詳細なアクセス制御を行うための権限

このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。

データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。

次の表に、詳細なアクセス制御の権限と、この権限を付与できるデータベース オブジェクトを示します。

SELECT INSERT 更新 削除 実行 USAGE
スキーマ
テーブル
ビュー
ストリームの変更
変更ストリームの読み取り関数
シーケンス
モデル

以降のセクションでは、それぞれの権限について詳しく説明します。

SELECT

テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。

  • テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限は、それ以降に追加される列を含め、テーブル内のすべての列で有効です。ビューでは列リストを使用できません。

  • Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。

    呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの SELECT 権限とビューで参照される基になるオブジェクトへの SELECT 権限も必要です。たとえば、Singers テーブルにビュー SingerNames が作成されているとします。

    CREATE VIEW SingerNames SQL SECURITY INVOKER AS
      SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
    

    データベース ロール myRole がクエリ SELECT * FROM SingerNames を実行するとします。このロールには、ビューに対する SELECT 権限と、参照される 3 つの列または Singers テーブル全体に対する SELECT 権限が必要です。

    定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの SELECT 権限のみが必要です。たとえば、Albums テーブルにビュー AlbumsBudget が作成されているとします。

    CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
      SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
    

    データベースロール Analyst がクエリ SELECT * FROM AlbumsBudget を実行するとします。このロールには、ビューに対する SELECT 権限のみが必要です。参照される 3 つの列または Albums テーブルに対する SELECT 権限は必要ありません。

  • テーブルの列のサブセットに SELECT を付与すると、FGAC ユーザーはそのテーブルで SELECT * を使用できなくなります。そのテーブルに対するクエリでは、含めるすべての列の名前を指定する必要があります。

  • 生成された列に付与された SELECT は、基になる基本列に SELECT を付与しません。

  • インターリーブされたテーブルの場合、親テーブルに付与された SELECT は子テーブルには伝播されません。

  • 変更ストリームで SELECT を付与する場合は、変更ストリームのテーブル値関数に EXECUTE も付与する必要があります。詳細については、EXECUTE をご覧ください。

  • SELECT を特定の列(SUM(col_a) など)の集計関数で使用する場合は、その列に対する SELECT 権限をロールに付与する必要があります。集計関数で列が指定されていない場合(たとえば、COUNT(*))、ロールにはテーブル内の少なくとも 1 つの列に対する SELECT 権限が必要です。

  • シーケンスで SELECT を使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。

GoogleSQL

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

PostgreSQL

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

INSERT

ロールが指定されたテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。

  • 列名を指定すると、含まれていない列は挿入時にデフォルト値を取得します。

  • 生成された列に対して INSERT は付与できません。

GoogleSQL

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

UPDATE

指定されたテーブルの行を更新することをロールに許可します。更新は、テーブル列のサブセットに制限できます。これをシーケンスで使用すると、ロールはシーケンスで get-next-sequence-value 関数を呼び出すことができます。

ロールには、UPDATE 権限に加えて、クエリされるすべての列に対する SELECT 権限が必要です。クエリ対象の列には、WHERE 句の列が含まれます。

生成された列には UPDATE を付与できません。

GoogleSQL

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

DELETE

指定されたテーブルから行を削除することをロールに許可します。

  • DELETE は列レベルで付与できません。

  • また、ロールには、クエリの WHERE 句に含まれる可能性のある列に対して SELECT も必要です。

  • GoogleSQL 言語データベースのインターリーブされたテーブルの場合、DELETE 権限は親テーブルでのみ必要です。子テーブルで ON DELETE CASCADE が指定されている場合は、子テーブルに対する DELETE 権限がなくても、子テーブルの行が削除されます。

GoogleSQL

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

PostgreSQL

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

EXECUTE

変更ストリームに SELECT を付与する場合は、変更ストリームの読み取り関数に EXECUTE も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。

これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。

次の例では、my_change_stream という名前の変更ストリームの読み取り関数に EXECUTE を付与する方法を示します。

GoogleSQL

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

PostgreSQL

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

USAGE

USAGE を名前付きスキーマに付与すると、指定されたスキーマに含まれるオブジェクトにアクセスする権限が付与されます。デフォルトのスキーマには USAGE 権限がデフォルトで付与されます。

次のステップ

詳しくは以下をご覧ください。