Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung des drei vordefinierte Systemrollen für eine detaillierte Zugriffssteuerung. für jede Datenbank. Jede Systemrolle hat ein die nicht entzogen werden können.
public
Alle Nutzer mit detaillierter Zugriffssteuerung haben eine IAM-Mitgliedschaft in
public
ist standardmäßig aktiviert.Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.
public
hat anfangs keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Siepublic
eine Berechtigung gewähren, ist sie für folgende Nutzer verfügbar Alle Datenbankrollen, einschließlich danach erstellter Datenbankrollen.
spanner_info_reader
Diese Rolle hat die Berechtigung
SELECT
fürINFORMATION_SCHEMA
-Ansichten für GoogleSQL-Dialekt-Datenbanken undinformation_schema
-Ansichten für PostgreSQL-Dialekt-Datenbanken.Sie können
spanner_info_reader
keine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die folgende Rolle benötigt, die Mitgliedschaft in dieser Rolle ungefilterten Lesezugriff auf die
INFORMATION_SCHEMA
-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder Dieinformation_schema
-Ansichten (PostgreSQL-Dialekt-Datenbanken).
spanner_sys_reader
Diese Rolle hat die Berechtigung
SELECT
fürSPANNER_SYS
Tabellen.Sie können
spanner_sys_reader
keine weiteren Berechtigungen erteilen.Jeder Datenbankrolle, die Lesezugriff haben muss, die Mitgliedschaft in dieser Rolle gewähren zum Schema
SPANNER_SYS
hinzu.
Einschränkungen für Systemrollen
Systemrollen können nicht mithilfe einer
DROP ROLE
-Anweisung gelöscht werden.Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das heißt, die folgenden GoogleSQL-Anweisung ist ungültig:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Sie können keine Mitgliedschaft in
public
gewähren Ihren Datenbankrollen zuweisen. Zum Beispiel würde der folgende GoogleSQL- -Anweisung ebenfalls ungültig:GRANT ROLE public TO ROLE pii_access;
Sie können jedoch die Mitgliedschaft in
spanner_info_reader
undspanner_sys_reader
Rollen. Die folgenden Anweisungen sind beispielsweise gültig:GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Weitere Informationen
Weitere Informationen finden Sie unter: