Funciones detalladas del sistema de control de acceso

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se definen las características, las restricciones y el uso previsto de las tres funciones predefinidas del sistema que proporciona un control de acceso detallado para cada base de datos. Cada función del sistema tiene un conjunto diferente de privilegios que no se pueden revocar.

public

  • Todos los usuarios de control de acceso detallados tienen la membresía de IAM en public de forma predeterminada.

  • Todas las funciones de base de datos heredan los privilegios de esta función.

  • Inicialmente, public no tiene privilegios, pero puedes otorgarle privilegios. Si otorgas un privilegio a public, estará disponible para todas las funciones de bases de datos, incluidas las funciones de bases de datos creadas después.

spanner_info_reader

  • Esta función tiene el privilegio SELECT en las tablas INFORMATION_SCHEMA.

  • No puedes otorgarle ningún otro privilegio a spanner_info_reader.

  • Otorga la membresía de esta función a cualquier función de base de datos que necesite tener acceso de lectura sin filtro al esquema INFORMATION_SCHEMA

spanner_sys_reader

  • Esta función tiene el privilegio SELECT en SPANNER_SYS tablas.

  • No puedes otorgarle ningún otro privilegio a spanner_sys_reader.

  • Otorga la membresía de esta función a cualquier función de base de datos que deba tener acceso de lectura al esquema SPANNER_SYS.

Restricciones a las funciones del sistema

  • No puedes borrar una función del sistema con una sentencia DROP ROLE.

  • Las funciones del sistema no pueden ser miembros de otras funciones de base de datos.

    Es decir, la siguiente declaración no es válida.

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • No puedes otorgar membresía a la función public a las funciones de base de datos. Por ejemplo, la siguiente declaración tampoco es válida.

    GRANT ROLE public TO ROLE pii_access;

    Sin embargo, puedes otorgar la membresía en las funciones spanner_info_reader y spanner_sys_reader. Por ejemplo, las siguientes son declaraciones válidas.

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
GRANT ROLE spanner_sys_reader TO ROLE pii_access;

Más información

Para obtener más información, consulte: