Questa pagina definisce le caratteristiche, i vincoli e l'uso previsto dei tre ruoli di sistema predefiniti che il controllo dell'accesso granulare fornisce per ogni database. Ogni ruolo di sistema ha un insieme di privilegi diverso, che non può essere revocato.
public
Per impostazione predefinita, tutti gli utenti con controllo granulare degli accessi hanno un'appartenenza IAM in
public.Tutti i ruoli del database ereditano i privilegi da questo ruolo.
Inizialmente,
publicnon ha privilegi, ma puoi concedergli privilegi. Se concedi un privilegio apublic, questo sarà disponibile per tutti i ruoli del database, inclusi i ruoli del database creati in seguito.
spanner_info_reader
Questo ruolo ha il privilegio
SELECTnelle tabelle INFORMATION_SCHEMA.Non puoi concedere altri privilegi a
spanner_info_reader.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura non filtrato allo schema INFORMATION_SCHEMA.
spanner_sys_reader
Questo ruolo ha il privilegio
SELECTper le tabelleSPANNER_SYS.Non puoi concedere altri privilegi a
spanner_sys_reader.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura allo schema
SPANNER_SYS.
Limitazioni relative ai ruoli di sistema
Non puoi eliminare un ruolo di sistema utilizzando un'istruzione
DROP ROLE.I ruoli di sistema non possono essere membri di altri ruoli del database.
Questo significa che la seguente affermazione non è valida.
GRANT ROLE pii_access TO ROLE spanner_info_reader;Non puoi concedere l'appartenenza al ruolo
publicai ruoli del tuo database. Ad esempio, anche la seguente affermazione non è valida.GRANT ROLE public TO ROLE pii_access;Tuttavia, puoi concedere l'appartenenza ai ruoli
spanner_info_readerespanner_sys_reader. Di seguito sono riportate alcune dichiarazioni valide.GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
Informazioni dettagliate
Per ulteriori informazioni, vedi: