Control de acceso detallado para los flujos de cambios

En esta página, se explica cómo funciona el control de acceso detallado con los flujos de cambios de Spanner para las bases de datos con dialecto de GoogleSQL y las bases de datos con dialecto de PostgreSQL.

Para los usuarios del control de acceso detallado, puedes permitir el acceso de lectura a los datos de los flujos de cambios con los siguientes permisos. Se requieren ambos permisos.

  • Otorga SELECT en el flujo de cambios.

    GoogleSQL 

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE ROLE_NAME;

    PostgreSQL 

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE_NAME;

  • Otorga EXECUTE en la función de lectura que se crea automáticamente para la transmisión de cambios. Usas la función de lectura para leer registros del flujo de cambios.

    GoogleSQL 

    GRANT EXECUTE ON TABLE FUNCTION READ_FUNCTION_NAME TO ROLE ROLE_NAME;

    PostgreSQL 

    GRANT EXECUTE ON FUNCTION READ_FUNCTION_NAME TO ROLE_NAME;

    Para obtener información sobre las convenciones de nomenclatura de las funciones de lectura de transmisiones de cambios y el formato de la información que devuelven, consulta los siguientes temas:

Vistas de INFORMATION_SCHEMA para flujos de cambios

En las siguientes vistas, se muestra información sobre los roles y privilegios de la base de datos para los flujos de cambios:

Las filas de estas vistas se filtran según los privilegios del rol de la base de datos actual en los flujos de cambios. Esto garantiza que los principales solo puedan ver los roles, los privilegios y los flujos de cambios a los que tienen acceso.

El filtrado de filas también se aplica a las siguientes vistas relacionadas con los flujos de cambios:

GoogleSQL

El rol del sistema spanner_info_reader y sus miembros siempre ven un INFORMATION_SCHEMA sin filtrar.

PostgreSQL

El rol del sistema spanner_info_reader y sus miembros ven un information_schema sin filtrar.

El filtrado de filas también se aplica a las siguientes vistas de metadatos para las funciones de lectura de transmisiones de cambios:

Advertencias

  • Los flujos de cambios usan una base de datos de metadatos para mantener el estado interno. La base de datos de metadatos puede ser igual o diferente de la base de datos de la aplicación. Te recomendamos que uses otra base de datos. Sin embargo, para los usuarios con control de acceso detallado, la base de datos de metadatos no puede ser la misma que la base de datos de la aplicación. Esto se debe a que la principal de IAM que ejecuta el trabajo de Dataflow necesita acceso de lectura o escritura a nivel de la base de datos para la base de datos de metadatos. Esto anularía los privilegios de control de acceso detallado que se configuraron para la base de datos de la aplicación.

    Para obtener más información, consulta Considera una base de datos de metadatos independiente.

  • Dado que un flujo de cambios contiene una copia independiente de los datos de las tablas y columnas supervisadas, ten cuidado cuando otorgues a los usuarios acceso al flujo de cambios. Los lectores del flujo de cambios pueden ver los cambios de datos de las tablas y columnas rastreadas, incluso cuando no tienen privilegios de SELECT en las tablas y columnas. Si bien es más flexible configurar controles separados en los flujos de cambios y sus tablas y columnas supervisadas, existe un riesgo potencial, por lo que debes asegurarte de estructurar los roles y privilegios de la base de datos de manera adecuada. Por ejemplo, cuando revoques el privilegio SELECT en una tabla de un rol, considera si también debes revocar SELECT en la transmisión de cambios y revocar EXECUTE en la función de lectura asociada.

  • Si otorgas SELECT en un flujo de cambios que hace un seguimiento de todas las tablas, el beneficiario puede ver los cambios de datos de cualquier tabla que se agregue en el futuro.

¿Qué sigue?