Ruoli di sistema di controllo dell'accesso granulari

Questa pagina definisce le caratteristiche, i vincoli e l'uso previsto dei tre ruoli di sistema predefiniti che il controllo granulare degli accessi offre, per ogni database. Ogni ruolo di sistema ha un ruolo insieme di privilegi diversi, che non possono essere revocati.

public

• Tutti gli utenti con controllo dell'accesso granulare hanno membri IAM in public per impostazione predefinita.

• Tutti i ruoli del database ereditano i privilegi da questo ruolo.

• Inizialmente, public non dispone di privilegi, ma puoi concedergli privilegi. Se concedi un privilegio a public, questo è disponibile per tutti i ruoli del database, inclusi quelli creati successivamente.

spanner_info_reader

• Questo ruolo ha il privilegio SELECT per Viste INFORMATION_SCHEMA per i database di dialetti GoogleSQL e Viste information_schema per database di dialetti PostgreSQL.

• Non puoi concedere altri privilegi a spanner_info_reader.

• Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura senza filtri alle viste INFORMATION_SCHEMA (database di dialetti GoogleSQL) o le viste information_schema (database di dialetti PostgreSQL).

spanner_sys_reader

• Questo ruolo ha il privilegio SELECT per le tabelle SPANNER_SYS.

• Non puoi concedere altri privilegi a spanner_sys_reader.

• Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura allo schema SPANNER_SYS.

Limitazioni dei ruoli di sistema

• Non puoi eliminare un ruolo di sistema utilizzando un'istruzione DROP ROLE.

• I ruoli di sistema non possono essere membri di altri ruoli del database. Vale a dire che L'istruzione GoogleSQL non è valida:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;

• Non puoi concedere l'iscrizione al public ai ruoli del database. Ad esempio, il codice GoogleSQL non è valida neanche l'istruzione:

  GRANT ROLE public TO ROLE pii_access;

  Tuttavia, puoi concedere l'iscrizione al spanner_info_reader e spanner_sys_reader ruoli. Ad esempio, quelle riportate di seguito sono valide.

  GoogleSQL

  GRANT ROLE spanner_info_reader TO ROLE pii_access;
  GRANT ROLE spanner_sys_reader TO ROLE pii_access;
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

Ulteriori informazioni

Per ulteriori informazioni, vedi:

• Configurare un controllo dell'accesso granulare
• Informazioni sul controllo dell'accesso granulare