Privilégios de controle de acesso granular

Nesta página, descrevemos os privilégios que você pode conceder a um papel de banco de dados para controle de acesso minucioso.

Para saber mais sobre os papéis do banco de dados e o controle de acesso detalhado, consulte Sobre o controle de acesso detalhado.

A tabela a seguir mostra os privilégios refinados de controle de acesso e os objetos de banco de dados em que eles podem ser concedidos.

SELECIONAR INSERT ATUALIZAR EXCLUIR EXECUTE
Tabela
Coluna
Exibir
Fluxo de alterações
Função de leitura do fluxo de alterações
Sequência

As seções a seguir fornecem detalhes sobre cada privilégio.

SELECT

Permite que o papel leia ou consulte uma tabela, visualização, fluxo de alterações ou sequência.

  • Se uma lista de colunas for especificada para uma tabela, o privilégio será válido apenas nessas colunas. Se nenhuma lista de colunas for especificada, o privilégio será válido em todas as colunas na tabela, incluindo as colunas adicionadas posteriormente. Uma lista de colunas não é permitida para uma visualização.

  • O Spanner oferece suporte às visualizações de direitos do invocador e às visualizações de direitos do definidor. Para mais informações, consulte Sobre as visualizações.

    Se você criar uma visualização com direitos de invocador, para consultar a visualização, a função do banco de dados ou o usuário precisará do privilégio SELECT na visualização e também do privilégio SELECT nos objetos subjacentes referenciados na visualização. Por exemplo, suponha que a visualização SingerNames seja criada na tabela Singers.

    CREATE VIEW SingerNames SQL SECURITY INVOKER AS
      SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
    

    Suponha que o papel de banco de dados myRole execute a consulta SELECT * FROM SingerNames. O papel precisa ter o privilégio SELECT na visualização e o privilégio SELECT nas três colunas referenciadas ou em toda a tabela Singers.

    Se você criar uma visualização com direitos do definidor, para consultar a visualização, o papel do banco de dados ou o usuário precisará apenas do privilégio SELECT na visualização. Por exemplo, suponha que a visualização AlbumsBudget seja criada na tabela Albums.

    CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
      SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
    

    Suponha que o papel de banco de dados Analyst execute a consulta SELECT * FROM AlbumsBudget. O papel só precisa do privilégio SELECT na visualização. Ele não precisa do privilégio SELECT nas três colunas referenciadas ou na tabela Albums.

  • Depois de conceder SELECT em um subconjunto de colunas para uma tabela, o usuário do FGAC não poderá mais usar SELECT * nessa tabela. As consultas nessa tabela precisam nomear todas as colunas a serem incluídas.

  • SELECT concedido em uma coluna gerada não concede SELECT nas colunas base subjacentes.

  • Para tabelas intercaladas, SELECT concedido na tabela pai não se propaga para a tabela filha.

  • Ao conceder SELECT em um fluxo de alterações, você também precisa conceder EXECUTE na função com valor de tabela desse fluxo. Para mais informações, consulte EXECUTAR.

  • Quando SELECT é usado com uma função de agregação em colunas específicas, por exemplo, SUM(col_a), o papel precisa ter o privilégio SELECT nessas colunas. Se a função de agregação não especificar nenhuma coluna, por exemplo, COUNT(*), o papel precisará ter o privilégio SELECT em pelo menos uma coluna na tabela.

  • Ao usar o SELECT com uma sequência, você só pode conferir aquelas que tem privilégios.

Examples

GoogleSQL

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

PostgreSQL

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

INSERT

Permite que o papel insira linhas nas tabelas especificadas. Se uma lista de colunas for especificada, a permissão será válida apenas nessas colunas. Se nenhuma lista de colunas for especificada, o privilégio será válido em todas as colunas da tabela.

  • Se os nomes das colunas forem especificados, qualquer coluna não incluída receberá o valor padrão na inserção.

  • Não é possível conceder INSERT a colunas geradas.

Examples

GoogleSQL

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

UPDATE

Permite que o papel atualize linhas nas tabelas especificadas. As atualizações podem ser restritas a um subconjunto de colunas da tabela. Quando usado com sequências, ele permite que o papel chame a função get-next-sequence-value na sequência.

Além do privilégio UPDATE, o papel precisa do privilégio SELECT em todas as colunas de chave e em todas as colunas consultadas. Elas incluem colunas consultadas na cláusula WHERE e usadas para calcular os novos valores das colunas atualizadas e geradas.

Não é possível conceder UPDATE a colunas geradas.

Examples

GoogleSQL

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

PostgreSQL

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

DELETE

Permite que o papel exclua linhas das tabelas especificadas.

  • Não é possível conceder DELETE no nível da coluna.

  • O papel também precisa de SELECT em todas as colunas de chave e em quaisquer colunas que possam ser incluídas nas cláusulas WHERE da consulta.

  • Para tabelas intercaladas em bancos de dados de dialetos GoogleSQL, o privilégio DELETE é necessário apenas na tabela pai. Se uma tabela filha especificar ON DELETE CASCADE, as linhas da tabela filha serão excluídas mesmo sem o privilégio DELETE na tabela filha.

Exemplo

GoogleSQL

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

PostgreSQL

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

EXECUTE

Ao conceder SELECT em um fluxo de alterações, você também precisa conceder EXECUTE na função de leitura desse fluxo. Para mais informações, acesse Funções de leitura do fluxo de alterações e sintaxe de consulta.

Exemplo

O exemplo a seguir mostra como conceder EXECUTE na função de leitura para o fluxo de alterações chamado my_change_stream.

GoogleSQL

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

PostgreSQL

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

A seguir

Veja mais informações em: