Cette page définit les caractéristiques, les contraintes et l'utilisation prévue des trois rôles système prédéfinis fournis par le contrôle ultraprécis des accès à chaque base de données. Chaque rôle système est associé à un ensemble différent de droits, qui ne peuvent pas être révoqués.
public
Tous les utilisateurs avec contrôle des accès ultraprécis sont membres IAM par défaut à
public
.Tous les rôles de base de données héritent des droits de ce rôle.
Au départ,
public
ne dispose d'aucun droit, mais vous pouvez lui accorder des droits. Si vous accordez un droit àpublic
, il est disponible pour tous les rôles de base de données, y compris ceux créés par la suite.
spanner_info_reader
Ce rôle dispose du droit
SELECT
sur les vuesINFORMATION_SCHEMA
pour les bases de données de dialecte GoogleSQL et sur les vuesinformation_schema
pour les bases de données de dialecte PostgreSQL.Vous ne pouvez pas accorder d'autres droits à
spanner_info_reader
.Accordez à ce rôle l'adhésion à tout rôle de base de données qui doit disposer d'un accès en lecture non filtré aux vues
INFORMATION_SCHEMA
(bases de données GoogleSQL) ou aux vuesinformation_schema
(bases de données de dialecte PostgreSQL).
spanner_sys_reader
Ce rôle dispose du droit
SELECT
sur les tablesSPANNER_SYS
.Vous ne pouvez pas accorder d'autres droits à
spanner_sys_reader
.Accordez à ce rôle l'adhésion à tout rôle de base de données devant disposer d'un accès en lecture au schéma
SPANNER_SYS
.
Restrictions concernant les rôles système
Vous ne pouvez pas supprimer un rôle système à l'aide d'une instruction
DROP ROLE
.Les rôles système ne peuvent pas être membres d'autres rôles de base de données. Autrement dit, l'instruction GoogleSQL suivante n'est pas valide:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Vous ne pouvez pas attribuer le rôle
public
à vos rôles de base de données. Par exemple, l'instruction GoogleSQL suivante n'est pas non plus valide:GRANT ROLE public TO ROLE pii_access;
Toutefois, vous pouvez accorder des membres aux rôles
spanner_info_reader
etspanner_sys_reader
. Voici des exemples d'instructions valides.GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
En savoir plus
Pour en savoir plus, consultez cette page :