Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die von der detaillierten Zugriffssteuerung für jede Datenbank bereitgestellt werden. Jede Systemrolle hat unterschiedliche Berechtigungen, die nicht widerrufen werden können.
public
Alle Nutzer mit detaillierter Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in
public
.Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.
public
hat anfangs keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Siepublic
eine Berechtigung gewähren, ist sie für alle Datenbankrollen verfügbar, auch für später erstellte Datenbankrollen.
spanner_info_reader
Diese Rolle hat die Berechtigung
SELECT
fürINFORMATION_SCHEMA
-Ansichten für GoogleSQL-Dialekt-Datenbanken undinformation_schema
-Ansichten für PostgreSQL-Dialekt-Datenbanken.Sie können
spanner_info_reader
keine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die ungefilterten Lesezugriff auf die
INFORMATION_SCHEMA
-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder dieinformation_schema
-Ansichten (PostgreSQL-Dialekt) benötigt, die Mitgliedschaft in dieser Rolle.
spanner_sys_reader
Diese Rolle hat die Berechtigung
SELECT
fürSPANNER_SYS
Tabellen.Sie können
spanner_sys_reader
keine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die Lesezugriff auf das Schema
SPANNER_SYS
muss, die Mitgliedschaft in dieser Rolle.
Einschränkungen für Systemrollen
Sie können eine Systemrolle nicht mithilfe einer
DROP ROLE
-Anweisung löschen.Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das bedeutet, dass die folgende GoogleSQL-Anweisung ungültig ist:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle
public
gewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ebenfalls ungültig:GRANT ROLE public TO ROLE pii_access;
Sie können jedoch die Rollen
spanner_info_reader
undspanner_sys_reader
zuweisen. Die folgenden Anweisungen sind beispielsweise gültig:GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Weitere Informationen
Weitere Informationen finden Sie unter: