このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。
データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。
次の表に、きめ細かいアクセス制御権限と、それらを付与するデータベース オブジェクトを示します。
SELECT | INSERT | UPDATE | 削除 | 実行 | |
---|---|---|---|---|---|
Table | ✓ | ✓ | ✓ | ✓ | |
列 | ✓ | ✓ | ✓ | ||
表示 | ✓ | ||||
ストリームの変更 | ✓ | ||||
ストリーム変更読み取り関数 | ✓ | ||||
シーケンス | ✓ | ✓ | |||
モデル | ✓ |
以降のセクションでは、各権限について詳しく説明します。
SELECT
テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。
テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストを指定しない場合、権限はテーブル内のすべての列(それ以降に追加された列を含む)で有効になります。ビューでは列リストを使用できません。
Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。
呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限とビューで参照される基になるオブジェクトへのSELECT
権限も必要です。たとえば、ビューSingerNames
がSingers
テーブルに作成されたとします。CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
データベース ロール
myRole
がクエリSELECT * FROM SingerNames
を実行するとします。このロールには、ビューに対するSELECT
権限と、参照される 3 つの列またはSingers
テーブル全体に対するSELECT
権限が必要です。定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT
権限のみが必要です。たとえば、ビューAlbumsBudget
がAlbums
テーブルに作成されたとします。CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
データベース ロール
Analyst
がクエリSELECT * FROM AlbumsBudget
を実行するとします。このロールには、ビューに対するSELECT
権限のみが必要です。参照される 3 つの列またはAlbums
テーブルに対するSELECT
権限は必要ありません。テーブルの列のサブセットに
SELECT
を付与すると、FGAC ユーザーはそのテーブルでSELECT *
を使用できなくなります。そのテーブルに対するクエリには、含めるすべての列に名前を付ける必要があります。生成された列に付与された
SELECT
は、基になるベース列に対するSELECT
を付与しません。インターリーブされたテーブルの場合、親テーブルに付与された
SELECT
は子テーブルには伝播されません。変更ストリームに
SELECT
を付与する場合は、変更ストリームのテーブル値関数に対してEXECUTE
も付与する必要があります。詳細については、実行をご覧ください。特定の列(
SUM(col_a)
など)の集計関数でSELECT
を使用する場合、ロールにはそれらの列に対するSELECT
権限が必要です。集計関数で列が指定されていない場合(例:COUNT(*)
)、ロールにはテーブルの少なくとも 1 つの列に対するSELECT
権限が必要です。シーケンスで
SELECT
を使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。
例
GoogleSQL
GRANT SELECT ON TABLE employees TO ROLE hr_director; GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep; GRANT SELECT ON VIEW orders_view TO ROLE hr_manager; GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;
PostgreSQL
GRANT SELECT ON TABLE employees TO hr_director; GRANT SELECT ON TABLE customers, orders, items TO account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep; GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO hr_package;
INSERT
指定したテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。
列名を指定した場合、含まれていない列は挿入時にデフォルト値になります。
生成された列には
INSERT
を付与することができません。
例
GoogleSQL
GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT INSERT ON TABLE employees, contractors TO hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;
UPDATE
指定したテーブルの行を更新するロールを許可します。更新は、テーブル列のサブセットに限定できます。これをシーケンスで使用すると、ロールがシーケンスで get-next-sequence-value
関数を呼び出すことができます。
UPDATE
権限に加えて、ロールにはすべてのキー列とクエリ対象の列に対する SELECT
権限が必要です。クエリ対象の列には、WHERE
句の列と、更新された列の新しい値と生成された列のコンピューティングに使用される列が含まれます。
生成された列には UPDATE
を付与することができません。
例
GoogleSQL
GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT UPDATE ON TABLE employees, contractors TO hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;
DELETE
指定したテーブルから行を削除できるようにします。
列レベルで
DELETE
を付与することはできません。また、ロールにはすべてのキー列と、クエリの
WHERE
句に含まれる可能性のある列に対してSELECT
も必要です。GoogleSQL 言語データベースのインターリーブ テーブルの場合、
DELETE
権限は親テーブルに対してのみ必要です。子テーブルでON DELETE CASCADE
が指定されている場合は、子テーブルに対するDELETE
権限がなくても、子テーブルの行が削除されます。
例
GoogleSQL
GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;
PostgreSQL
GRANT DELETE ON TABLE employees, contractors TO hr_admin;
EXECUTE
変更ストリームに SELECT
を付与する場合は、変更ストリームの読み取り関数に EXECUTE
も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。
これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。
例
次の例は、my_change_stream
という名前の変更ストリームの読み取り関数で EXECUTE
を付与する方法を示しています。
GoogleSQL
GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;
PostgreSQL
GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;
次のステップ
詳しくは以下をご覧ください。
- 細かいアクセス制御を構成する
- 細かいアクセス制御について
- GRANT ステートメントと REVOKE ステートメント(GoogleSQL 言語データベース)
- GRANT ステートメントと REVOKE ステートメント(PostgreSQL 言語データベース)