Se usó la API de Cloud Translation para traducir esta página.

Privilegios de control de acceso detallado

En esta página, se describen los privilegios que puedes otorgar a un rol de base de datos para un control de acceso detallado.

Para obtener información sobre los roles de la base de datos y el control de acceso detallado, consulta Información sobre el control de acceso detallado.

En la siguiente tabla, se muestran los privilegios de control de acceso detallado y los objetos de la base de datos en los que se pueden otorgar.

	SELECT	INSERT	UPDATE	BORRAR	EJECUTAR	USO
Esquema						✓
Tabla	✓	✓	✓	✓
Columna	✓	✓	✓		✓
Ver	✓
Flujo de cambios	✓
Función de lectura del flujo de cambios					✓
Secuencia	✓		✓
Modelo					✓

En las siguientes secciones, se proporcionan detalles sobre cada privilegio.

`SELECT`

Permite que el rol lea o consulte desde una tabla, vista, flujo de cambios, secuencia o modelo.

Si se especifica una lista de columnas para una tabla, el privilegio solo es válido para esas columnas. Si no se especifica una lista de columnas, el privilegio es válido en todas las columnas de la tabla, incluidas las que se agreguen posteriormente. No se permite una lista de columnas para una vista.
Spanner admite las vistas de derechos del invocador y las vistas de derechos del definidor. Para obtener más información, consulta Acerca de las vistas.

Si creas una vista con derechos de invocador, para consultarla, el rol o el usuario de la base de datos necesita el privilegio SELECT en la vista y también el privilegio SELECT en los objetos subyacentes a los que se hace referencia en la vista. Por ejemplo, supongamos que la vista SingerNames se crea en la tabla Singers.
```
CREATE VIEW SingerNames SQL SECURITY INVOKER AS
  SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
```
Supongamos que el rol de base de datos myRole realiza la consulta SELECT * FROM SingerNames. El rol debe tener el privilegio SELECT en la vista y en las tres columnas a las que se hace referencia, o en toda la tabla Singers.SELECT

Si creas una vista con derechos de definidor, para consultarla, el rol de la base de datos o el usuario solo necesita el privilegio SELECT en la vista. Por ejemplo, supongamos que la vista AlbumsBudget se crea en la tabla Albums.
```
CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
  SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
```
Supongamos que el rol de base de datos Analyst realiza la consulta SELECT * FROM AlbumsBudget. El rol solo necesita el privilegio SELECT en la vista. No necesita el privilegio SELECT en las tres columnas a las que se hace referencia ni en la tabla Albums.
Después de otorgar SELECT en un subconjunto de columnas para una tabla, el usuario de FGAC ya no puede usar SELECT * en esa tabla. Las consultas en esa tabla deben nombrar todas las columnas que se incluirán.
El SELECT otorgado en una columna generada no otorga SELECT en las columnas de base subyacentes.
En el caso de las tablas intercaladas, el SELECT otorgado en la tabla superior no se propaga a la tabla secundaria.
Cuando otorgas SELECT en una transmisión de cambios, también debes otorgar EXECUTE en la función con valor de la tabla de la transmisión de cambios. Para obtener más información, consulta EXECUTE.
Cuando se usa SELECT con una función agregada en columnas específicas, por ejemplo, SUM(col_a), el rol debe tener el privilegio SELECT en esas columnas. Si la función de agregación no especifica ninguna columna, por ejemplo, COUNT(*), el rol debe tener el privilegio SELECT en al menos una columna de la tabla.
Cuando usas SELECT con una secuencia, solo puedes ver las secuencias que tienes privilegios para ver.

Ejemplos

GoogleSQL

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

PostgreSQL

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

`INSERT`

Permite que el rol inserte filas en las tablas especificadas. Si se especifica una lista de columnas, el permiso solo es válido para esas columnas. Si no se especifica una lista de columnas, el privilegio es válido en todas las columnas de la tabla.

Si se especifican nombres de columna, las columnas que no se incluyan obtendrán su valor predeterminado cuando se inserten.
No se puede otorgar INSERT en columnas generadas.

Ejemplos

GoogleSQL

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

`UPDATE`

Permite que el rol actualice filas en las tablas especificadas. Las actualizaciones se pueden restringir a un subconjunto de columnas de la tabla. Cuando usas esto con secuencias, permite que el rol llame a la función get-next-sequence-value en la secuencia.

Además del privilegio UPDATE, el rol necesita el privilegio SELECT en todas las columnas consultadas. Las columnas consultadas incluyen columnas en la cláusula WHERE.

No se puede otorgar UPDATE en columnas generadas.

Ejemplos

GoogleSQL

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

`DELETE`

Permite que el rol borre filas de las tablas especificadas.

No se puede otorgar DELETE a nivel de la columna.
El rol también necesita SELECT en cualquier columna que se pueda incluir en las cláusulas WHERE de la consulta.
En el caso de las tablas intercaladas en bases de datos con dialecto de GoogleSQL, el privilegio DELETE solo se requiere en la tabla superior. Si una tabla secundaria especifica ON DELETE CASCADE, las filas de la tabla secundaria se borran incluso sin el privilegio DELETE en la tabla secundaria.

Ejemplo

GoogleSQL

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

PostgreSQL

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

`EXECUTE`

Cuando otorgas SELECT en una transmisión de cambios, también debes otorgar EXECUTE en la función de lectura de la transmisión de cambios. Para obtener más información, consulta Funciones de lectura de flujo de cambios y sintaxis de consulta.

Cuando lo usas con modelos, permite que el rol use el modelo en las funciones de aprendizaje automático.

Ejemplo

En el siguiente ejemplo, se muestra cómo otorgar EXECUTE en la función de lectura para el flujo de cambios llamado my_change_stream.

GoogleSQL

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

PostgreSQL

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

USO

Cuando otorgas USAGE a un esquema con nombre, se proporcionan privilegios para acceder a los objetos que contiene. El privilegio USAGE se otorga, de forma predeterminada, al esquema predeterminado.

¿Qué sigue?

Para obtener más información, consulte:

Configura el control de acceso detallado
Información sobre el control de acceso detallado
Sentencias GRANT y REVOKE (bases de datos de dialecto GoogleSQL)
Sentencias GRANT y REVOKE (bases de datos de dialecto de PostgreSQL)