Funciones detalladas del sistema de control de acceso

En esta página, se definen las características, las limitaciones y el uso previsto de las tres roles predefinidos de sistema que brinda el control de acceso detallado cada base de datos. Cada rol del sistema tiene un o un conjunto diferente de privilegios, que no se pueden revocar.

public

  • Todos los usuarios del control de acceso detallado tienen membresía de IAM en public de forma predeterminada.

  • Todos los roles de base de datos heredan privilegios de este rol.

  • Inicialmente, public no tiene privilegios, pero puedes otorgarle privilegios. Si otorgas un privilegio a public, estará disponible para todos los roles de bases de datos, incluidos los que se crearon posteriormente.

spanner_info_reader

  • Este rol tiene el privilegio SELECT en INFORMATION_SCHEMA vistas para bases de datos de dialectos de GoogleSQL y Vistas information_schema para bases de datos de dialectos de PostgreSQL.

  • No puedes otorgar ningún otro privilegio a spanner_info_reader.

  • Otorga membresía en este rol a cualquier rol de base de datos que necesite acceso de lectura sin filtrar a las vistas INFORMATION_SCHEMA (bases de datos de dialecto GoogleSQL) o a las vistas information_schema (bases de datos de dialecto PostgreSQL).

spanner_sys_reader

  • Esta función tiene el privilegio SELECT en las tablas SPANNER_SYS.

  • No puedes otorgarle ningún otro privilegio a spanner_sys_reader.

  • Otorga la membresía en este rol a cualquier rol de base de datos que deba tener acceso de lectura al esquema SPANNER_SYS.

Restricciones a los roles del sistema

  • No puedes borrar un rol del sistema con una sentencia DROP ROLE.

  • Los roles del sistema no pueden ser miembros de otros roles de la base de datos. Es decir, el siguiente La instrucción de GoogleSQL no es válida:

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • No puedes otorgar membresía en el rol public a tus roles de base de datos. Por ejemplo, el siguiente código de GoogleSQL tampoco es válida:

    GRANT ROLE public TO ROLE pii_access;

    Sin embargo, puedes otorgar membresías en los roles spanner_info_reader y spanner_sys_reader. Por ejemplo, las siguientes son sentencias válidas.

    GoogleSQL 

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

Más información

Para obtener más información, consulte: