Peran sistem kontrol akses yang terperinci

Halaman ini menjelaskan karakteristik, batasan, dan tujuan penggunaan tiga peran sistem yang telah ditetapkan yang disediakan kontrol akses terperinci untuk setiap database. Setiap peran sistem memiliki kumpulan hak istimewa yang berbeda, yang tidak dapat dicabut.

public

  • Semua pengguna kontrol akses yang terperinci memiliki keanggotaan IAM di public secara default.

  • Semua peran database mewarisi hak istimewa dari peran ini.

  • Awalnya, public tidak memiliki hak istimewa, tetapi Anda dapat memberinya hak istimewa. Jika Anda memberikan hak istimewa ke public, hak istimewa tersebut akan tersedia untuk semua peran database, termasuk peran database yang dibuat setelahnya.

spanner_info_reader

  • Peran ini memiliki hak istimewa SELECT pada tampilan INFORMATION_SCHEMA untuk database dialek GoogleSQL dan tampilan information_schema untuk database dialek PostgreSQL.

  • Anda tidak dapat memberikan hak istimewa lain kepada spanner_info_reader.

  • Berikan keanggotaan dalam peran ini ke peran database apa pun yang perlu memiliki akses baca yang belum difilter ke tampilan INFORMATION_SCHEMA (database dialek GoogleSQL) atau tampilan information_schema (database dialek PostgreSQL).

spanner_sys_reader

  • Peran ini memiliki hak istimewa SELECT di tabel SPANNER_SYS.

  • Anda tidak dapat memberikan hak istimewa lain kepada spanner_sys_reader.

  • Dalam peran ini, berikan keanggotaan ke peran database apa pun yang harus memiliki akses baca ke skema SPANNER_SYS.

Batasan pada peran sistem

  • Anda tidak dapat menghapus peran sistem menggunakan pernyataan DROP ROLE.

  • Peran sistem tidak dapat menjadi anggota peran database lain. Artinya, pernyataan GoogleSQL berikut tidak valid:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Anda tidak dapat memberikan keanggotaan dalam peran public ke peran database Anda. Misalnya, pernyataan GoogleSQL berikut juga tidak valid:

    GRANT ROLE public TO ROLE pii_access;

    Namun, Anda dapat memberikan langganan dalam peran spanner_info_reader dan spanner_sys_reader. Misalnya, berikut ini adalah pernyataan yang valid.

    GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    

    PostgreSQL

    GRANT spanner_info_reader TO pii_access;
    GRANT spanner_sys_reader TO pii_access;
    

Informasi selengkapnya

Untuk informasi selengkapnya, lihat: