Rôles du système de contrôle des accès précis

Cette page définit les caractéristiques, les contraintes et l'utilisation prévue des trois rôles système prédéfinis fournis par un contrôle des accès précis chaque base de données. Chaque rôle système dispose d'un d'un autre ensemble de droits, qui ne peuvent pas être révoqués.

public

  • Tous les utilisateurs disposant d'un contrôle des accès ultraprécis sont membres IAM de public. par défaut.

  • Tous les rôles de base de données héritent des droits de ce rôle.

  • Au départ, public ne dispose d'aucun droit, mais vous pouvez lui en accorder. Si vous accordez un privilège à public, il est disponible pour tous les rôles de base de données, y compris les rôles de base de données créés par la suite.

spanner_info_reader

  • Ce rôle dispose du droit SELECT sur Vues INFORMATION_SCHEMA pour les bases de données utilisant le dialecte GoogleSQL et Vues information_schema pour les bases de données de dialecte PostgreSQL.

  • Vous ne pouvez pas accorder d'autres droits à spanner_info_reader.

  • Accordez l'appartenance à ce rôle à tout rôle de base de données qui doit disposer d'un accès en lecture non filtré aux vues INFORMATION_SCHEMA (bases de données en dialecte GoogleSQL) ou aux vues information_schema (bases de données en dialecte PostgreSQL).

spanner_sys_reader

  • Ce rôle dispose du droit SELECT sur les tables SPANNER_SYS.

  • Vous ne pouvez pas accorder d'autres droits à spanner_sys_reader.

  • Accordez à ce rôle l'adhésion à tout rôle de base de données qui doit disposer d'un accès en lecture au schéma SPANNER_SYS.

Restrictions concernant les rôles système

  • Vous ne pouvez pas supprimer un rôle système à l'aide d'une instruction DROP ROLE.

  • Les rôles système ne peuvent pas être membres d'autres rôles de base de données. Autrement dit : L'instruction GoogleSQL n'est pas valide:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Vous ne pouvez pas accorder l'appartenance au rôle public à vos rôles de base de données. Par exemple, le langage GoogleSQL suivant est également incorrecte:

    GRANT ROLE public TO ROLE pii_access;

    Cependant, vous pouvez accorder l'adhésion aux spanner_info_reader et spanner_sys_reader rôles. Voici des exemples d'instructions valides.

    GoogleSQL 

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

En savoir plus

Pour en savoir plus, consultez les pages suivantes :