, clique em Spanner Studio.
Na página Spanner Studio, para cada função de banco de dados que você quer criar e conceder privilégios, siga estas etapas:
Para criar a função, insira a seguinte instrução:
CREATE ROLE
ROLE_NAME ;Não clique em Enviar ainda.
Para conceder privilégios ao papel, insira uma instrução
GRANT
na próxima linha após a instruçãoCREATE ROLE
.Para detalhes de sintaxe da instrução
GRANT
, consulte Linguagem de definição de dados do GoogleSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para conceder
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
ao papel do banco de dadoshr_manager
, insira a seguinte instrução:GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_manager;
GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_manager;
Você pode usar um modelo DDL para a instrução
GRANT
. No painel Explorer, navegue até a função para a qual você quer conceder privilégios. Clique em Ver ações e selecione o tipo de privilégio que você quer conceder acesso para essa função. A instrução de modeloGRANT
é preenchida em uma nova guia do editor.
Clique em Enviar.
Se houver erros no DDL, o console do Google Cloud vai retornar um erro.
Para criar uma função de banco de dados e conceder privilégios de acesso detalhados a ela,
use o comando gcloud spanner databases ddl update
com instruções CREATE ROLE
e GRANT
.
Para detalhes de sintaxe sobre as instruções CREATE ROLE
e GRANT
, consulte
Linguagem de definição de dados do GoogleSQL.
Por exemplo, use o comando abaixo para criar uma função de banco de dados e conceder privilégios a ela em uma ou mais tabelas.
gcloud spanner databases ddl updateDATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLEROLE_NAME ; GRANTPRIVILEGES ON TABLETABLES TO ROLEROLE_NAME ;'
gcloud spanner databases ddl updateDATABASE_NAME --instance=INSTANCE_NAME \ --ddl='CREATE ROLEROLE_NAME ; GRANTPRIVILEGES ON TABLETABLES TOROLE_NAME ;'
Substitua:
PRIVILEGES
é uma lista delimitada por vírgulas de privilégios de controle de acesso detalhados. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.TABLES
é uma lista de tabelas delimitada por vírgulas.
Por exemplo, para conceder SELECT
,
INSERT
e UPDATE
nas tabelas employees
e contractors
ao
papel de banco de dados hr_analyst
no banco de dados hrdb1
na instância hr
,
digite a seguinte instrução:
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO ROLE hr_analyst;'
gcloud spanner databases ddl update hrdb1 --instance=hr \ --ddl='CREATE ROLE hr_analyst; GRANT SELECT, INSERT, UPDATE ON TABLE employees, contractors TO hr_analyst;'
Esses exemplos de código criam e excluem uma função de banco de dados.
Criar uma hierarquia de funções com herança
É possível criar uma hierarquia de funções de banco de dados concedendo uma função de banco de dados a outra. As funções filhas (conhecidas como funções de membro) herdam privilégios do elemento pai.
Para conceder um papel de banco de dados a outro, use a seguinte instrução:
GRANT ROLE role1 TO ROLE role2;
GRANT role1 TO role2;
Para mais informações, consulte Hierarquias de papéis e herança de banco de dados.
Conceder papéis de banco de dados a principais
Para acessar os recursos do Spanner, um principal precisa receber o papel de banco de dados necessário usando uma destas opções:
Na página Visão geral do banco de dados, clique em MOSTRAR PAINEL DE INFORMAÇÕES se o painel de informações ainda não estiver aberto.
Clique em ADICIONAR CONTA PRINCIPAL.
Em Adicionar participantes, em Novos participantes, insira um ou mais participantes.
Em Atribuir papéis, em Selecionar um papel, selecione Cloud Spanner > Usuário de acesso detalhado do Cloud Spanner.
Você só precisa conceder esse papel uma vez a cada principal. Ele torna o principal um usuário de controle de acesso refinado.
Clique em ADICIONAR OUTRO PAPEL.
Em Selecionar um papel, selecione Cloud Spanner > Usuário de função do banco de dados do Cloud Spanner.
