Detaillierte Rollen für die Zugriffssteuerung

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen beschrieben, die durch die detaillierte Zugriffssteuerung für jede Datenbank bereitgestellt werden. Jede Systemrolle hat unterschiedliche Berechtigungen, die nicht widerrufen werden können.

public

  • Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in public.

  • Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

  • Anfangs hat public keine Berechtigungen. Sie können ihm jedoch Berechtigungen erteilen. Wenn Sie public eine Berechtigung gewähren, ist sie für alle Datenbankrollen verfügbar, einschließlich der danach erstellten Datenbankrollen.

spanner_info_reader

  • Diese Rolle hat die Berechtigung SELECT für INFORMATION_SCHEMA-Tabellen.

  • Sie können spanner_info_reader keine weiteren Berechtigungen erteilen.

  • Erteilen Sie die Rolle in dieser Rolle allen Datenbankrollen, die ungefilterten Lesezugriff auf das Schema INFORMATION_SCHEMA benötigen.

spanner_sys_reader

  • Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS-Tabellen.

  • Sie können spanner_sys_reader keine weiteren Berechtigungen erteilen.

  • Erteilen Sie die Rolle in dieser Rolle allen Datenbankrollen, die Lesezugriff auf das SPANNER_SYS-Schema haben müssen.

Einschränkungen für Systemrollen

  • Sie können eine Systemrolle nicht mit einer DROP ROLE-Anweisung löschen.

  • Systemrollen können nicht Mitglied anderer Datenbankrollen sein.

    Die folgende Anweisung ist also ungültig.

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle public gewähren. Die folgende Aussage ist beispielsweise ungültig.

    GRANT ROLE public TO ROLE pii_access;

    Sie können jedoch eine Mitgliedschaft in den Rollen spanner_info_reader und spanner_sys_reader gewähren. Die folgenden Beispiele sind gültige Anweisungen.

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    

Weitere Informationen

Weitere Informationen finden Sie unter: