Contrôle précis des droits des accès

Cette page décrit les droits que vous pouvez accorder à un rôle de base de données pour un contrôle des accès précis.

Pour en savoir plus sur les rôles de base de données et le contrôle précis des accès, consultez la page À propos du contrôle précis des accès.

Le tableau suivant présente les droits de contrôle des accès précis et les objets de base de données auxquels ils peuvent être accordés.

SELECT INSERT METTRE À JOUR SUPPRIMER EXECUTE
Table
Colonne
Afficher
Flux de modifications
Fonction de lecture du flux de modifications
Séquence
Modèle

Les sections suivantes fournissent des informations sur chaque droit.

SELECT

Permet au rôle de lire ou d'interroger une table, une vue, un flux de modifications, une séquence ou un modèle.

  • Si une liste de colonnes est spécifiée pour une table, le droit n'est valide que pour ces colonnes. Si aucune liste de colonnes n'est spécifiée, le droit est valide pour toutes les colonnes de la table, y compris pour les colonnes ajoutées par la suite. Une liste de colonnes n'est pas autorisée pour une vue.

  • Spanner est compatible à la fois avec les vues des droits du demandeur et les vues des droits du paramètre. Pour en savoir plus, consultez À propos des vues.

    Si vous créez une vue avec des droits de demandeur, pour interroger la vue, le rôle de base de données ou l'utilisateur doit disposer du droit SELECT sur la vue, ainsi que du droit SELECT sur les objets sous-jacents référencés dans la vue. Par exemple, supposons que la vue SingerNames soit créée sur la table Singers.

    CREATE VIEW SingerNames SQL SECURITY INVOKER AS
      SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
    

    Supposons que le rôle de base de données myRole exécute la requête SELECT * FROM SingerNames. Le rôle doit disposer du droit SELECT sur la vue et doit disposer du droit SELECT sur les trois colonnes référencées ou sur l'ensemble de la table Singers.

    Si vous créez une vue en disposant des droits de définition, pour interroger la vue, le rôle de base de données ou l'utilisateur n'a besoin que du droit SELECT sur la vue. Par exemple, supposons que la vue AlbumsBudget soit créée sur la table Albums.

    CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
      SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
    

    Supposons que le rôle de base de données Analyst exécute la requête SELECT * FROM AlbumsBudget. Le rôle ne nécessite que le droit SELECT sur la vue. Le droit SELECT n'est pas nécessaire sur les trois colonnes référencées ni sur la table Albums.

  • Après avoir accordé SELECT sur un sous-ensemble de colonnes d'une table, l'utilisateur FGAC ne peut plus utiliser SELECT * sur cette table. Les requêtes sur cette table doivent nommer toutes les colonnes à inclure.

  • L'autorisation SELECT accordée sur une colonne générée n'accorde pas l'autorisation SELECT sur les colonnes de base sous-jacentes.

  • Pour les tables entrelacées, les autorisations SELECT accordées sur la table parente ne se propagent pas à la table enfant.

  • Lorsque vous accordez l'autorisation SELECT sur un flux de modifications, vous devez également accorder l'autorisation EXECUTE sur la fonction de valeur de table du flux de modifications. Pour en savoir plus, consultez la section EXÉCUTER.

  • Lorsque SELECT est utilisé avec une fonction d'agrégation sur des colonnes spécifiques, par exemple SUM(col_a), le rôle doit disposer du droit SELECT sur ces colonnes. Si la fonction d'agrégation ne spécifie aucune colonne (par exemple, COUNT(*)), le rôle doit disposer du droit SELECT sur au moins une colonne de la table.

  • Lorsque vous utilisez SELECT avec une séquence, vous ne pouvez afficher que les séquences que vous êtes autorisé à consulter.

Examples

GoogleSQL

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

PostgreSQL

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

INSERT

Permet au rôle d'insérer des lignes dans les tables spécifiées. Si une liste de colonnes est spécifiée, l'autorisation n'est valide que pour ces colonnes. Si aucune liste de colonnes n'est spécifiée, le droit est valide pour toutes les colonnes de la table.

  • Si des noms de colonnes sont spécifiés, toute colonne non incluse obtient sa valeur par défaut lors de l'insertion.

  • Impossible d'accorder l'autorisation INSERT sur les colonnes générées.

Examples

GoogleSQL

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

UPDATE

Permet au rôle de mettre à jour des lignes dans les tables spécifiées. Les mises à jour peuvent être limitées à un sous-ensemble de colonnes de la table. Lorsque vous l'utilisez avec des séquences, cela permet au rôle d'appeler la fonction get-next-sequence-value sur la séquence.

En plus du droit UPDATE, le rôle doit disposer du droit SELECT sur toutes les colonnes de clé et toutes les colonnes interrogées. Les colonnes interrogées incluent des colonnes dans la clause WHERE ainsi que des colonnes permettant de calculer les nouvelles valeurs des colonnes mises à jour et générées.

Impossible d'accorder l'autorisation UPDATE sur les colonnes générées.

Examples

GoogleSQL

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

DELETE

Permet au rôle de supprimer des lignes des tables spécifiées.

  • Impossible d'accorder l'autorisation DELETE au niveau de la colonne.

  • Le rôle a également besoin de SELECT sur toutes les colonnes de clé et sur toutes les colonnes susceptibles d'être incluses dans les clauses de requête WHERE.

  • Pour les tables entrelacées dans les bases de données de dialecte GoogleSQL, le droit DELETE n'est requis que sur la table parente. Si une table enfant spécifie ON DELETE CASCADE, les lignes de la table enfant sont supprimées même si le droit DELETE n'est pas accordé sur la table enfant.

Exemple

GoogleSQL

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

PostgreSQL

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

EXECUTE

Lorsque vous accordez l'autorisation SELECT sur un flux de modifications, vous devez également accorder l'autorisation EXECUTE sur la fonction de lecture du flux de modifications. Pour en savoir plus, consultez la page Fonctions de lecture de flux de modifications et syntaxe des requêtes.

Lorsque vous l'utilisez avec des modèles, cela permet au rôle d'utiliser le modèle dans des fonctions de machine learning.

Exemple

L'exemple suivant montre comment accorder EXECUTE sur la fonction de lecture du flux de modifications nommé my_change_stream.

GoogleSQL

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

PostgreSQL

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

Étapes suivantes

Pour en savoir plus, consultez les pages suivantes :