Detaillierte Zugriffssteuerungssystemrollen

Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung des drei vordefinierte Systemrollen für eine detaillierte Zugriffssteuerung. für jede Datenbank. Jede Systemrolle hat ein die nicht entzogen werden können.

public

  • Alle Nutzer mit detaillierter Zugriffssteuerung haben eine IAM-Mitgliedschaft in public ist standardmäßig aktiviert.

  • Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

  • public hat anfangs keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Sie public eine Berechtigung gewähren, ist sie für folgende Nutzer verfügbar Alle Datenbankrollen, einschließlich danach erstellter Datenbankrollen.

spanner_info_reader

  • Diese Rolle hat die Berechtigung SELECT für INFORMATION_SCHEMA-Ansichten für GoogleSQL-Dialekt-Datenbanken und information_schema-Ansichten für PostgreSQL-Dialekt-Datenbanken.

  • Sie können spanner_info_reader keine weiteren Berechtigungen erteilen.

  • Gewähren Sie jeder Datenbankrolle, die folgende Rolle benötigt, die Mitgliedschaft in dieser Rolle ungefilterten Lesezugriff auf die INFORMATION_SCHEMA-Ansichten (GoogleSQL-Dialekt-Datenbanken) oder Die information_schema-Ansichten (PostgreSQL-Dialekt-Datenbanken).

spanner_sys_reader

  • Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS Tabellen.

  • Sie können spanner_sys_reader keine weiteren Berechtigungen erteilen.

  • Jeder Datenbankrolle, die Lesezugriff haben muss, die Mitgliedschaft in dieser Rolle gewähren zum Schema SPANNER_SYS hinzu.

Einschränkungen für Systemrollen

  • Systemrollen können nicht mithilfe einer DROP ROLE-Anweisung gelöscht werden.

  • Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Das heißt, die folgenden GoogleSQL-Anweisung ist ungültig:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Sie können keine Mitgliedschaft in public gewähren Ihren Datenbankrollen zuweisen. Zum Beispiel würde der folgende GoogleSQL- -Anweisung ebenfalls ungültig:

    GRANT ROLE public TO ROLE pii_access;

    Sie können jedoch die Mitgliedschaft in spanner_info_reader und spanner_sys_reader Rollen. Die folgenden Anweisungen sind beispielsweise gültig:

    GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    

    PostgreSQL

    GRANT spanner_info_reader TO pii_access;
    GRANT spanner_sys_reader TO pii_access;
    

Weitere Informationen

Weitere Informationen finden Sie unter: