本页面介绍了如何创建、使用和删除命名架构,以及如何对命名架构中的对象应用精细的访问权限控制。如需简要了解命名架构,请参阅命名架构。
准备工作
如需执行本页面中的步骤,您需要满足以下条件:
- 您的用户帐号的 Database Admin roles/spanner.databaseAdmin 角色。
- 了解精细访问权限控制的工作原理。
创建已命名的架构
CREATE SCHEMA
命令(GoogleSQL 和 PostgreSQL)用于创建命名架构。
在 Google Cloud 控制台中,打开 Spanner 页面。
从列表中选择一个实例。
选择数据库。
在导航菜单中,点击 Spanner Studio。
点击
New SQL editor 标签页或 New tab 打开一个新标签页。在 Editor 标签页中,输入您的 DDL。
GoogleSQL
运行
CREATE SCHEMA
语句以创建命名架构,例如:CREATE SCHEMA sch1;
在命名架构中添加数据库对象,例如:
CREATE SEQUENCE sch1.sequence OPTIONS ( sequence_kind = 'bit_reversed_positive' ); CREATE TABLE Singers ( SingerId INT64 NOT NULL, FirstName STRING(1024), LastName STRING(1024), SingerInfo BYTES(MAX), ) PRIMARY KEY(SingerId); CREATE INDEX indexOnSingers ON Singers(FirstName); CREATE TABLE Albums ( SingerId INT64 NOT NULL, AlbumId INT64 NOT NULL, AlbumTitle STRING(MAX), ) PRIMARY KEY(SingerId, AlbumId), INTERLEAVE IN PARENT Singers ON DELETE CASCADE; CREATE TABLE Songs ( SingerId INT64 NOT NULL, AlbumId INT64 NOT NULL, TrackId INT64 NOT NULL, SongName STRING(MAX), ) PRIMARY KEY(SingerId, AlbumId, TrackId), INTERLEAVE IN PARENT Albums ON DELETE CASCADE; CREATE TABLE sch1.Singers ( SingerId INT64 NOT NULL, FirstName STRING(1024), LastName STRING(1024), SingerInfo BYTES(MAX), ) PRIMARY KEY(SingerId); CREATE INDEX sch1.indexOnSingers ON sch1.Singers(FirstName); CREATE TABLE sch1.Albums ( SingerId INT64 NOT NULL, AlbumId INT64 NOT NULL, AlbumTitle STRING(MAX), ) PRIMARY KEY(SingerId, AlbumId), INTERLEAVE IN PARENT sch1.Singers ON DELETE CASCADE; CREATE TABLE sch1.Songs ( SingerId INT64 NOT NULL, AlbumId INT64 NOT NULL, TrackId INT64 NOT NULL, SongName STRING(MAX), ) PRIMARY KEY(SingerId, AlbumId, TrackId), INTERLEAVE IN PARENT sch1.Albums ON DELETE CASCADE; CREATE VIEW sch1.SingerView SQL SECURITY INVOKER AS Select s.FirstName, s.LastName, s.SingerInfo FROM sch1.Singers AS s WHERE s.SingerId = 123456; CREATE VIEW SingerView SQL SECURITY INVOKER AS Select s.FirstName, s.LastName, s.SingerInfo FROM Singers AS s WHERE s.SingerId = 123456;
Spanner 仅允许您创建使用与索引的表相同的架构的索引。我们需要确保索引和表架构名称相同。
PostgreSQL
运行
CREATE SCHEMA
语句以创建命名架构,例如:CREATE SCHEMA sch1;
在命名架构中添加数据库对象,例如:
CREATE SEQUENCE sch1.sequence BIT_REVERSED_POSITIVE CREATE TABLE sch1.singers( singer_id bigint primary key, album_id bigint default(nextval('sch1.sequence'))) CREATE TABLE sch1.albums(k bigint default(nextval('sch1.sequence'))primary key, album_id bigint) CREATE VIEW sch1.singer_view SQL SECURITY INVOKER AS SELECT * FROM sch1.singers CREATE INDEX index_singers ON TABLE sch1.singers(album_id)
Spanner 仅允许在同一架构中创建索引。在 Spanner 中,PostgreSQL 语句默认执行此操作。在命名架构上创建索引时,无需使用完全限定名称。
在探索器窗格中查看已命名架构和相关对象。
向命名架构添加精细的访问权限控制
以下 DDL 语句可向命名架构添加精细的访问权限控制:
USAGE
权限会授予对架构对象的权限。系统会默认向默认架构授予USAGE
权限。但是,您可以撤消默认架构的USAGE
权限。撤消访问权限时请谨慎操作,因为被撤消的用户和角色将失去对默认架构中对象的所有访问权限。ALL
语句对架构中某一类型的所有对象执行批量授予权限。DEFAULT
关键字是指 FGAC DDL 语句中的默认架构。
如需访问已命名架构中的对象,您必须拥有已命名架构的使用权限,以及使用该架构的数据库对象的相应权限。以下语句提供了这些权限:
GRANT ALL
(GoogleSQL 和 PostgreSQL)可授予该角色访问使用指定架构创建的表中所有对象的权限。此语句仅适用于该时间点存在的对象。如果您稍后向表中添加更多对象,则需要在创建这些对象时向其授予访问权限。GRANT USAGE
(GoogleSQL 和 PostgreSQL)用于授予访问架构中包含的对象的角色权限。这样一来,被授权者就可以查询架构中的对象。
在 Google Cloud 控制台中,打开 Spanner 页面。
从列表中选择一个实例。
选择数据库。
在导航菜单中,点击 Spanner Studio。
点击
New SQL editor 标签页或 New tab 打开一个新标签页。在 Editor 标签页中,输入您的 DDL。
GoogleSQL
为指定架构创建自定义角色。在以下示例中,我们使用
role1
和role2
。CREATE ROLE role1 CREATE ROLE role2
通过
GRANT ALL
向使用已命名架构的表授予该角色。在以下示例中,我们对命名架构使用sch1
,针对角色使用role1
。GRANT SELECT ON ALL TABLES IN SCHEMA sch1 TO ROLE role1
将您所创建的角色授予架构的使用。在以下示例中,我们会将
sch1
的使用授予role1
和role2
。GRANT USAGE ON SCHEMA sch1 TO ROLE role1, role2
PostgreSQL
为指定架构创建自定义角色。在以下示例中,我们使用
role1
和role2
。CREATE ROLE role1 CREATE ROLE role2
通过
GRANT ALL
向使用已命名架构的表授予该角色。在以下示例中,我们对命名架构使用sch1
,针对角色使用role1
。GRANT SELECT ON ALL TABLES IN SCHEMA sch1 TO role1
将您所创建的角色授予架构的使用。在以下示例中,我们会将
sch1
的使用授予role1
和role2
。GRANT USAGE ON SCHEMA sch1 TO role1, role2
添加和撤消对默认架构的精细访问权限控制
如果您有已命名的架构,则默认架构称为 default
。添加或移除精细访问权限控制时,您需要使用 default
架构名称。
为默认架构添加精细的访问权限控制机制
默认情况下,所有用户和角色都具有默认架构的 USAGE
权限。
在 Google Cloud 控制台中,打开 Spanner 页面。
从列表中选择一个实例。
选择数据库。
在导航菜单中,点击 Spanner Studio。
点击
New SQL editor 标签页或 New tab 打开一个新标签页。在 Editor 标签页中,输入您的 DDL。
GoogleSQL
在以下示例中,我们会向
role1
授予对所有表的访问权限。GRANT SELECT ON ALL TABLES IN SCHEMA default TO ROLE role1
PostgreSQL
在以下示例中,我们会向
role1
授予对所有表的访问权限。GRANT SELECT ON ALL TABLES IN SCHEMA default TO role1
撤消对默认架构的精细访问权限控制
您可以使用 REVOKE USAGE
命令撤消对默认架构的默认精细访问权限控制权限。
在 Google Cloud 控制台中,打开 Spanner 页面。
从列表中选择一个实例。
选择数据库。
在导航菜单中,点击 Spanner Studio。
点击
New SQL editor 标签页或 New tab 打开一个新标签页。在 Editor 标签页中,输入您的 DDL。
GoogleSQL
REVOKE USAGE ON SCHEMA DEFAULT FROM ROLE public
PostgreSQL
REVOKE USAGE ON SCHEMA public FROM public
运行上一个命令后,我们必须向需要访问默认架构的角色明确授予权限。在以下示例中,我们会向
role1
授予权限。GoogleSQL
在以下示例中,我们会向
role1
授予对默认架构的访问权限。SCHEMA default to ROLE role1
PostgreSQL
在以下示例中,我们会向
role1
授予对默认架构的访问权限。GRANT USAGE ON SCHEMA public To role1
查看已命名的架构
- 从列表中选择一个实例。
- 选择数据库。
- 在导航菜单中,点击 Spanner Studio。
在探索器窗格中,展开架构下拉列表。
或者,您可以使用 SQL 查看 information_schema.schemata
表中的所有架构。
以下示例展示了视图如何命名架构及其所有者:
SELECT schema_name, schema_owner
FROM information_schema.schemata
ORDER BY schema_owner
此语句提供了类似于以下内容的架构和所有者列表:
public spanner_admin
products spanner_admin
analytics spanner_admin
logs spanner_admin
pg_catalog spanner_system
information_schema spanner_system
spanner_sys spanner_system
删除已命名的架构
DROP SCHEMA
命令(GoogleSQL 和 PostgreSQL)用于删除已命名的架构。
在 Google Cloud 控制台中,打开 Spanner 页面。
从列表中选择一个实例。
选择数据库。
在导航菜单中,点击 Spanner Studio。
点击
New SQL editor 标签页或 New tab 打开一个新标签页。在 Editor 标签页中,输入您的 DDL。
GoogleSQL
在以下示例中,我们会丢弃
sch1
。DROP SCHEMA IF EXISTS sch1;
PostgreSQL
在以下示例中,我们会丢弃
sch1
。DROP SCHEMA IF EXISTS sch1;