Detaillierte Zugriffssteuerung – Übersicht

Die detaillierte Zugriffssteuerung von Spanner kombiniert die Vorteile der Identitäts- und Zugriffsverwaltung (IAM) mit der rollenbasierten Zugriffssteuerung von SQL. Bei der detaillierten Zugriffssteuerung definieren Sie Datenbankrollen, gewähren den Rollen Berechtigungen und erstellen IAM-Richtlinien, um IAM-Hauptkonten Berechtigungen für Datenbankrollen zu gewähren.

Als Administrator müssen Sie die differenzierte Zugriffssteuerung für einzelne IAM-Berechtigungen aktivieren. Hauptkonten. Hauptkonten für die eine detaillierte Zugriffssteuerung aktiviert ist („Nutzer mit fein abgestimmten Zugriffssteuerung“) müssen von einer Datenbank ausgehen. Rolle für den Zugriff auf Spanner-Ressourcen.

Der Ressourcenzugriff für Nutzer, die keine detaillierte Zugriffssteuerung haben, wird geregelt nach IAM-Rollen auf Datenbankebene. Die detaillierte Zugriffssteuerung ist vollständig kompatibel und kann parallel zu bestehenden Zugriffssteuerung auf IAM-Datenbankebene. Sie können damit auf für einzelne Datenbankobjekte. Um den Zugriff auf die gesamte Datenbank zu steuern, verwenden Sie IAM-Rollen:

Mit der detaillierten Zugriffssteuerung können Sie den Zugriff auf Tabellen, Spalten, Ansichten und Änderungsstreams.

Verwenden Sie die folgende DDL, um eine detaillierte Zugriffssteuerung zu verwalten Anweisungen:

• Die Anweisungen CREATE und DROP zum Erstellen und Löschen von Datenbankrollen. Datenbankrollen sind Sammlungen von Berechtigungen. Sie können bis zu 100 Rollen für eine Datenbank erstellen.

• GRANT- und REVOKE-Anweisungen zum Gewähren und Entziehen von Berechtigungen für und vom Datenbankrollen. Zu den Berechtigungen gehören SELECT, INSERT, UPDATE, DELETE und EXECUTE Die Namen der Berechtigungen entsprechen den gleichnamigen SQL-Anweisungen. Zum Beispiel kann eine Rolle mit dem Mit der Berechtigung INSERT kann die SQL-Anweisung INSERT für die Tabellen ausgeführt werden, die werden in der GRANT-Anweisung angegeben.

  Mit den folgenden DDL-Anweisungen wird der Datenbankrolle hr_rep SELECT für die Tabelle employees gewährt.

  GoogleSQL

  CREATE ROLE hr_rep;
  GRANT SELECT ON TABLE employees TO ROLE hr_rep;
  

  PostgreSQL

  CREATE ROLE hr_rep;
  GRANT SELECT ON TABLE employees TO hr_rep;
  

  Weitere Informationen zu Berechtigungen finden Sie unter Referenz zu Berechtigungen für die detaillierte Zugriffssteuerung.

• GRANT-Anweisungen zum Gewähren von Rollen an andere Rollen, um Hierarchien von Rollen mit Berechtigungsübernahme zu erstellen.

Anwendungsfälle

Im Folgenden finden Sie Beispiele für Anwendungsfälle für eine detaillierte Zugriffssteuerung:

• Ein HR-Informationssystem mit den Rollen als Vertriebsmitarbeiter, Verkaufsmanagement und Personalanalyse, die jeweils unterschiedliche Zugriffsebenen für die Daten haben. Beispielsweise sollten Vergütungsanalysten und das Vertriebsmanagement keine Sozialversicherungsnummern sehen.
• Eine Mitfahrdienstanwendung mit verschiedenen Dienstkonten und Berechtigungen für Fahrgäste und Fahrer.
• Ein Verzeichnis, das SELECT- und INSERT-Vorgänge, aber nicht UPDATE und DELETE Vorgänge.

Spanner-Ressourcen und ihre Berechtigungen

Im Folgenden finden Sie eine Liste der Spanner-Ressourcen und der detaillierten Zugriffssteuerung Berechtigungen, die Sie ihnen erteilen können.

Schemas

Sie können die Berechtigung USAGE für Schemas bestimmten Datenbankrollen gewähren. Bei einem nicht standardmäßigen Schema müssen Datenbankrollen die Berechtigung USAGE für den Zugriff auf die Datenbankobjekte haben. Die Berechtigungsprüfung sieht so aus:

Haben Sie USAGE für das Schema?

Nein: Zugriff ablehnen.

Ja: Haben Sie auch die entsprechenden Berechtigungen für die Tabelle?

Nein: Lehnen Sie den Zugriff ab.

Ja: Sie können auf die Tabelle zugreifen.

Tabellen

Sie können die Berechtigungen SELECT, INSERT, UPDATE und DELETE für Tabellen zu Datenbankrollen zu wechseln. Für verschränkte Tabellen wird eine Berechtigung für die wird die übergeordnete Tabelle nicht an die untergeordnete Tabelle weitergegeben.

Spalten

Sie können SELECT, INSERT und UPDATE für eine Teilmenge von Spalten in einer . Die Berechtigung gilt dann nur für diese Spalten. DELETE ist nicht Spaltenebene zulässig.

Aufrufe

Sie können für eine Datenansicht die Berechtigung SELECT gewähren. Nur SELECT wird unterstützt für Aufrufe. Spanner unterstützt sowohl Ansichten der Rechte des Aufrufers als auch Ansichten der Rechte des Definierers. Wenn Sie eine Ansicht mit den Rechten des Aufrufers erstellen, benötigt die Datenbankrolle oder der Nutzer zum Abfragen der Ansicht die Berechtigung SELECT für die Ansicht und die Berechtigung SELECT für die zugrunde liegenden Objekte, auf die in der Ansicht verwiesen wird. Wenn Sie Erstellen Sie eine Ansicht mit den Rechten des Definiereners, um die Ansicht abzufragen, die Datenbankrolle oder Nutzer benötigt nur die Berechtigung SELECT für die Datenansicht. Weitere Informationen finden Sie unter Ansichten

Streams ändern

Sie können SELECT für Änderungsstreams zuweisen. Außerdem müssen Sie EXECUTE für die Lesefunktion gewähren, die mit einem Änderungsstream verknüpft ist. Weitere Informationen finden Sie unter Detaillierte Zugriffssteuerung für Änderungsstreams.

Sequenzen

Sie können SELECT und UPDATE für Sequenzen zuweisen. Weitere Informationen Siehe Detailgenaue Zugriffssteuerung für Sequenzen.

Modelle

Sie können EXECUTE für Modelle gewähren. Weitere Informationen finden Sie unter Detaillierte Zugriffssteuerung für Modelle.

Rollen für die detaillierte Zugriffssteuerung

Bei der detaillierten Zugriffssteuerung gibt es für jede Datenbank vordefinierte Systemrollen. Wie bei benutzerdefinierten Datenbankrollen können Systemrollen den Zugriff auf Spanner-Ressourcen.

Einem Nutzer mit einer detaillierten Zugriffssteuerung muss beispielsweise die Berechtigung spanner_sys_reader gewährt werden Systemrolle für den Zugriff auf Key Visualizer und benötigt das spanner_info_reader-System um ungefilterte Ergebnisse bei der Abfrage der INFORMATION_SCHEMA Tabellen.

Weitere Informationen finden Sie unter Systemrollen für die detaillierte Zugriffssteuerung.

Hierarchien und Übernahme von Datenbankrollen

Sie können Hierarchien von Datenbankrollen erstellen, in denen untergeordnete Rollen ... die Berechtigungen der übergeordneten Rollen übernehmen. Untergeordnete Rollen werden als Mitglieder von die übergeordnete Rolle.

Betrachten Sie beispielsweise die folgenden GRANT-Anweisungen:

GRANT SELECT ON TABLE employees TO ROLE pii_access;
GRANT ROLE pii_access TO ROLE hr_manager, hr_director;

GRANT SELECT ON TABLE employees TO pii_access;
GRANT pii_access TO hr_manager, hr_director;

hr_manager und hr_director sind Mitglieder der Rolle pii_access und erben die Berechtigung SELECT für die Tabelle employees.

hr_manager und hr_director können auch Mitglieder haben. Diese Mitglieder erhalten dann die Berechtigung SELECT für employees.

Es gibt keine Grenzen für die Tiefe von Rollenhierarchien, aber die Abfrageleistung mit tiefen und breiten Rollenhierarchiestrukturen verschlechtert.

Sichern und wiederherstellen

Spanner-backups enthalten die Datenbankrolle Definitionen. Wenn eine Datenbank aus einer Sicherung wiederhergestellt wird, werden Datenbankrollen mit den erteilten Berechtigungen neu erstellt. IAM Richtlinien nicht Teil von Datenbanksicherungen sind, daher müssen Sie den Zugriff Datenbankrollen zu Hauptkonten in der wiederhergestellten Datenbank.

Detaillierte Zugriffssteuerung einrichten

Im Folgenden finden Sie eine allgemeine Anleitung, wie Sie mit der Sicherung von Daten mithilfe einer detaillierten Zugriffssteuerung beginnen. Weitere Informationen finden Sie unter Detaillierte Zugriffssteuerung konfigurieren.

Sie benötigen die IAM-Rollen roles/spanner.admin oder roles/spanner.databaseAdmin, um diese Aufgaben ausführen zu können.

1. Erstellen Sie Datenbankrollen und gewähren Sie den Rollen Berechtigungen.
2. Optional: Erstellen Sie Rollenhierarchien mit Übernahme, indem Sie Rollen andere Rollen.
3. Führen Sie diese Schritte für jedes Hauptkonto aus, das ein Nutzer mit detaillierter Zugriffssteuerung sein soll:
   1. Aktivieren Sie die detaillierte Zugriffssteuerung für das Hauptkonto. Dem Hauptkonto wird dann automatisch die Datenbankrolle public zugewiesen, die standardmäßig keine Berechtigungen hat. Dies ist ein einmaliger Vorgang für jede Prinzipal.
   2. IAM-Berechtigungen für eine oder mehrere gewähren dem Hauptkonto.
   3. Nachdem dem Hauptkonto alle erforderlichen Datenbankrollen gewährt wurden, wenn das Hauptkonto IAM-Rollen auf Datenbankebene hat, Widerrufen Sie gegebenenfalls die Rollen auf Datenbankebene sodass die Zugriffssteuerung des Hauptkontos mit nur einer Methode verwaltet wird.

Beschränkungen

• Bei Exportvorgängen werden keine Datenbankrollen und ‐berechtigungen exportiert und importiert Operationen sie nicht importieren können. Sie müssen Rollen und Berechtigungen manuell einrichten nachdem der Import abgeschlossen ist.
• Der Tab Daten auf der Seite TABELLE in der Google Cloud Console ist für Nutzer mit einer detaillierten Zugriffssteuerung nicht verfügbar.

Nächste Schritte

Weitere Informationen finden Sie unter den folgenden Themen:

• Mit detaillierter Zugriffssteuerung auf eine Datenbank zugreifen
• Detaillierte Zugriffssteuerung für Änderungsstreams
• Detaillierte Zugriffssteuerung konfigurieren
• Referenz zu Berechtigungen für die detaillierte Zugriffssteuerung
• Systemrollen für die detaillierte Zugriffssteuerung
• GRANT- und REVOKE-Anweisungen von GoogleSQL
• PostgreSQL-Anweisungen GRANT und REVOKE
• Detaillierte Zugriffssteuerung für Sequenzen
• Detailgenaue Zugriffssteuerung für Modelle