このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。
データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。
次の表に、詳細なアクセス制御の権限と、この権限を付与できるデータベース オブジェクトを示します。
SELECT | INSERT | 更新 | 削除 | 実行 | USAGE | |
---|---|---|---|---|---|---|
スキーマ | ✓ | |||||
テーブル | ✓ | ✓ | ✓ | ✓ | ||
列 | ✓ | ✓ | ✓ | ✓ | ||
ビュー | ✓ | |||||
ストリームの変更 | ✓ | |||||
変更ストリームの読み取り関数 | ✓ | |||||
シーケンス | ✓ | ✓ | ||||
モデル | ✓ |
以降のセクションでは、それぞれの権限について詳しく説明します。
SELECT
テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。
テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限は、それ以降に追加される列を含め、テーブル内のすべての列で有効です。ビューでは列リストを使用できません。
Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。
呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限とビューで参照される基になるオブジェクトへのSELECT
権限も必要です。たとえば、Singers
テーブルにビューSingerNames
が作成されているとします。CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
データベース ロール
myRole
がクエリSELECT * FROM SingerNames
を実行するとします。このロールには、ビューに対するSELECT
権限と、参照される 3 つの列またはSingers
テーブル全体に対するSELECT
権限が必要です。定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限のみが必要です。たとえば、Albums
テーブルにビューAlbumsBudget
が作成されているとします。CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
データベースロール
Analyst
がクエリSELECT * FROM AlbumsBudget
を実行するとします。このロールには、ビューに対するSELECT
権限のみが必要です。参照される 3 つの列またはAlbums
テーブルに対するSELECT
権限は必要ありません。テーブルの列のサブセットに
SELECT
を付与すると、FGAC ユーザーはそのテーブルでSELECT *
を使用できなくなります。そのテーブルに対するクエリでは、含めるすべての列の名前を指定する必要があります。生成された列に付与された
SELECT
は、基になる基本列にSELECT
を付与しません。インターリーブされたテーブルの場合、親テーブルに付与された
SELECT
は子テーブルには伝播されません。変更ストリームで
SELECT
を付与する場合は、変更ストリームのテーブル値関数にEXECUTE
も付与する必要があります。詳細については、EXECUTE をご覧ください。SELECT
を特定の列(SUM(col_a)
など)の集計関数で使用する場合は、その列に対するSELECT
権限をロールに付与する必要があります。集計関数で列が指定されていない場合(たとえば、COUNT(*)
)、ロールにはテーブル内の少なくとも 1 つの列に対するSELECT
権限が必要です。シーケンスで
SELECT
を使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。
例
GoogleSQL
GRANT SELECT ON TABLE employees TO ROLE hr_director; GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep; GRANT SELECT ON VIEW orders_view TO ROLE hr_manager; GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;
PostgreSQL
GRANT SELECT ON TABLE employees TO hr_director; GRANT SELECT ON TABLE customers, orders, items TO account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep; GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO hr_package;
INSERT
ロールが指定されたテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。
列名を指定すると、含まれていない列は挿入時にデフォルト値を取得します。
生成された列に対して
INSERT
は付与できません。
例
GoogleSQL
GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT INSERT ON TABLE employees, contractors TO hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;
UPDATE
指定されたテーブルの行を更新することをロールに許可します。更新は、テーブル列のサブセットに制限できます。これをシーケンスで使用すると、ロールはシーケンスで get-next-sequence-value
関数を呼び出すことができます。
ロールには、UPDATE
権限に加えて、クエリされるすべての列に対する SELECT
権限が必要です。クエリ対象の列には、WHERE
句の列が含まれます。
生成された列には UPDATE
を付与できません。
例
GoogleSQL
GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT UPDATE ON TABLE employees, contractors TO hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;
DELETE
指定されたテーブルから行を削除することをロールに許可します。
DELETE
は列レベルで付与できません。また、ロールには、クエリの
WHERE
句に含まれる可能性のある列に対してSELECT
も必要です。GoogleSQL 言語データベースのインターリーブされたテーブルの場合、
DELETE
権限は親テーブルでのみ必要です。子テーブルでON DELETE CASCADE
が指定されている場合は、子テーブルに対するDELETE
権限がなくても、子テーブルの行が削除されます。
例
GoogleSQL
GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;
PostgreSQL
GRANT DELETE ON TABLE employees, contractors TO hr_admin;
EXECUTE
変更ストリームに SELECT
を付与する場合は、変更ストリームの読み取り関数に EXECUTE
も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。
これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。
例
次の例では、my_change_stream
という名前の変更ストリームの読み取り関数に EXECUTE
を付与する方法を示します。
GoogleSQL
GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;
PostgreSQL
GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;
USAGE
USAGE
を名前付きスキーマに付与すると、指定されたスキーマに含まれるオブジェクトにアクセスする権限が付与されます。デフォルトのスキーマには USAGE
権限がデフォルトで付与されます。
次のステップ
詳しくは以下をご覧ください。
- 細かいアクセス制御を構成する
- 細かいアクセス制御について
- GRANT ステートメントと REVOKE ステートメント(GoogleSQL 言語データベース)
- GRANT ステートメントと REVOKE ステートメント(PostgreSQL 言語データベース)