Siga estas etapas para criar a condição do IAM que especifica as funções a serem concedidas.
Ao lado do papel de usuário do papel de banco de dados do Cloud Spanner, clique em ADICIONAR CONDIÇÃO DO IAM.
No painel Adicionar condição, insira um título e uma descrição opcional para a condição.
Se você estiver concedendo um único papel de banco de dados, normalmente vai incluir o nome do papel no título da condição. Se você estiver concedendo várias funções, poderá indicar algo sobre o conjunto de funções.
Clique em Editor de condições.
No campo Expressão, insira o seguinte código:
resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/
ROLE ")Substitua
ROLE
pelo nome da sua função.Para conceder mais de um papel ao principal, adicione mais condições com o operador ou (
||
), conforme mostrado no exemplo a seguir:resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/
ROLE1 ") || resource.name.endsWith("/ROLE2 "))Esse código concede duas funções. Substitua
ROLE1
eROLE2
pelos nomes das suas funções. Para conceder mais de dois papéis, adicione mais condições ou.Você pode usar qualquer expressão de condição aceita pelo IAM. Para mais informações, consulte Informações gerais sobre as condições do IAM.
Clique em Salvar.
Verifique se a condição aparece na coluna Condição do IAM ao lado do campo Papel.
Clique em Salvar.
No painel de informações, em Papel/principal, observe que Usuário com função de banco de dados do Cloud Spanner aparece para cada condição definida.
O número entre parênteses ao lado da condição indica o número de princípios que recebem a função do banco de dados por essa condição. Você pode clicar na seta de expansão para conferir a lista de participantes.
Para corrigir erros em nomes ou condições de função de banco de dados ou adicionar outras funções de banco de dados a um principal, siga estas etapas:
Expanda a entrada Usuário com papel do banco de dados do Cloud Spanner que lista a condição que você quer.
Clique no ícone Editar (lápis) ao lado de um principal.
No painel Editar acesso a database_name, faça o seguinte:
Clique em ADICIONAR OUTRO PAPEL.
Para editar a condição, clique no ícone Editar (lápis) ao lado do nome da condição. Em seguida, na página Editar condição, clique em Editor de condição, faça as correções e clique em Salvar duas vezes.
Ative o controle de acesso refinado para o principal usando o comando
gcloud spanner databases add-iam-policy-binding
da seguinte maneira:gcloud spanner databases add-iam-policy-binding
DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.fineGrainedAccessUser \ --member=MEMBER_NAME \ --condition=NoneMEMBER_NAME
é o identificador do principal. Ele precisa usar uma das seguintes sintaxes:user|group|serviceAccount:email
oudomain:domain
.Esse comando torna o principal um usuário de controle de acesso granular. Envie esse comando apenas uma vez para cada principal.
Se bem-sucedido, o comando vai gerar a política inteira do banco de dados.
Conceda permissão para usar uma ou mais funções do banco de dados usando o comando
gcloud spanner databases add-iam-policy-binding
da seguinte maneira:gcloud spanner databases add-iam-policy-binding
DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=roles/spanner.databaseRoleUser \ --member=MEMBER_NAME \ --condition=CONDITION MEMBER_NAME
é o identificador do principal. Ele precisa usar uma das seguintes sintaxes:user|group|serviceAccount:email
oudomain:domain
.CONDITION
é uma expressão de condição do IAM que especifica os papéis a serem concedidos ao principal.CONDITION
tem o seguinte formato:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/
ROLE1 ")),title=TITLE ,description=DESCRIPTION 'Ou, para conceder acesso ao principal a mais de uma função, adicione mais condições com o operador ou (
||
), conforme mostrado no exemplo a seguir:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/
ROLE1 ") || resource.name.endsWith("/ROLE2 "))),title=TITLE ,description=DESCRIPTION 'Esse código concede duas funções. Substitua
ROLE1
eROLE2
pelos nomes das suas funções. Para conceder mais de dois papéis, adicione mais condições ou com o operador||
.Você pode usar qualquer expressão de condição aceita pelo IAM. Para mais informações, consulte Informações gerais sobre as condições do IAM.
Se bem-sucedido, o comando vai gerar a política inteira do banco de dados.
O exemplo a seguir concede os papéis do banco de dados
hr_rep
ehr_manager
ao principaljsmith@example.com
.gcloud spanner databases add-iam-policy-binding myDatabase \ --instance=myInstance \ --role=roles/spanner.databaseRoleUser \ --member=user:jsmith@example.com \ --condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/hr_rep") || resource.name.endsWith("/hr_manager"))),title=HR roles,description=Grant permissions on HR roles'
Informar os usuários e desenvolvedores para começar a usar as funções do banco de dados
Depois que a configuração inicial do controle de acesso granular for concluída, informe aos usuários e desenvolvedores de aplicativos que eles precisam começar a usar papéis do banco de dados.
Os usuários com controle de acesso detalhado precisam especificar uma função de banco de dados ao acessar bancos de dados do Spanner pelo console do Google Cloud ou a CLI do Google Cloud.
Os aplicativos que usam o controle de acesso granular precisam especificar um papel de banco de dados ao acessar o banco de dados.
Para mais informações, consulte Acessar um banco de dados com controle de acesso detalhado.
Fazer a transição de um principal para o controle de acesso granular
Para fazer a transição de um principal do controle de acesso no nível do banco de dados para o controle de acesso detalhado, siga estas etapas:
Ative o controle de acesso granular para o principal e conceda acesso a todos os papéis de banco de dados necessários, conforme descrito em Conceder papéis de banco de dados a principais.
Atualize todos os aplicativos executados como esse principal. Especifique os papéis de banco de dados adequados em chamadas para métodos da biblioteca de cliente.
Revogue todos os papéis do IAM no nível do banco de dados do participante. Dessa forma, o acesso ao participante principal é regido por apenas um método.
Exceção: para interagir com os recursos do Spanner no console do Google Cloud, todos os usuários precisam ter o papel
roles/spanner.viewer
do IAM.Para revogar papéis do IAM no nível do banco de dados, siga as instruções em Remover permissões no nível do banco de dados.
Listar papéis de banco de dados
É possível listar os papéis associados a um banco de dados.
Para listar os papéis do banco de dados, insira a seguinte consulta na página do Spanner Studio para o banco de dados:
SELECT * FROM INFORMATION_SCHEMA.ROLES;
SELECT * FROM information_schema.enabled_roles;
A resposta inclui o papel atual e os papéis cujos privilégios o papel atual pode usar por herança. Para buscar todas as funções, use o comando da CLI do Google Cloud.
Para conferir uma lista não filtrada de funções do banco de dados, digite o seguinte comando.
Ele requer a permissão spanner.databaseRoles.list
.
gcloud spanner databases roles list --database=DATABASE_NAME --instance=INSTANCE_NAME
Conferir os privilégios concedidos a uma função do banco de dados
Para conferir os privilégios concedidos a uma função, execute as seguintes consultas:
SELECT * FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES WHERE grantee = 'ROLE_NAME '; SELECT * FROM INFORMATION_SCHEMA.COLUMN_PRIVILEGES WHERE grantee = 'ROLE_NAME '; SELECT * FROM INFORMATION_SCHEMA.CHANGE_STREAM_PRIVILEGES WHERE grantee = 'ROLE_NAME ';
INFORMATION_SCHEMA.TABLE_PRIVILEGES
retorna privilégios em tabelas e
visualizações. Os privilégios SELECT
, INSERT
e UPDATE
em TABLE_PRIVILEGES
também são mostrados em COLUMN_PRIVILEGES
.
SELECT * FROM information_schema.table_privileges WHERE grantee = 'ROLE_NAME '; SELECT * FROM information_schema.column_privileges WHERE grantee = 'ROLE_NAME '; SELECT * FROM information_schema.change_stream_privileges WHERE grantee = 'ROLE_NAME ';
information_schema.table_privileges
retorna privilégios em tabelas e
visualizações.
Os privilégios SELECT
, INSERT
e UPDATE
em table_privileges
também
são mostrados em column_privileges
.
Conferir os usuários do controle de acesso granular
Para conferir uma lista de principais usuários de controle de acesso detalhado, execute o seguinte
comando. Para executar o comando, é necessário ativar a API Cloud Asset no seu
projeto e ter a permissão
cloudasset.assets.searchAllIamPolicies
do IAM.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.fineGrainedAccessUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME /instances/INSTANCE_NAME /databases/DATABASE_NAME ' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
A resposta será semelhante a:
MEMBERS user:222larabrown@gmail.com user:baklavainthebalkans@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com serviceAccount:cs-fgac-sa-2@cloud-spanner-demo.google.com.iam.gserviceaccount.com
Para mais informações, consulte Como ativar uma API no seu projeto do Google Cloud.
Conferir os principais com acesso ao banco de dados
Para conferir uma lista de administradores que receberam acesso a um banco de dados específico, execute os comandos a seguir. Para executar esses comandos, é necessário ter a
API Cloud Asset ativada no seu projeto e ter a permissão
cloudasset.assets.searchAllIamPolicies
do IAM.
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:"resource.name" AND policy:/ROLE_NAME AND resource=//spanner.googleapis.com/projects/PROJECT_NAME /instances/INSTANCE_NAME /databases/DATABASE_NAME ' \ --flatten=policy.bindings[].members[] \ --format='table(policy.bindings.members)'
A resposta será semelhante a:
MEMBERS 222larabrown@gmail.com
Conferir as condições do IAM para um principal
Para conferir uma lista de condições do IAM especificadas ao conceder o papel Usuário do papel de banco de dados do Cloud Spanner a um principal, execute o seguinte comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles=roles/spanner.databaseRoleUser AND policy:resource.name AND policy:"PRINCIPAL_IDENTIFIER " AND resource=//spanner.googleapis.com/projects/PROJECT_NAME /instances/INSTANCE_NAME /databases/DATABASE_NAME ' \ --flatten=policy.bindings[] \ --format='table(policy.bindings.condition.expression)'
em que PRINCIPAL_IDENTIFIER é:
{ user:user-account-name | serviceAccount:service-account-name }
Exemplos de PRINCIPAL_IDENTIFIER:
user:222larabrown@gmail.com serviceAccount:cs-fgac-sa-1@cloud-spanner-demo.google.com.iam.gserviceaccount.com
O exemplo de saída a seguir mostra duas expressões de condição.
EXPRESSION resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_analyst") resource.type == "spanner.googleapis.com/DatabaseRole" && resource.name.endsWith("/hr_manager")
Verificar as políticas do IAM para condições de função do banco de dados ausentes
Depois de conceder acesso a papéis de banco de dados a participantes, recomendamos que você verifique se cada vinculação do IAM tem uma condição especificada.
Para fazer essa verificação, execute o seguinte comando:
gcloud asset search-all-iam-policies \ --scope=projects/PROJECT_NAME \ --query='roles:roles/spanner.databaseRoleUser AND resource=//spanner.googleapis.com/projects/PROJECT_NAME /instances/INSTANCE_NAME /databases/DATABASE_NAME ' --flatten=policy.bindings[].members[]
O resultado será assim:
ROLE MEMBERS EXPRESSION roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-1@... roles/spanner.databaseRoleUser serviceAccount:cs-fgac-sa-2@... resource.type == "spanner…"
O primeiro resultado não tem uma condição e, portanto, os participantes nesta vinculação têm acesso a todas as funções do banco de dados.
Liberar um papel do banco de dados
A exclusão de uma função de banco de dados revoga automaticamente a associação de outras funções a essa função e revoga a associação da função a outras funções.
Para descartar uma função de banco de dados, primeiro faça o seguinte:
- Revogue todos os privilégios de controle de acesso granular do papel.
- Remova todas as vinculações de política do IAM que se referem a esse papel para que um papel do banco de dados criado mais tarde com o mesmo nome não herde essas vinculações.
Para excluir uma função de banco de dados, siga estas etapas:
Na página Visão geral do banco de dados, clique em Spanner Studio.
Para revogar os privilégios da função, insira uma instrução
REVOKE
.Para detalhes de sintaxe da instrução
REVOKE
, consulte Linguagem de definição de dados do GoogleSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para revogar as permissões
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
da função do banco de dadoshr_manager
, digite a seguinte instrução:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM ROLE hr_manager;
Para detalhes de sintaxe da instrução
REVOKE
, consulte Linguagem de definição de dados do PostgreSQL. Para informações sobre privilégios, consulte Privilégios de controle de acesso detalhado.Por exemplo, para revogar os privilégios
SELECT
,INSERT
eUPDATE
nas tabelasemployees
econtractors
da função de banco de dadoshr_manager
, digite a seguinte instrução:REVOKE SELECT, INSERT, UPDATE ON TABLE employees, contractors FROM hr_manager;
Você pode usar um modelo DDL para a instrução
REVOKE
. No painel Explorer, navegue até a função para a qual você quer revogar o privilégio. Clique em Ver ações e selecione o tipo de privilégio que você quer revogar. A instrução de modeloREVOKE
é preenchida em uma nova guia do editor.Exclua todas as condições do IAM associadas ao papel.
Na lista de funções no Painel de informações, localize o papel Usuário do papel de banco de dados do Cloud Spanner que tem o título da condição de interesse ao lado e expanda a função para ver os principais que têm acesso a ela.
Para um dos participantes, clique no ícone de lápis Editar participante.
Na página Editar acesso, clique no ícone Excluir função (lixeira) ao lado do papel de usuário do banco de dados do Cloud Spanner.
Clique em Salvar.
Repita as três etapas anteriores para outros participantes listados na condição.
Para remover o papel, acesse a página Spanner Studio e insira a seguinte instrução:
DROP ROLE
ROLE_NAME ;Clique em Enviar.
Para revogar todos os privilégios de uma função e, em seguida, excluí-la, use o comando
gcloud spanner databases ddl update
da seguinte maneira:gcloud spanner databases ddl update
DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKEPERMISSIONS ON TABLETABLE_NAME FROM ROLEROLE_NAME ; DROP ROLEROLE_NAME ;'gcloud spanner databases ddl update
DATABASE_NAME \ --instance=INSTANCE_NAME \ --ddl='REVOKEPERMISSIONS ON TABLETABLE_NAME FROMROLE_NAME ; DROP ROLEROLE_NAME ;'Os valores válidos para
PERMISSIONS
sãoSELECT
,INSERT
,UPDATE
eDELETE
.Para excluir condições relacionadas do IAM, use o comando
gcloud spanner databases remove-iam-policy-binding
da seguinte maneira:gcloud spanner databases remove-iam-policy-binding
DATABASE_NAME \ --instance=INSTANCE_NAME \ --role=ROLE_NAME \ --member=MEMBER_NAME \ --condition=CONDITION MEMBER_NAME
é o identificador do principal. Precisa estar no formatouser|group|serviceAccount:email
oudomain:domain
.CONDITION
é uma expressão de condição do IAM que especifica os papéis a serem concedidos ao principal.CONDITION
tem o seguinte formato:--condition='expression=(resource.type == "spanner.googleapis.com/DatabaseRole" && (resource.name.endsWith("/
ROLE1 ") || resource.name.endsWith("/ROLE2 "))),title=TITLE ,description=DESCRIPTION 'A especificação de condição inteira precisa corresponder exatamente à especificação de condição usada no comando que concedeu a permissão, incluindo título e descrição.
Esses exemplos de código criam e excluem uma função de banco de dados.
Mais informações
- Sobre o controle de acesso granular
- Controle de acesso granular para streams de alteração
- Privilégios de controle de acesso granular
- Referência de DDL do GoogleSQL
- Fazer atualizações de esquema