Nesta página, definimos as características, as restrições e o uso pretendido dos três papéis de sistema predefinidos que o controle de acesso refinado oferece para cada banco de dados. Cada função do sistema tem um conjunto diferente de privilégios, que não podem ser revogados.
public
Todos os usuários de controle de acesso refinado têm associação do IAM em
public
por padrão.Todas as funções de banco de dados herdam privilégios desse papel.
Inicialmente,
public
não tem privilégios, mas você pode concedê-los. Se você conceder um privilégio apublic
, ele estará disponível para todos os papéis de banco de dados, incluindo os criados posteriormente.
spanner_info_reader
Esse papel tem o privilégio
SELECT
em visualizaçõesINFORMATION_SCHEMA
para bancos de dados de dialetos GoogleSQL e visualizaçõesinformation_schema
para bancos de dados de dialetos PostgreSQL.Não é possível conceder outros privilégios a
spanner_info_reader
.Conceda esse papel a qualquer papel de banco de dados que precise ter acesso de leitura não filtrado às visualizações
INFORMATION_SCHEMA
(bancos de dados de dialetos GoogleSQL) ou às visualizaçõesinformation_schema
(bancos de dados de dialeto PostgreSQL).
spanner_sys_reader
Este papel tem o privilégio
SELECT
emSPANNER_SYS
tabelas.Não é possível conceder outros privilégios a
spanner_sys_reader
.Conceda a associação nesse papel a qualquer papel de banco de dados que precise ter acesso de leitura ao esquema
SPANNER_SYS
.
Restrições das funções do sistema
Não é possível excluir um papel do sistema usando uma instrução
DROP ROLE
.As funções do sistema não podem ser membros de outras funções do banco de dados. Ou seja, a seguinte instrução GoogleSQL é inválida:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Não é possível conceder assinatura no papel
public
aos papéis de banco de dados. Por exemplo, a seguinte instrução GoogleSQL também é inválida:GRANT ROLE public TO ROLE pii_access;
No entanto, é possível conceder assinatura nos papéis
spanner_info_reader
espanner_sys_reader
. Por exemplo, as instruções a seguir são válidas.GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Mais informações
Veja mais informações em: