针对变更数据流的精细访问权限控制

本页面介绍了如何将精细访问权限控制与 Spanner 搭配使用。 变更数据流。

对于精细的访问权限控制用户,您可以通过 使用以下授权。这两项授权都是必需的。

  • 向变更数据流授予 SELECT 权限。

    GoogleSQL

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE ROLE_NAME;
    

    PostgreSQL

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE_NAME;
    
  • 向为变更数据流自动创建的读取函数授予 EXECUTE。您可以使用读取函数 变更数据流记录。

    GoogleSQL

    GRANT EXECUTE ON TABLE FUNCTION READ_FUNCTION_NAME TO ROLE ROLE_NAME;
    

    PostgreSQL

    GRANT EXECUTE ON FUNCTION READ_FUNCTION_NAME TO ROLE_NAME;
    

    如需了解变更数据流读取函数的命名惯例以及它们返回信息的格式,请参阅以下主题:

适用于变更数据流的 INFORMATION_SCHEMA 视图

以下视图显示了变更数据流的数据库角色和权限信息:

这些视图中的行会根据当前数据库角色的 变更数据流的权限这样可以确保主账号只能查看其有权访问的角色、权限和更改流。

行过滤也适用于以下与变更数据流相关的数据视图:

GoogleSQL

系统角色 spanner_info_reader 及其成员始终会看到未经过滤的 INFORMATION_SCHEMA

PostgreSQL

系统角色 spanner_info_reader 及其成员会看到未经过滤的 information_schema

行过滤也适用于变更数据流的以下元数据视图 read 函数:

注意事项

  • 变更数据流使用元数据数据库来维护内部状态。元数据数据库可以与应用数据库相同,也可以不同。我们建议您使用其他数据库。不过,对于精细访问权限控制用户,元数据数据库不能与应用数据库相同。这是因为运行 Dataflow 作业的 IAM 主体需要对元数据数据库拥有数据库级别的读写权限。这会覆盖为应用数据库配置的精细访问权限特权。

    如需了解详情,请参阅考虑使用单独的元数据数据库

  • 由于变更数据流包含来自 跟踪表和列,则在授予用户访问 变更数据流。变更数据流的读取者可以从 跟踪的表格和列,即使它们没有 SELECT 表和列的相关权限。虽然对更改流及其跟踪的表和列设置单独的控件更灵活,但存在潜在风险,因此请确保相应地构建数据库角色和权限。例如,从角色中撤消对表的 SELECT 权限时,请考虑是否还要撤消对更改流的 SELECT 权限,以及撤消对关联的读取函数的 EXECUTE 权限。

  • 如果您针对跟踪所有表的变更数据流授予 SELECT,则被授权者 可以查看将来添加的任何表的数据更改。

更多信息