本页面介绍您可以授予数据库角色以实现精细访问权限控制的权限。
如需了解数据库角色和精细的访问权限控制,请参阅精细访问权限控制简介。
下表显示了精细的访问权限控制权限以及可以授予这些权限的数据库对象。
SELECT | INSERT | UPDATE | 删除 | 执行 | 用量 | |
---|---|---|---|---|---|---|
架构 | ✓ | |||||
表 | ✓ | ✓ | ✓ | ✓ | ||
列 | ✓ | ✓ | ✓ | ✓ | ||
查看 | ✓ | |||||
变更数据流 | ✓ | |||||
变更数据流 读取函数 | ✓ | |||||
序列 | ✓ | ✓ | ||||
模型 | ✓ |
以下部分详细介绍了每项权限。
SELECT
允许此角色对表、视图、变更数据流、序列或模型进行读取或查询。
如果为表指定了列列表,则该权限仅对那些列有效。如果未指定列列表,则该权限对表中的所有列(包括之后添加的列)有效。视图不允许使用列列表。
Spanner 同时支持调用方的权限视图和定义者的权限视图。如需了解详情,请参阅视图简介。
如果您创建了具有调用者权限的视图,若要查询该视图,则数据库角色或用户需要拥有该视图的
SELECT
权限,以及该视图中引用的底层对象的SELECT
权限。例如,假设Singers
表上创建了视图SingerNames
。CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId, Singers.FirstName, Singers.LastName FROM Singers;
假设数据库角色
myRole
执行查询SELECT * FROM SingerNames
。该角色必须具有针对视图的SELECT
权限,并且必须对三个引用的列或整个Singers
表具有SELECT
权限。如果您创建具有定义者权限的视图,若要查询该视图,则数据库角色或用户只需要对该视图的
SELECT
权限。例如,假设Albums
表上创建了视图AlbumsBudget
。CREATE VIEW AlbumsBudget SQL SECURITY DEFINER AS SELECT Albums.Id, Albums.AlbumTitle, MarketingBudget FROM Albums;
假设数据库角色
Analyst
执行查询SELECT * FROM AlbumsBudget
。该角色只需要拥有视图的SELECT
权限。它不需要对三个引用的列或Albums
表拥有SELECT
权限。针对表的部分列授予
SELECT
权限后,FGAC 用户将无法再对该表使用SELECT *
。针对该表的查询必须命名要包含的所有列。对生成的列授予
SELECT
权限时,不会授予对底层基本列的SELECT
权限。对于交错表,对父表授予的
SELECT
不会传播到子表。针对变更数据流授予
SELECT
权限时,您还必须针对变更数据流的表值函数授予EXECUTE
权限。如需了解详情,请参阅执行。将
SELECT
与特定列的聚合函数一起使用时(例如SUM(col_a)
),该角色必须具有这些列的SELECT
权限。如果聚合函数未指定任何列(例如COUNT(*)
),则该角色必须具有对表中的至少一个列的SELECT
权限。将
SELECT
与序列搭配使用时,您只能查看您有权查看的序列。
示例
GoogleSQL
GRANT SELECT ON TABLE employees TO ROLE hr_director; GRANT SELECT ON TABLE customers, orders, items TO ROLE account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO ROLE hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO ROLE hr_rep; GRANT SELECT ON VIEW orders_view TO ROLE hr_manager; GRANT SELECT ON CHANGE STREAM ordersChangeStream TO ROLE hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO ROLE role_name;
PostgreSQL
GRANT SELECT ON TABLE employees TO hr_director; GRANT SELECT ON TABLE customers, orders, items TO account_mgr; GRANT SELECT(name, level, cost_center, location, manager) ON TABLE employees TO hr_manager; GRANT SELECT(name, address, phone) ON TABLE employees, contractors TO hr_rep; GRANT SELECT ON TABLE orders_view TO hr_manager; // orders_view is an invoker rights view GRANT SELECT ON CHANGE STREAM orders_change_stream TO hr_analyst; GRANT SELECT ON SEQUENCE sequence_name TO hr_package;
INSERT
允许此角色向指定的表中插入行。如果指定了列列表,则权限仅对那些列有效。如果未指定列列表,则该权限对表中的所有列都有效。
如果指定了列名称,则未包含的任何列都会在插入时获取默认值。
无法针对生成的列授予“
INSERT
”。
示例
GoogleSQL
GRANT INSERT ON TABLE employees, contractors TO ROLE hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT INSERT ON TABLE employees, contractors TO hr_manager; GRANT INSERT(name, address, phone) ON TABLE employees TO hr_rep;
UPDATE
允许此角色更新指定表中的行。可以仅更新表的部分列。将此参数与序列一起使用时,它允许角色对序列调用 get-next-sequence-value
函数。
除 UPDATE
权限外,该角色还需要对所有键列和所有查询的列拥有 SELECT
权限。查询的列包括 WHERE
子句中的列以及用于计算更新后的列和生成的列的新值的列。
无法针对生成的列授予“UPDATE
”。
示例
GoogleSQL
GRANT UPDATE ON TABLE employees, contractors TO ROLE hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO ROLE hr_rep;
PostgreSQL
GRANT UPDATE ON TABLE employees, contractors TO hr_manager; GRANT UPDATE(name, address, phone) ON TABLE employees TO hr_rep;
DELETE
允许此角色从指定表中删除行。
无法在列级别授予“
DELETE
”。该角色还需要对所有键列以及查询
WHERE
子句中可能包含的任何列拥有SELECT
权限。对于 GoogleSQL 方言数据库中的交错表,只需对父表拥有
DELETE
特权。如果子表指定ON DELETE CASCADE
,即使没有子表的DELETE
权限,系统也会删除子表中的行。
示例
GoogleSQL
GRANT DELETE ON TABLE employees, contractors TO ROLE hr_admin;
PostgreSQL
GRANT DELETE ON TABLE employees, contractors TO hr_admin;
EXECUTE
针对变更数据流授予 SELECT
权限时,您还必须针对变更数据流的读取函数授予 EXECUTE
权限。如需了解详情,请参阅更改流读取函数和查询语法。
将该模型与模型结合使用时,将允许角色在机器学习功能中使用模型。
示例
以下示例展示了如何针对名为 my_change_stream
的变更数据流的读取函数授予 EXECUTE
。
GoogleSQL
GRANT EXECUTE ON TABLE FUNCTION READ_my_change_stream TO ROLE hr_analyst;
PostgreSQL
GRANT EXECUTE ON FUNCTION spanner.read_json_my_change_stream TO hr_analyst;
用量
将 USAGE
授予命名架构时,它会提供访问命名架构所含对象的权限。系统会默认向默认架构授予 USAGE
权限。
后续步骤
如需了解详情,请参阅以下主题:
- 配置精细的访问权限控制
- 精细访问权限控制简介
- GRANT 和 REVOKE 语句(GoogleSQL 方言数据库)
- GRANT 和 REVOKE 语句(PostgreSQL 方言数据库)