Peran sistem kontrol akses yang sangat terperinci

Halaman ini menentukan karakteristik, batasan, dan penggunaan yang dimaksudkan dari tiga peran sistem standar yang disediakan oleh kontrol akses terperinci untuk setiap database. Setiap peran sistem memiliki kumpulan hak istimewa yang berbeda, yang tidak dapat dicabut.

public

  • Semua pengguna kontrol akses terperinci memiliki keanggotaan IAM di public secara default.

  • Semua peran database mewarisi hak istimewa dari peran ini.

  • Awalnya, public tidak memiliki hak istimewa, tetapi Anda dapat memberikan hak istimewa. Jika Anda memberikan hak istimewa ke public, hak istimewa tersebut akan tersedia untuk semua peran database, termasuk peran database yang dibuat setelahnya.

spanner_info_reader

  • Peran ini memiliki hak istimewa SELECT pada tampilan INFORMATION_SCHEMA untuk database dialek GoogleSQL dan tampilan information_schema untuk database dialek PostgreSQL.

  • Anda tidak dapat memberikan hak istimewa lainnya kepada spanner_info_reader.

  • Berikan keanggotaan dalam peran ini ke peran database apa pun yang perlu memiliki akses baca yang tidak difilter ke tampilan INFORMATION_SCHEMA (database dialek GoogleSQL) atau tampilan information_schema (database dialek PostgreSQL).

spanner_sys_reader

  • Peran ini memiliki hak istimewa SELECT pada tabel SPANNER_SYS.

  • Anda tidak dapat memberikan hak istimewa lainnya kepada spanner_sys_reader.

  • Berikan keanggotaan dalam peran ini ke peran database apa pun yang harus memiliki akses baca ke skema SPANNER_SYS.

Batasan pada peran sistem

  • Anda tidak dapat menghapus peran sistem menggunakan pernyataan DROP ROLE.

  • Peran sistem tidak dapat menjadi anggota peran database lainnya. Artinya, pernyataan GoogleSQL berikut tidak valid:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Anda tidak dapat memberikan keanggotaan dalam peran public ke peran database Anda. Misalnya, pernyataan GoogleSQL berikut juga tidak valid:

    GRANT ROLE public TO ROLE pii_access;

    Namun, Anda dapat memberikan keanggotaan dalam peran spanner_info_reader dan spanner_sys_reader. Misalnya, berikut adalah pernyataan yang valid.

    GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    

    PostgreSQL

    GRANT spanner_info_reader TO pii_access;
    GRANT spanner_sys_reader TO pii_access;
    

Informasi selengkapnya

Untuk informasi selengkapnya, lihat: