Rôles système de contrôle des accès ultraprécis

Cette page définit les caractéristiques, les contraintes et l'utilisation prévue des trois rôles système prédéfinis fournis par le contrôle ultraprécis des accès à chaque base de données. Chaque rôle système est associé à un ensemble différent de droits, qui ne peuvent pas être révoqués.

public

• Tous les utilisateurs avec contrôle des accès ultraprécis sont membres IAM par défaut à public.

• Tous les rôles de base de données héritent des droits de ce rôle.

• Au départ, public ne dispose d'aucun droit, mais vous pouvez lui accorder des droits. Si vous accordez un droit à public, il est disponible pour tous les rôles de base de données, y compris ceux créés par la suite.

spanner_info_reader

• Ce rôle dispose du droit SELECT sur les vues INFORMATION_SCHEMA pour les bases de données de dialecte GoogleSQL et sur les vues information_schema pour les bases de données de dialecte PostgreSQL.

• Vous ne pouvez pas accorder d'autres droits à spanner_info_reader.

• Accordez à ce rôle l'adhésion à tout rôle de base de données qui doit disposer d'un accès en lecture non filtré aux vues INFORMATION_SCHEMA (bases de données GoogleSQL) ou aux vues information_schema (bases de données de dialecte PostgreSQL).

spanner_sys_reader

• Ce rôle dispose du droit SELECT sur les tables SPANNER_SYS.

• Vous ne pouvez pas accorder d'autres droits à spanner_sys_reader.

• Accordez à ce rôle l'adhésion à tout rôle de base de données devant disposer d'un accès en lecture au schéma SPANNER_SYS.

Restrictions concernant les rôles système

• Vous ne pouvez pas supprimer un rôle système à l'aide d'une instruction DROP ROLE.

• Les rôles système ne peuvent pas être membres d'autres rôles de base de données. Autrement dit, l'instruction GoogleSQL suivante n'est pas valide:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;

• Vous ne pouvez pas attribuer le rôle public à vos rôles de base de données. Par exemple, l'instruction GoogleSQL suivante n'est pas non plus valide:

  GRANT ROLE public TO ROLE pii_access;

  Toutefois, vous pouvez accorder des membres aux rôles spanner_info_reader et spanner_sys_reader. Voici des exemples d'instructions valides.

  GoogleSQL

  GRANT ROLE spanner_info_reader TO ROLE pii_access;
  GRANT ROLE spanner_sys_reader TO ROLE pii_access;
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

En savoir plus

Pour en savoir plus, consultez cette page :

• Configurer un contrôle des accès précis
• À propos du contrôle ultraprécis des accès