このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。
データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。
次の表に、詳細なアクセス制御の権限と、この権限を付与できるデータベース オブジェクトを示します。
SELECT | INSERT | 更新 | 削除 | 実行 | 使用状況 | |
---|---|---|---|---|---|---|
スキーマ | ✓ | |||||
テーブル | ✓ | ✓ | ✓ | ✓ | ||
列 | ✓ | ✓ | ✓ | ✓ | ||
ビュー | ✓ | |||||
ストリームの変更 | ✓ | |||||
変更ストリームの読み取り関数 | ✓ | |||||
シーケンス | ✓ | ✓ | ||||
モデル | ✓ |
以降のセクションでは、それぞれの権限について詳しく説明します。
SELECT
テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。
テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限は、それ以降に追加される列を含め、テーブル内のすべての列で有効です。ビューでは列リストを使用できません。
Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。
呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限とビューで参照される基になるオブジェクトへのSELECT
権限も必要です。たとえば、Singers
テーブルにビューSingerNames
が作成されているとします。CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
データベース ロール
myRole
がクエリSELECT * FROM SingerNames
を実行するとします。このロールには、ビューに対するSELECT
権限と、参照される 3 つの列またはSingers
テーブル全体に対するSELECT
権限が必要です。定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限のみが必要です。たとえば、Albums
テーブルにビューAlbumsBudget
が作成されているとします。CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
データベースロール
Analyst
がクエリSELECT * FROM AlbumsBudget
を実行するとします。このロールには、ビューに対するSELECT
権限のみが必要です。参照される 3 つの列またはAlbums
テーブルに対するSELECT
権限は必要ありません。テーブルの列のサブセットに
SELECT
を付与すると、FGAC ユーザーはそのテーブルでSELECT *
を使用できなくなります。そのテーブルに対するクエリでは、含めるすべての列の名前を指定する必要があります。生成された列に付与された
SELECT
は、基になる基本列にSELECT
を付与しません。インターリーブされたテーブルの場合、親テーブルに付与された
SELECT
は子テーブルには伝播されません。変更ストリームで
SELECT
を付与する場合は、変更ストリームのテーブル値関数にEXECUTE
も付与する必要があります。詳細については、EXECUTE をご覧ください。SELECT
を特定の列(SUM(col_a)
など)の集計関数で使用する場合は、その列に対するSELECT
権限をロールに付与する必要があります。集計関数で列が指定されていない場合(たとえば、COUNT(*)
)、ロールにはテーブル内の少なくとも 1 つの列に対するSELECT
権限が必要です。シーケンスで
SELECT
を使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。
例
GoogleSQL
GRANT SELECT ON TABLE employees TO ROLE hr_director; GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep; GRANT SELECT ON VIEW orders_view TO ROLE hr_manager; GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;
PostgreSQL
GRANT SELECT ON TABLE employees TO hr_director; GRANT SELECT ON TABLE customers, orders, items TO account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep; GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO hr_package;
INSERT
ロールが指定されたテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。
列名を指定すると、含まれていない列は挿入時にデフォルト値を取得します。
生成された列に対して
INSERT
は付与できません。
例
GoogleSQL
GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT INSERT ON TABLE employees, contractors TO hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;
UPDATE
指定されたテーブルの行を更新することをロールに許可します。更新は、テーブル列のサブセットに制限できます。これをシーケンスで使用すると、ロールがシーケンスで get-next-sequence-value
関数を呼び出すことができます。
ロールには、UPDATE
権限に加えて、すべてのキー列とすべてのクエリされた列に対する SELECT
権限が必要です。クエリされた列には、WHERE
句の列と、更新された列と生成された列の新しい値の計算に使用される列が含まれます。
生成された列に UPDATE
を付与することはできません。
例
GoogleSQL
GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT UPDATE ON TABLE employees, contractors TO hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;
DELETE
指定されたテーブルから行を削除することをロールに許可します。
DELETE
は列レベルで付与できません。また、ロールにはすべてのキー列と、クエリの
WHERE
句に含まれる可能性のある列に対してSELECT
も必要です。GoogleSQL 言語データベース内のインターリーブされたテーブルの場合、
DELETE
権限は親テーブルに対してのみ必要です。子テーブルでON DELETE CASCADE
が指定されている場合は、子テーブルに対するDELETE
権限がなくても、子テーブルの行が削除されます。
例
GoogleSQL
GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;
PostgreSQL
GRANT DELETE ON TABLE employees, contractors TO hr_admin;
EXECUTE
変更ストリームに SELECT
を付与する場合は、変更ストリームの読み取り関数に EXECUTE
も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。
これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。
例
次の例では、my_change_stream
という名前の変更ストリームの読み取り関数に EXECUTE
を付与する方法を示します。
GoogleSQL
GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;
PostgreSQL
GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;
使用状況
USAGE
を名前付きスキーマに付与すると、指定されたスキーマに含まれるオブジェクトにアクセスする権限が付与されます。デフォルトのスキーマには USAGE
権限がデフォルトで付与されます。
次のステップ
詳しくは以下をご覧ください。
- 細かいアクセス制御を構成する
- 細かいアクセス制御について
- GRANT ステートメントと REVOKE ステートメント(GoogleSQL 言語データベース)
- GRANT ステートメントと REVOKE ステートメント(PostgreSQL 言語データベース)