このページでは、データベースごとに細かいアクセス制御が提供する 3 つの事前定義システムロールの特性、制約、用途について説明します。システムロールにはそれぞれ一連の異なる権限があり、取り消すことはできません。
public
すべての細かいアクセス制御ユーザーは、デフォルトで
publicに IAM メンバーシップを持っています。すべてのデータベース ロールは、このロールの権限を継承します。
最初は、
publicに権限はありませんが、権限を付与することが可能です。権限をpublicに付与すると、それ以降に作成されたデータベース ロールを含むすべてのデータベース ロールで使用できます。
spanner_info_reader
このロールには、GoogleSQL 言語データベースの
INFORMATION_SCHEMAビューと PostgreSQL 言語のinformation_schemaビューに対するSELECT権限があります。spanner_info_readerに他の権限は付与できません。このロールのメンバーシップを、
INFORMATION_SCHEMAビュー(GoogleSQL 言語データベース)またはinformation_schemaビュー(PostgreSQL 言語データベース)に対する読み取りアクセス権をフィルタする必要があるデータベース ロールを付与します。
spanner_sys_reader
このロールには、
SPANNER_SYSテーブルに対するSELECT権限があります。spanner_sys_readerに他の権限は付与できません。SPANNER_SYSスキーマへの読み取りアクセス権が必要なデータベース ロールにこのロールのメンバーシップを付与します。
システムロールの制限
DROP ROLEステートメントを使用してシステムロールを削除することはできません。システムロールを、他のデータベース ロールのメンバーにはできません。 つまり、次の Google SQL ステートメントは無効です。
GRANT ROLE pii_access TO ROLE spanner_info_reader;publicロールのメンバーシップをデータベース ロールに付与することはできません。たとえば、次の Google SQL ステートメントも無効です。GRANT ROLE public TO ROLE pii_access;ただし、
spanner_info_readerロールとspanner_sys_readerロールのメンバーシップは付与できます。たとえば、有効なステートメントは次のとおりです。GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
詳細
詳しくは以下をご覧ください。