Detaillierte Systemrollen für die Zugriffssteuerung

Auf dieser Seite werden die Eigenschaften, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die eine differenzierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle verfügt über unterschiedliche Berechtigungen, die nicht widerrufen werden können.

public

  • Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in public.

  • Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

  • Anfangs hat public keine Berechtigungen. Sie können ihr aber Berechtigungen erteilen. Wenn Sie public eine Berechtigung gewähren, steht sie für alle Datenbankrollen zur Verfügung, einschließlich der danach erstellten Datenbankrollen.

spanner_info_reader

  • Diese Rolle hat die Berechtigung SELECT für INFORMATION_SCHEMA-Ansichten für GoogleSQL-Dialekt-Datenbanken und information_schema-Ansichten für PostgreSQL-Dialekt-Datenbanken.

  • Sie können spanner_info_reader keine weiteren Berechtigungen erteilen.

  • Gewähren Sie jeder Datenbankrolle, die ungefilterten Lesezugriff auf die INFORMATION_SCHEMA-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder information_schema-Ansichten (PostgreSQL-Datenbanken) haben muss, die Mitgliedschaft in dieser Rolle.

spanner_sys_reader

  • Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS Tabellen.

  • Sie können spanner_sys_reader keine weiteren Berechtigungen erteilen.

  • Gewähren Sie jeder Datenbankrolle, die Lesezugriff auf das Schema SPANNER_SYS haben muss, die Mitgliedschaft in dieser Rolle.

Einschränkungen für Systemrollen

  • Sie können eine Systemrolle nicht mithilfe einer DROP ROLE-Anweisung löschen.

  • Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das heißt, die folgende GoogleSQL-Anweisung ist ungültig:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle public gewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ebenfalls ungültig:

    GRANT ROLE public TO ROLE pii_access;

    Sie können jedoch eine Mitgliedschaft in den Rollen spanner_info_reader und spanner_sys_reader gewähren. Die folgenden Anweisungen sind beispielsweise gültig.

    GoogleSQL 

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

Weitere Informationen

Weitere Informationen finden Sie unter: