このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。
データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。
次の表に、きめ細かいアクセス制御権限と、それらを付与するデータベース オブジェクトを示します。
| SELECT | INSERT | UPDATE | 削除 | 実行 | |
|---|---|---|---|---|---|
| Table | ✓ | ✓ | ✓ | ✓ | |
| 列 | ✓ | ✓ | ✓ | ||
| 表示 | ✓ | ||||
| ストリームの変更 | ✓ | ||||
| ストリーム変更読み取り関数 | ✓ | ||||
| シーケンス | ✓ | ✓ | |||
| モデル | ✓ |
以降のセクションでは、各権限について詳しく説明します。
SELECT
テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。
テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストを指定しない場合、権限はテーブル内のすべての列(それ以降に追加された列を含む)で有効になります。ビューでは列リストを使用できません。
Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。
呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT権限とビューで参照される基になるオブジェクトへのSELECT権限も必要です。たとえば、ビューSingerNamesがSingersテーブルに作成されたとします。CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;データベース ロール
myRoleがクエリSELECT * FROM SingerNamesを実行するとします。このロールには、ビューに対するSELECT権限と、参照される 3 つの列またはSingersテーブル全体に対するSELECT権限が必要です。定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの
SELECT権限のみが必要です。たとえば、ビューAlbumsBudgetがAlbumsテーブルに作成されたとします。CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;データベース ロール
AnalystがクエリSELECT * FROM AlbumsBudgetを実行するとします。このロールには、ビューに対するSELECT権限のみが必要です。参照される 3 つの列またはAlbumsテーブルに対するSELECT権限は必要ありません。テーブルの列のサブセットに
SELECTを付与すると、FGAC ユーザーはそのテーブルでSELECT *を使用できなくなります。そのテーブルに対するクエリには、含めるすべての列に名前を付ける必要があります。生成された列に付与された
SELECTは、基になるベース列に対するSELECTを付与しません。インターリーブされたテーブルの場合、親テーブルに付与された
SELECTは子テーブルには伝播されません。変更ストリームに
SELECTを付与する場合は、変更ストリームのテーブル値関数に対してEXECUTEも付与する必要があります。詳細については、実行をご覧ください。特定の列(
SUM(col_a)など)の集計関数でSELECTを使用する場合、ロールにはそれらの列に対するSELECT権限が必要です。集計関数で列が指定されていない場合(例:COUNT(*))、ロールにはテーブルの少なくとも 1 つの列に対するSELECT権限が必要です。シーケンスで
SELECTを使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。
例
GoogleSQL
GRANT SELECT ON TABLE employees TO ROLE hr_director; GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep; GRANT SELECT ON VIEW orders_view TO ROLE hr_manager; GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;
PostgreSQL
GRANT SELECT ON TABLE employees TO hr_director; GRANT SELECT ON TABLE customers, orders, items TO account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep; GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO hr_package;
INSERT
指定したテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。
列名を指定した場合、含まれていない列は挿入時にデフォルト値になります。
生成された列には
INSERTを付与することができません。
例
GoogleSQL
GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT INSERT ON TABLE employees, contractors TO hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;
UPDATE
指定したテーブルの行を更新するロールを許可します。更新は、テーブル列のサブセットに限定できます。これをシーケンスで使用すると、ロールがシーケンスで get-next-sequence-value 関数を呼び出すことができます。
UPDATE 権限に加えて、ロールにはすべてのキー列とクエリ対象の列に対する SELECT 権限が必要です。クエリ対象の列には、WHERE 句の列と、更新された列の新しい値と生成された列のコンピューティングに使用される列が含まれます。
生成された列には UPDATE を付与することができません。
例
GoogleSQL
GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT UPDATE ON TABLE employees, contractors TO hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;
DELETE
指定したテーブルから行を削除できるようにします。
列レベルで
DELETEを付与することはできません。また、ロールにはすべてのキー列と、クエリの
WHERE句に含まれる可能性のある列に対してSELECTも必要です。GoogleSQL 言語データベースのインターリーブ テーブルの場合、
DELETE権限は親テーブルに対してのみ必要です。子テーブルでON DELETE CASCADEが指定されている場合は、子テーブルに対するDELETE権限がなくても、子テーブルの行が削除されます。
例
GoogleSQL
GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;
PostgreSQL
GRANT DELETE ON TABLE employees, contractors TO hr_admin;
EXECUTE
変更ストリームに SELECT を付与する場合は、変更ストリームの読み取り関数に EXECUTE も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。
これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。
例
次の例は、my_change_stream という名前の変更ストリームの読み取り関数で EXECUTE を付与する方法を示しています。
GoogleSQL
GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;
PostgreSQL
GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;
次のステップ
詳しくは以下をご覧ください。
- 細かいアクセス制御を構成する
- 細かいアクセス制御について
- GRANT ステートメントと REVOKE ステートメント(GoogleSQL 言語データベース)
- GRANT ステートメントと REVOKE ステートメント(PostgreSQL 言語データベース)