Auf dieser Seite werden die Eigenschaften, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die eine differenzierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle verfügt über unterschiedliche Berechtigungen, die nicht widerrufen werden können.
public
Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in
public
.Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.
Anfangs hat
public
keine Berechtigungen. Sie können ihr aber Berechtigungen erteilen. Wenn Siepublic
eine Berechtigung gewähren, steht sie für alle Datenbankrollen zur Verfügung, einschließlich der danach erstellten Datenbankrollen.
spanner_info_reader
Diese Rolle hat die Berechtigung
SELECT
fürINFORMATION_SCHEMA
-Ansichten für GoogleSQL-Dialekt-Datenbanken undinformation_schema
-Ansichten für PostgreSQL-Dialekt-Datenbanken.Sie können
spanner_info_reader
keine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die ungefilterten Lesezugriff auf die
INFORMATION_SCHEMA
-Ansichten (GoogleSQL-Dialekt-Datenbanken) oderinformation_schema
-Ansichten (PostgreSQL-Datenbanken) haben muss, die Mitgliedschaft in dieser Rolle.
spanner_sys_reader
Diese Rolle hat die Berechtigung
SELECT
fürSPANNER_SYS
Tabellen.Sie können
spanner_sys_reader
keine weiteren Berechtigungen erteilen.Gewähren Sie jeder Datenbankrolle, die Lesezugriff auf das Schema
SPANNER_SYS
haben muss, die Mitgliedschaft in dieser Rolle.
Einschränkungen für Systemrollen
Sie können eine Systemrolle nicht mithilfe einer
DROP ROLE
-Anweisung löschen.Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das heißt, die folgende GoogleSQL-Anweisung ist ungültig:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle
public
gewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ebenfalls ungültig:GRANT ROLE public TO ROLE pii_access;
Sie können jedoch eine Mitgliedschaft in den Rollen
spanner_info_reader
undspanner_sys_reader
gewähren. Die folgenden Anweisungen sind beispielsweise gültig.GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Weitere Informationen
Weitere Informationen finden Sie unter: