Questa pagina descrive come creare e gestire le viste Spanner. Per saperne di più sulle viste Spanner, consulta Informazioni sulle viste.
Autorizzazioni
Per creare, concedere e revocare l'accesso a una vista, devi disporre dell'autorizzazione spanner.database.updateDdl.
Crea una vista
Per creare una vista, utilizza l'istruzione DDL CREATE VIEW per assegnare un nome alla vista e fornire la query che la definisce. Questa affermazione presenta due forme:
CREATE VIEWdefinisce una nuova vista nel database attuale. Se esiste già una vista denominataview_name, l'istruzioneCREATE VIEWnon ha esito positivo.CREATE OR REPLACE VIEWdefinisce una nuova vista nel database attuale. Se esiste già una vista denominataview_name, la sua definizione viene sostituita.
La sintassi dell'istruzione CREATE VIEW è:
{CREATE | CREATE OR REPLACE } VIEW view_name
SQL SECURITY { INVOKER | DEFINER }
AS query
Poiché una vista è una tabella virtuale, il valore query specificato
deve fornire i nomi di tutte le colonne in quella tabella virtuale.
Inoltre, Spanner controlla il query specificato utilizzando la risoluzione rigida dei nomi, il che significa che tutti i nomi degli oggetti dello schema utilizzati nella query devono essere qualificati in modo da identificare in modo inequivocabile un singolo oggetto dello schema. Ad esempio, negli esempi che seguono la colonna SingerId
nella tabella Singers deve essere qualificato come Singers.SingerId.
Devi specificare SQL SECURITY come INVOKER o DEFINER nell'istruzione
CREATE VIEW o CREATE OR REPLACE VIEW. Per ulteriori informazioni sulla differenza tra i due tipi di sicurezza, consulta Informazioni sulle viste.
Ad esempio, supponiamo che la tabella Singers sia definita come segue:
GoogleSQL
CREATE TABLE Singers ( SingerId INT64 NOT NULL, FirstName STRING(1024), LastName STRING(1024), SingerInfo BYTES(MAX) ) PRIMARY KEY (SingerId);
PostgreSQL
CREATE TABLE Singers ( SingerId BIGINT PRIMARY KEY, FirstName VARCHAR(1024), LastName VARCHAR(1024), SingerInfo BYTEA );
Puoi definire la vista SingerNames con i diritti dell'invocatore come segue:
CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
La tabella virtuale creata quando la vista SingerNames viene utilizzata in una query ha due
colonne, SingerId e Name.
Sebbene questa definizione della vista SingerNames sia valida, non rispetta
la best practice relativa alla trasmissione dei tipi di dati per garantire stabilità nelle modifiche
allo schema, come descritto nella prossima sezione.
Best practice per la creazione delle viste
Per ridurre al minimo la necessità di aggiornare la definizione di una vista, trasmetti esplicitamente il tipo di dati di tutte le colonne della tabella nella query che definisce la vista. In questo modo, la definizione della vista può rimanere valida in tutte le modifiche allo schema di un tipo di colonna.
Ad esempio, la seguente definizione della vista SingerNames potrebbe non essere più valida a seguito della modifica del tipo di dati di una colonna nella tabella Singers.
CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
Per evitare che la visualizzazione diventi non valida, trasmetti esplicitamente le colonne ai tipi di dati desiderati, come descritto di seguito:
GoogleSQL
CREATE OR REPLACE VIEW SingerNames SQL SECURITY INVOKER AS SELECT CAST(Singers.SingerId AS INT64) AS SingerId, CAST(Singers.FirstName AS STRING) || " " || CAST(Singers.LastName AS STRING) AS Name FROM Singers;
PostgreSQL
CREATE OR REPLACE VIEW SingerNames SQL SECURITY INVOKER AS SELECT CAST(Singers.SingerId AS bigint) AS SingerId, CAST(Singers.FirstName AS varchar) || ' ' || CAST(Singers.LastName AS varchar) AS Name FROM Singers;
Concedere e revocare l'accesso a una vista
In qualità di utente con controllo dell'accesso granulare, devi disporre del privilegio SELECT per una vista. Per concedere il privilegio SELECT per una vista a un ruolo di database:
GoogleSQL
GRANT SELECT ON VIEW SingerNames TO ROLE Analyst;
PostgreSQL
GRANT SELECT ON TABLE SingerNames TO Analyst;
Per revocare il privilegio SELECT su una vista da un ruolo di database:
GoogleSQL
REVOKE SELECT ON VIEW SingerNames FROM ROLE Analyst;
PostgreSQL
REVOKE SELECT ON TABLE SingerNames FROM Analyst;
Eseguire una query su una vista
Il modo per eseguire query sui diritti di un invocatore o sulla visualizzazione dei diritti di un definitore è lo stesso. Tuttavia, a seconda del tipo di sicurezza della vista, Spanner potrebbe o meno dover verificare gli oggetti dello schema a cui viene fatto riferimento nella vista rispetto al ruolo di database dell'entità che ha richiamato la query.
Eseguire query sulla visualizzazione diritti di un invocatore
Se una vista possiede i diritti dell'invocatore, per poter eseguire query su una vista l'utente deve disporre dei privilegi su tutti gli oggetti di schema sottostanti della vista.
Ad esempio, se un ruolo di database ha accesso a tutti gli oggetti a cui fa riferimento la vista SingerNames, può eseguire query sulla vista SingerNames:
SELECT COUNT(SingerID) as SingerCount FROM SingerNames;
Eseguire query sulla vista diritti di un definitore
Se una vista dispone dei diritti di un utente che dispone dei diritti di definizione, un utente può eseguire query sulla vista senza avere bisogno di privilegi sugli oggetti sottostanti, purché venga concesso il ruolo richiesto il privilegio SELECT per la vista.
Nell'esempio seguente, un utente con il ruolo di database Analista vuole eseguire una query sulla vista SingerNames. Tuttavia, all'utente viene negato l'accesso perché SingerNames è la visualizzazione dei diritti di un invocatore e il ruolo Analista non ha accesso a tutti gli oggetti sottostanti. In questo caso, se decidi di concedere all'analista l'accesso alla vista, ma non vuoi concedere l'accesso alla tabella Singers, puoi sostituire il tipo di sicurezza della vista per definire i diritti. Dopo aver sostituito il tipo di sicurezza della vista, concedi al ruolo Analista l'accesso alla vista. Ora l'utente può eseguire query sulla vista SingerNames,
anche se non ha accesso alla tabella Singers.
SELECT COUNT(SingerID) as SingerCount FROM SingerNames;
Sostituire una visualizzazione
Puoi sostituire una vista utilizzando l'istruzione CREATE OR REPLACE VIEW per modificare
la definizione o il tipo di sicurezza della vista.
La sostituzione di una vista è un processo simile all'eliminazione e alla nuova creazione della vista. Qualsiasi autorizzazione di accesso assegnata alla vista iniziale deve essere concessa nuovamente dopo la sostituzione della vista.
Per sostituire la visualizzazione dei diritti di un invocatore con una visualizzazione dei diritti del definitore:
CREATE OR REPLACE VIEW SingerNames SQL SECURITY DEFINER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
Eliminare una vista
Dopo aver eliminato una vista, i ruoli del database con privilegi relativi non hanno più accesso. Per eliminare una visualizzazione, utilizza l'istruzione DROP VIEW.
DROP VIEW SingerNames;
Ottenere informazioni su una vista
Puoi ottenere informazioni sulle viste in un database eseguendo query sulle tabelle nello schema INFORMATION_SCHEMA.
La tabella
INFORMATION_SCHEMA.TABLESfornisce i nomi di tutte le viste definite.La tabella
INFORMATION_SCHEMA.VIEWSfornisce i nomi, la definizione delle viste, il tipo di sicurezza e il testo della query di tutte le viste definite. Gli utenti FGAC con il privilegioSELECTper la vista possono ottenere informazioni sulla vista dalla tabellaINFORMATION_SCHEMA.VIEWS. Gli altri utenti FGAC devono avere il ruolospanner_info_readerse non dispongono del privilegioSELECTper la visualizzazione.
Per controllare la definizione e il tipo di sicurezza di una vista denominata
ProductSoldLastWeek:
SELECT * FROM INFORMATION_SCHEMA.VIEWS WHERE TABLE_NAME = 'ProductSoldLastWeek';