Questa pagina definisce le caratteristiche, i vincoli e l'utilizzo previsto dei tre ruoli di sistema predefiniti forniti dal controllo dell'accesso granulare per ogni database. Ogni ruolo di sistema ha un insieme diverso di privilegi, che non possono essere revocati.
public
Per impostazione predefinita, tutti gli utenti con controllo dell'accesso granulare dispongono dell'appartenenza IAM in
public
.Tutti i ruoli del database ereditano i privilegi da questo ruolo.
Inizialmente,
public
non ha privilegi, ma puoi concedergli dei privilegi. Se concedi un privilegio apublic
, è disponibile per tutti i ruoli del database, inclusi quelli creati in seguito.
spanner_info_reader
Questo ruolo ha il privilegio
SELECT
per le visteINFORMATION_SCHEMA
per i database dialetto GoogleSQL e per le visteinformation_schema
per i database dialetto PostgreSQL.Non puoi concedere altri privilegi a
spanner_info_reader
.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve disporre dell'accesso in lettura senza filtri alle viste
INFORMATION_SCHEMA
(database del dialetto GoogleSQL) oinformation_schema
(database del dialetto PostgreSQL).
spanner_sys_reader
Questo ruolo ha il privilegio
SELECT
per le tabelleSPANNER_SYS
.Non puoi concedere altri privilegi a
spanner_sys_reader
.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo del database che deve avere accesso in lettura allo schema
SPANNER_SYS
.
Limitazioni sui ruoli di sistema
Non puoi eliminare un ruolo di sistema utilizzando un'istruzione
DROP ROLE
.I ruoli di sistema non possono essere membri di altri ruoli del database. Ciò significa che la seguente istruzione GoogleSQL non è valida:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Non puoi concedere l'appartenenza al ruolo
public
ai ruoli del database. Ad esempio, anche la seguente istruzione GoogleSQL non è valida:GRANT ROLE public TO ROLE pii_access;
Tuttavia, puoi concedere l'appartenenza ai ruoli
spanner_info_reader
espanner_sys_reader
. Ad esempio, le seguenti sono istruzioni valide.GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Informazioni dettagliate
Per ulteriori informazioni, vedi: