Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die von der detaillierten Zugriffssteuerung für jede Datenbank bereitgestellt werden. Jede Systemrolle hat unterschiedliche Berechtigungen, die nicht widerrufen werden können.
public
Alle Nutzer mit detaillierter Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in
public.Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.
publichat anfangs keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Siepubliceine Berechtigung gewähren, ist sie für alle Datenbankrollen verfügbar, auch für später erstellte Datenbankrollen.
spanner_info_reader
Diese Rolle hat die Berechtigung
SELECTfürINFORMATION_SCHEMA-Ansichten für GoogleSQL-Dialekt-Datenbanken undinformation_schema-Ansichten für PostgreSQL-Dialekt-Datenbanken.Sie können
spanner_info_readerkeine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die ungefilterten Lesezugriff auf die
INFORMATION_SCHEMA-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder dieinformation_schema-Ansichten (PostgreSQL-Dialekt) benötigt, die Mitgliedschaft in dieser Rolle.
spanner_sys_reader
Diese Rolle hat die Berechtigung
SELECTfürSPANNER_SYSTabellen.Sie können
spanner_sys_readerkeine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die Lesezugriff auf das Schema
SPANNER_SYSmuss, die Mitgliedschaft in dieser Rolle.
Einschränkungen für Systemrollen
Sie können eine Systemrolle nicht mithilfe einer
DROP ROLE-Anweisung löschen.Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das bedeutet, dass die folgende GoogleSQL-Anweisung ungültig ist:
GRANT ROLE pii_access TO ROLE spanner_info_reader;Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle
publicgewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ebenfalls ungültig:GRANT ROLE public TO ROLE pii_access;Sie können jedoch die Rollen
spanner_info_readerundspanner_sys_readerzuweisen. Die folgenden Anweisungen sind beispielsweise gültig:GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Weitere Informationen
Weitere Informationen finden Sie unter: