Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen beschrieben, die eine detaillierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle hat andere Berechtigungen, die nicht widerrufen werden können.
public
Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in
public.Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.
Anfangs hat
publickeine Berechtigungen. Sie können ihm jedoch Berechtigungen erteilen. Wenn Siepubliceine Berechtigung erteilen, ist sie für alle Datenbankrollen verfügbar, einschließlich der Datenbankrollen, die danach erstellt werden.
spanner_info_reader
Diese Rolle hat die Berechtigung
SELECTfür INFORMATION_SCHEMA-Tabellen.Sie können
spanner_info_readerkeine weiteren Berechtigungen erteilen.Gewähren Sie dieser Rolle eine Mitgliedschaft für jede Datenbankrolle, die ungefilterten Lesezugriff auf das Schema INFORMATION_SCHEMA benötigt.
spanner_sys_reader
Diese Rolle hat die Berechtigung
SELECTfürSPANNER_SYS-Tabellen.Sie können
spanner_sys_readerkeine weiteren Berechtigungen erteilen.Gewähren Sie dieser Rolle eine beliebige Datenbankrolle, die Lesezugriff auf das
SPANNER_SYS-Schema hat.
Einschränkungen für Systemrollen
Sie können eine Systemrolle nicht mit einer
DROP ROLE-Anweisung löschen.Systemrollen können nicht Mitglied anderer Datenbankrollen sein.
Die folgende Anweisung ist also ungültig.
GRANT ROLE pii_access TO ROLE spanner_info_reader;Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle
publicgewähren. Die folgende Anweisung ist beispielsweise ungültig.GRANT ROLE public TO ROLE pii_access;Sie können jedoch die Mitgliedschaft in den Rollen
spanner_info_readerundspanner_sys_readergewähren. Die folgenden Beispiele sind gültige Anweisungen.GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
Weitere Informationen
Weitere Informationen finden Sie unter: