Ruoli di sistema di controllo granulare degli accessi

Questa pagina definisce le caratteristiche, i vincoli e l'utilizzo previsto dei tre ruoli di sistema predefiniti forniti dal controllo dell'accesso granulare per ogni database. Ogni ruolo di sistema ha un insieme diverso di privilegi, che non possono essere revocati.

public

  • Per impostazione predefinita, tutti gli utenti con controllo dell'accesso granulare dispongono dell'appartenenza IAM in public.

  • Tutti i ruoli del database ereditano i privilegi da questo ruolo.

  • Inizialmente, public non ha privilegi, ma puoi concedergli dei privilegi. Se concedi un privilegio a public, è disponibile per tutti i ruoli del database, inclusi quelli creati in seguito.

spanner_info_reader

  • Questo ruolo ha il privilegio SELECT per le viste INFORMATION_SCHEMA per i database dialetto GoogleSQL e per le viste information_schema per i database dialetto PostgreSQL.

  • Non puoi concedere altri privilegi a spanner_info_reader.

  • Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve disporre dell'accesso in lettura senza filtri alle viste INFORMATION_SCHEMA (database del dialetto GoogleSQL) o information_schema (database del dialetto PostgreSQL).

spanner_sys_reader

  • Questo ruolo ha il privilegio SELECT per le tabelle SPANNER_SYS.

  • Non puoi concedere altri privilegi a spanner_sys_reader.

  • Concedi l'appartenenza a questo ruolo a qualsiasi ruolo del database che deve avere accesso in lettura allo schema SPANNER_SYS.

Limitazioni sui ruoli di sistema

  • Non puoi eliminare un ruolo di sistema utilizzando un'istruzione DROP ROLE.

  • I ruoli di sistema non possono essere membri di altri ruoli del database. Ciò significa che la seguente istruzione GoogleSQL non è valida:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Non puoi concedere l'appartenenza al ruolo public ai ruoli del database. Ad esempio, anche la seguente istruzione GoogleSQL non è valida:

    GRANT ROLE public TO ROLE pii_access;

    Tuttavia, puoi concedere l'appartenenza ai ruoli spanner_info_reader e spanner_sys_reader. Ad esempio, le seguenti sono istruzioni valide.

    GoogleSQL 

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

Informazioni dettagliate

Per ulteriori informazioni, vedi: