Ruoli di sistema di controllo dell'accesso granulari

Questa pagina definisce le caratteristiche, i vincoli e l'uso previsto dei tre ruoli di sistema predefiniti che il controllo granulare degli accessi fornisce per ogni database. Ogni ruolo di sistema ha un insieme diverso di privilegi, che non possono essere revocati.

public

• Per impostazione predefinita, tutti gli utenti del controllo degli accessi granulare sono membri di IAM in public.

• Tutti i ruoli del database ereditano i privilegi da questo ruolo.

• Inizialmente, public non dispone di privilegi, ma puoi concedergliene. Se concedi un privilegio a public, questo sarà disponibile per tutti i ruoli del database, inclusi quelli creati in seguito.

spanner_info_reader

• Questo ruolo ha il privilegio SELECT per Viste INFORMATION_SCHEMA per i database di dialetti GoogleSQL e Viste information_schema per database di dialetti PostgreSQL.

• Non puoi concedere altri privilegi a spanner_info_reader.

• Concedi l'appartenenza a questo ruolo a qualsiasi ruolo del database che deve avere accesso di lettura non filtrato alle visualizzazioni INFORMATION_SCHEMA (database in dialetto GoogleSQL) o alle visualizzazioni information_schema (database in dialetto PostgreSQL).

spanner_sys_reader

• Questo ruolo ha il privilegio SELECT sulle tabelle SPANNER_SYS.

• Non puoi concedere altri privilegi a spanner_sys_reader.

• Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura allo schema SPANNER_SYS.

Limitazioni relative ai ruoli di sistema

• Non puoi eliminare un ruolo di sistema utilizzando un'istruzione DROP ROLE.

• I ruoli di sistema non possono essere membri di altri ruoli del database. In altre parole, l'istruzione GoogleSQL seguente non è valida:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;

• Non puoi concedere l'appartenenza al ruolo public ai tuoi ruoli di database. Ad esempio, il codice GoogleSQL non è valida neanche l'istruzione:

  GRANT ROLE public TO ROLE pii_access;

  Tuttavia, puoi concedere l'appartenenza ai ruoli spanner_info_reader e spanner_sys_reader. Ad esempio, le seguenti sono affermazioni valide.

  GoogleSQL

  GRANT ROLE spanner_info_reader TO ROLE pii_access;
  GRANT ROLE spanner_sys_reader TO ROLE pii_access;
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

Ulteriori informazioni

Per ulteriori informazioni, vedi:

• Configurare un controllo dell'accesso granulare
• Informazioni sul controllo dell'accesso granulare