詳細なアクセス制御を行うための権限

このページでは、詳細なアクセス制御のためにデータベースのロールに付与できる権限について説明します。

データベースのロールと詳細なアクセス制御については、詳細なアクセス制御についてをご覧ください。

次の表に、詳細なアクセス制御の権限と、この権限を付与できるデータベース オブジェクトを示します。

SELECT INSERT 更新 削除 実行 使用状況
スキーマ
テーブル
ビュー
ストリームの変更
変更ストリームの読み取り関数
シーケンス
モデル

以降のセクションでは、それぞれの権限について詳しく説明します。

SELECT

テーブル、ビュー、ストリームの変更、シーケンス、モデルに対する読み取りまたはクエリを行うロールを許可します。

  • テーブルに列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限は、それ以降に追加される列を含め、テーブル内のすべての列で有効です。ビューでは列リストを使用できません。

  • Spanner は、呼び出し元の権限ビューと定義者の権限ビューの両方をサポートしています。詳細については、ビューについてをご覧ください。

    呼び出し元の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの SELECT 権限とビューで参照される基になるオブジェクトへの SELECT 権限も必要です。たとえば、Singers テーブルにビュー SingerNames が作成されているとします。

    CREATE VIEW SingerNames SQL SECURITY INVOKER AS
      SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
    

    データベース ロール myRole がクエリ SELECT * FROM SingerNames を実行するとします。このロールには、ビューに対する SELECT 権限と、参照される 3 つの列または Singers テーブル全体に対する SELECT 権限が必要です。

    定義者の権限でビューを作成する場合、ビューにクエリを実行するには、データベース ロール、またはユーザーにビューの SELECT 権限のみが必要です。たとえば、Albums テーブルにビュー AlbumsBudget が作成されているとします。

    CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
      SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
    

    データベースロール Analyst がクエリ SELECT * FROM AlbumsBudget を実行するとします。このロールには、ビューに対する SELECT 権限のみが必要です。参照される 3 つの列または Albums テーブルに対する SELECT 権限は必要ありません。

  • テーブルの列のサブセットに SELECT を付与すると、FGAC ユーザーはそのテーブルで SELECT * を使用できなくなります。そのテーブルに対するクエリでは、含めるすべての列の名前を指定する必要があります。

  • 生成された列に付与された SELECT は、基になる基本列に SELECT を付与しません。

  • インターリーブされたテーブルの場合、親テーブルに付与された SELECT は子テーブルには伝播されません。

  • 変更ストリームで SELECT を付与する場合は、変更ストリームのテーブル値関数に EXECUTE も付与する必要があります。詳細については、EXECUTE をご覧ください。

  • SELECT を特定の列(SUM(col_a) など)の集計関数で使用する場合は、その列に対する SELECT 権限をロールに付与する必要があります。集計関数で列が指定されていない場合(たとえば、COUNT(*))、ロールにはテーブル内の少なくとも 1 つの列に対する SELECT 権限が必要です。

  • シーケンスで SELECT を使用する場合は、表示するための権限を付与されているシーケンスのみを表示できます。

GoogleSQL

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

PostgreSQL

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

INSERT

ロールが指定されたテーブルに行を挿入できるようにします。列リストが指定されている場合、権限はそれらの列に対してのみ有効です。列リストが指定されていない場合、権限はテーブル内のすべての列で有効です。

  • 列名を指定すると、含まれていない列は挿入時にデフォルト値を取得します。

  • 生成された列に対して INSERT は付与できません。

GoogleSQL

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

UPDATE

指定されたテーブルの行を更新することをロールに許可します。更新は、テーブル列のサブセットに制限できます。これをシーケンスで使用すると、ロールがシーケンスで get-next-sequence-value 関数を呼び出すことができます。

ロールには、UPDATE 権限に加えて、すべてのキー列とすべてのクエリされた列に対する SELECT 権限が必要です。クエリされた列には、WHERE 句の列と、更新された列と生成された列の新しい値の計算に使用される列が含まれます。

生成された列に UPDATE を付与することはできません。

GoogleSQL

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

DELETE

指定されたテーブルから行を削除することをロールに許可します。

  • DELETE は列レベルで付与できません。

  • また、ロールにはすべてのキー列と、クエリの WHERE 句に含まれる可能性のある列に対して SELECT も必要です。

  • GoogleSQL 言語データベース内のインターリーブされたテーブルの場合、DELETE 権限は親テーブルに対してのみ必要です。子テーブルで ON DELETE CASCADE が指定されている場合は、子テーブルに対する DELETE 権限がなくても、子テーブルの行が削除されます。

GoogleSQL

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

PostgreSQL

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

EXECUTE

変更ストリームに SELECT を付与する場合は、変更ストリームの読み取り関数に EXECUTE も付与する必要があります。詳細については、変更ストリーム読み取り機能とクエリ構文をご覧ください。

これをモデルで使用する場合、ロールに機械学習の機能でモデルを使用することを許可します。

次の例では、my_change_stream という名前の変更ストリームの読み取り関数に EXECUTE を付与する方法を示します。

GoogleSQL

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

PostgreSQL

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

使用状況

USAGE を名前付きスキーマに付与すると、指定されたスキーマに含まれるオブジェクトにアクセスする権限が付与されます。デフォルトのスキーマには USAGE 権限がデフォルトで付与されます。

次のステップ

詳しくは以下をご覧ください。