精细的访问权限控制权限

本页面介绍您可以授予数据库角色以实现精细访问权限控制的权限。

如需了解数据库角色和精细的访问权限控制，请参阅精细访问权限控制简介。

下表显示了精细的访问权限控制权限以及可以授予这些权限的数据库对象。

以下部分详细介绍了每项权限。

SELECT

允许此角色对表、视图、变更数据流、序列或模型进行读取或查询。

• 如果为表指定了列列表，则该权限仅对那些列有效。如果未指定列列表，则该权限对表中的所有列（包括之后添加的列）有效。视图不允许使用列列表。

• Spanner 同时支持调用方的权限视图和定义者的权限视图。如需了解详情，请参阅视图简介。

  如果您创建了具有调用者权限的视图，若要查询该视图，则数据库角色或用户需要拥有该视图的 SELECT 权限，以及该视图中引用的底层对象的 SELECT 权限。例如，假设 Singers 表上创建了视图 SingerNames。

  CREATE VIEW SingerNames SQL SECURITY INVOKER AS
    SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
  

  假设数据库角色 myRole 执行查询 SELECT * FROM SingerNames。该角色必须具有针对视图的 SELECT 权限，并且必须对三个引用的列或整个 Singers 表具有 SELECT 权限。

  如果您创建具有定义者权限的视图，若要查询该视图，则数据库角色或用户只需要对该视图的 SELECT 权限。例如，假设 Albums 表上创建了视图 AlbumsBudget。

  CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS
    SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
  

  假设数据库角色 Analyst 执行查询 SELECT * FROM AlbumsBudget。该角色只需要拥有视图的 SELECT 权限。它不需要对三个引用的列或 Albums 表拥有 SELECT 权限。

• 针对表的部分列授予 SELECT 权限后，FGAC 用户将无法再对该表使用 SELECT *。针对该表的查询必须命名要包含的所有列。

• 对生成的列授予 SELECT 权限时，不会授予对底层基本列的 SELECT 权限。

• 对于交错表，对父表授予的 SELECT 不会传播到子表。

• 针对变更数据流授予 SELECT 权限时，您还必须针对变更数据流的表值函数授予 EXECUTE 权限。如需了解详情，请参阅执行。

• 将 SELECT 与特定列的聚合函数一起使用时（例如 SUM(col_a)），该角色必须具有这些列的 SELECT 权限。如果聚合函数未指定任何列（例如 COUNT(*)），则该角色必须具有对表中的至少一个列的 SELECT 权限。

• 将 SELECT 与序列搭配使用时，您只能查看您有权查看的序列。

示例

GRANT SELECT ON TABLE employees TO ROLE hr_director;

GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep;

GRANT SELECT ON VIEW orders_view TO ROLE hr_manager;

GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;

GRANT SELECT ON TABLE employees TO hr_director;

GRANT SELECT ON TABLE customers, orders, items TO account_mgr;

GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager;

GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep;

GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view

GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst;

GRANT SELECT ON SEQUENCE sequence_name TO hr_package;

INSERT

允许此角色向指定的表中插入行。如果指定了列列表，则权限仅对那些列有效。如果未指定列列表，则该权限对表中的所有列都有效。

• 如果指定了列名称，则未包含的任何列都会在插入时获取默认值。

• 无法针对生成的列授予“INSERT”。

示例

GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;

GRANT INSERT ON TABLE employees, contractors TO hr_manager;

GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;

UPDATE

允许此角色更新指定表中的行。可以仅更新表的部分列。将此参数与序列一起使用时，它允许角色对序列调用 get-next-sequence-value 函数。

除 UPDATE 权限外，该角色还需要对所有键列和所有查询的列拥有 SELECT 权限。查询的列包括 WHERE 子句中的列以及用于计算更新后的列和生成的列的新值的列。

无法针对生成的列授予“UPDATE”。

示例

GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;

GRANT UPDATE ON TABLE employees, contractors TO hr_manager;

GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;

DELETE

允许此角色从指定表中删除行。

• 无法在列级别授予“DELETE”。

• 该角色还需要对所有键列以及查询 WHERE 子句中可能包含的任何列拥有 SELECT 权限。

• 对于 GoogleSQL 方言数据库中的交错表，只需对父表拥有 DELETE 特权。如果子表指定 ON DELETE CASCADE，即使没有子表的 DELETE 权限，系统也会删除子表中的行。

示例

GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;

GRANT DELETE ON TABLE employees, contractors TO hr_admin;

EXECUTE

针对变更数据流授予 SELECT 权限时，您还必须针对变更数据流的读取函数授予 EXECUTE 权限。如需了解详情，请参阅更改流读取函数和查询语法。

将该模型与模型结合使用时，将允许角色在机器学习功能中使用模型。

示例

以下示例展示了如何针对名为 my_change_stream 的变更数据流的读取函数授予 EXECUTE。

GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;

GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;

用量

将 USAGE 授予命名架构时，它会提供访问命名架构所含对象的权限。系统会默认向默认架构授予 USAGE 权限。

后续步骤

如需了解详情，请参阅以下主题：

• 配置精细的访问权限控制
• 精细访问权限控制简介
• GRANT 和 REVOKE 语句（GoogleSQL 方言数据库）
• GRANT 和 REVOKE 语句（PostgreSQL 方言数据库）