Rollen für die detaillierte Zugriffssteuerung

Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die die detaillierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle hat ein die nicht entzogen werden können.

public

  • Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig die IAM-Mitgliedschaft public.

  • Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

  • public hat anfangs keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Sie public eine Berechtigung gewähren, ist sie für folgende Nutzer verfügbar: Alle Datenbankrollen, einschließlich danach erstellter Datenbankrollen.

spanner_info_reader

  • Diese Rolle hat das SELECT-Berechtigung für INFORMATION_SCHEMA-Ansichten für Datenbanken im GoogleSQL-Dialekt und information_schema-Ansichten für Datenbanken im PostgreSQL-Dialekt.

  • Sie können spanner_info_reader keine weiteren Berechtigungen gewähren.

  • Gewähren Sie jeder Datenbankrolle, die folgende Rolle benötigt, die Mitgliedschaft in dieser Rolle ungefilterten Lesezugriff auf die INFORMATION_SCHEMA-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder Die information_schema-Ansichten (PostgreSQL-Dialekt-Datenbanken).

spanner_sys_reader

  • Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS-Tabellen.

  • Sie können spanner_sys_reader keine weiteren Berechtigungen erteilen.

  • Jeder Datenbankrolle, die Lesezugriff haben muss, die Mitgliedschaft in dieser Rolle gewähren zum Schema SPANNER_SYS hinzu.

Einschränkungen für Systemrollen

  • Sie können eine Systemrolle nicht mit einer DROP ROLE-Anweisung löschen.

  • Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das heißt, die folgenden GoogleSQL-Anweisung ist ungültig:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle public gewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ungültig:

    GRANT ROLE public TO ROLE pii_access;

    Sie können jedoch die Mitgliedschaft in den Rollen spanner_info_reader und spanner_sys_reader gewähren. Die folgenden Aussagen sind beispielsweise gültig.

    GoogleSQL 

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

Weitere Informationen

Weitere Informationen finden Sie unter: