Esta página descreve como criar e gerenciar visualizações do Spanner para bancos de dados com dialeto do GoogleSQL e do PostgreSQL. Para mais informações sobre as visualizações do Spanner, consulte Visão geral das visualizações.
Permissões
Para criar, conceder e revogar o acesso a uma visualização, você precisa ter a
spanner.database.updateDdl permissão.
Criar uma visualização
Para criar uma visualização, use a instrução DDL
CREATE VIEW para nomear a
visualização e fornecer a consulta que a define. Essa instrução tem dois formatos:
CREATE VIEWdefine uma nova visualização no banco de dados atual. Se uma visualização chamadaview_namejá existir, a instruçãoCREATE VIEWfalhará.CREATE OR REPLACE VIEWdefine uma nova visualização no banco de dados atual. Se uma visualização chamadaview_namejá existir, sua definição será substituída.
A sintaxe da instrução CREATE VIEW é:
{CREATE | CREATE OR REPLACE } VIEW view_name SQL SECURITY { INVOKER | DEFINER } AS query
Como a visualização é uma tabela virtual, o query que você
especificar precisa fornecer nomes para todas as colunas dessa tabela virtual.
Além disso, o Spanner verifica as query
que você especifica usando uma resolução de nomes rigorosa, o que significa que todos os nomes de objeto de esquema
usados na consulta precisam ser qualificados de maneira que identifiquem um
único objeto de esquema. Nos exemplos que seguem a SingerId
coluna na Singers tabela, os exemplos precisam ser qualificados como Singers.SingerId.
Você precisa especificar o SQL SECURITY como INVOKER ou DEFINER na instrução CREATE VIEW ou CREATE OR REPLACE VIEW. Para mais informações sobre
a diferença entre os dois tipos de segurança, consulte Visão geral das visualizações.
Por exemplo, suponha que a tabela Singers esteja definida conforme mostrado abaixo:
GoogleSQL
CREATE TABLE Singers ( SingerId INT64 NOT NULL, FirstName STRING(1024), LastName STRING(1024), SingerInfo BYTES(MAX) ) PRIMARY KEY (SingerId);
PostgreSQL
CREATE TABLE Singers ( SingerId BIGINT PRIMARY KEY, FirstName VARCHAR(1024), LastName VARCHAR(1024), SingerInfo BYTEA );
É possível definir a visualização SingerNames com os direitos do invocador, conforme mostrado abaixo:
CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
A tabela virtual criada quando a visualização SingerNames é usada em uma consulta tem duas
colunas, SingerId e Name.
Embora essa definição da visualização SingerNames seja válida, ela não segue a prática recomendada de fazer o cast de tipos de dados para garantir a estabilidade entre alterações de esquema, conforme descrito na próxima seção.
Práticas recomendadas ao criar visualizações
Para minimizar a necessidade de atualizar a definição de uma visualização, transmita explicitamente o tipo de dados de todas as colunas da tabela na consulta que define a visualização. Ao fazer isso, a definição da visualização pode permanecer válida nas alterações de esquema para o tipo de uma coluna.
Por exemplo, a definição a seguir da visualização SingerNames pode se tornar inválida como resultado da mudança do tipo de dados de uma coluna na tabela Singers.
CREATE VIEW SingerNames SQL SECURITY INVOKER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
É possível evitar que a visualização se torne inválida transmitindo explicitamente as colunas para os tipos de dados necessários, conforme mostrado no exemplo a seguir:
GoogleSQL
CREATE OR REPLACE VIEW SingerNames SQL SECURITY INVOKER AS SELECT CAST(Singers.SingerId AS INT64) AS SingerId, CAST(Singers.FirstName AS STRING) || " " || CAST(Singers.LastName AS STRING) AS Name FROM Singers;
PostgreSQL
CREATE OR REPLACE VIEW SingerNames SQL SECURITY INVOKER AS SELECT CAST(Singers.SingerId AS bigint) AS SingerId, CAST(Singers.FirstName AS varchar) || ' ' || CAST(Singers.LastName AS varchar) AS Name FROM Singers;
Conceder e revogar o acesso a uma visualização
Como usuário de controle de acesso refinado, você precisa ter o privilégio SELECT em uma visualização. Para conceder o privilégio SELECT em uma visualização a um papel de banco de dados:
GoogleSQL
GRANT SELECT ON VIEW SingerNames TO ROLE Analyst;
PostgreSQL
GRANT SELECT ON TABLE SingerNames TO Analyst;
Para revogar o privilégio SELECT em uma visualização de um papel de banco de dados:
GoogleSQL
REVOKE SELECT ON VIEW SingerNames FROM ROLE Analyst;
PostgreSQL
REVOKE SELECT ON TABLE SingerNames FROM Analyst;
Consultar uma visualização
A maneira de consultar uma visualização de direitos do invocador ou do definidor é a mesma. No entanto, dependendo do tipo de segurança da visualização, o Spanner pode ou não precisar verificar os objetos de esquema referenciados na visualização em relação ao papel de banco de dados da entidade principal que invocou a consulta.
Consultar uma visualização de direitos do invocador
Se uma visualização tiver direitos do invocador, o usuário precisará ter privilégios em todos os objetos de esquema subjacentes da visualização para consultá-la.
Por exemplo, se um papel de banco de dados tiver acesso a todos os objetos referenciados pela visualização SingerNames, ele poderá consultar a visualização SingerNames:
SELECT COUNT(SingerID) as SingerCount FROM SingerNames;
Consultar uma visualização de direitos do definidor
Se uma visualização tiver direitos do definidor, um usuário poderá consultar a visualização sem precisar de privilégios nos objetos subjacentes, desde que você conceda ao papel necessário o privilégio SELECT na visualização.
No exemplo a seguir, um usuário com o papel de banco de dados do analista quer consultar a visualização SingerNames. No entanto, o acesso do usuário é negado porque SingerNames é uma visualização de direitos do invocador e o papel do analista não tem acesso a todos os objetos subjacentes. Nesse caso, se você decidir conceder ao analista
acesso à visualização, mas não quiser conceder acesso à Singers
tabela, você pode substituir o tipo de segurança da visualização pelos
direitos do definidor. Depois de substituir o tipo de segurança da visualização, conceda ao papel do analista acesso à visualização. O usuário agora pode consultar a visualização SingerNames, mesmo que não tenha acesso à tabela Singers.
SELECT COUNT(SingerID) as SingerCount FROM SingerNames;
Substituir uma visualização
É possível substituir uma visualização usando a instrução CREATE OR REPLACE VIEW para mudar a definição ou o tipo de segurança da visualização.
A substituição de uma visualização é semelhante à exclusão e à recriação da visualização. Todas as concessões de acesso dadas à visualização inicial precisam ser concedidas novamente após a substituição da visualização.
Para substituir uma visualização de direitos do invocador por uma visualização de direitos do definidor:
CREATE OR REPLACE VIEW SingerNames SQL SECURITY DEFINER AS SELECT Singers.SingerId AS SingerId, Singers.FirstName || ' ' || Singers.LastName AS Name FROM Singers;
Exclua uma visualização
Depois que uma visualização é descartada, os papéis de banco de dados com privilégios nela não têm mais acesso. Para excluir uma visualização, use a instrução DROP VIEW.
DROP VIEW SingerNames;
Receber informações sobre uma visualização
É possível receber informações sobre visualizações em um banco de dados consultando tabelas no esquema INFORMATION_SCHEMA.
A tabela
INFORMATION_SCHEMA.TABLESfornece os nomes de todas as visualizações definidas.A tabela
INFORMATION_SCHEMA.VIEWSfornece os nomes, a definição da visualização, o tipo de segurança e o texto da consulta de todas as visualizações definidas. Os usuários do FGAC que têm o privilégioSELECTna visualização podem receber informações sobre a visualização na tabelaINFORMATION_SCHEMA.VIEWS. Outros usuários do FGAC precisam do papelspanner_info_readerse não tiverem o privilégioSELECTpara a visualização.
Para verificar a definição e o tipo de segurança de uma visualização chamada ProductSoldLastWeek:
SELECT * FROM INFORMATION_SCHEMA.VIEWS WHERE TABLE_NAME = 'ProductSoldLastWeek';