Funciones detalladas del sistema de control de acceso

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se definen las características, las restricciones y el uso previsto de las tres funciones predefinidas del sistema que proporciona el control de acceso detallado para cada base de datos. Cada función del sistema tiene un conjunto diferente de privilegios que no se pueden revocar.

public

  • Todos los usuarios de control de acceso detallados tienen la membresía de IAM en public de forma predeterminada.

  • Todas las funciones de base de datos heredan privilegios de esta función.

  • Inicialmente, public no tiene privilegios, pero puedes otorgarle privilegios. Si otorgas un privilegio a public, estará disponible para todas las funciones de la base de datos, incluidas las que se creen después.

spanner_info_reader

  • Esta función tiene el privilegio SELECT en las tablas INFORMATION_SCHEMA.

  • No puede otorgar ningún otro privilegio a spanner_info_reader.

  • Otorga la membresía de esta función a cualquier función de la base de datos que necesite tener acceso de lectura sin filtro al esquema INFORMATION_SCHEMA.

spanner_sys_reader

  • Esta función tiene el privilegio SELECT en las tablas SPANNER_SYS.

  • No puede otorgar ningún otro privilegio a spanner_sys_reader.

  • Otorga la membresía de esta función a cualquier función de la base de datos que deba tener acceso de lectura al esquema SPANNER_SYS.

Restricciones sobre las funciones del sistema

  • No puedes borrar una función del sistema mediante una sentencia DROP ROLE.

  • Las funciones del sistema no pueden ser miembros de otras funciones de la base de datos.

    Es decir, la siguiente declaración no es válida.

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • No puedes otorgar la membresía en la función public a las funciones de base de datos. Por ejemplo, la siguiente declaración tampoco es válida.

    GRANT ROLE public TO ROLE pii_access;

    Sin embargo, puedes otorgar la membresía en las funciones spanner_info_reader y spanner_sys_reader. Por ejemplo, las siguientes son declaraciones válidas.

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    

Más información

Para obtener más información, consulte: