Peran sistem kontrol akses yang sangat terperinci

Halaman ini menentukan karakteristik, batasan, dan penggunaan yang dimaksudkan dari tiga peran sistem bawaan yang disediakan kontrol akses terperinci untuk setiap database. Setiap peran sistem memiliki serangkaian hak istimewa yang berbeda, yang tidak dapat dicabut. Informasi ini berlaku untuk database dialek GoogleSQL dan database dialek PostgreSQL.

Peran sistem public

• Semua pengguna kontrol akses terperinci memiliki keanggotaan IAM di public secara default.

• Semua peran database mewarisi hak istimewa dari peran ini.

• Awalnya, public tidak memiliki hak istimewa, tetapi Anda dapat memberinya hak istimewa. Jika Anda memberikan hak istimewa ke public, hak istimewa tersebut akan tersedia untuk semua peran database, termasuk peran database yang dibuat setelahnya.

Peran sistem spanner_info_reader

• Peran ini memiliki hak istimewa SELECT pada INFORMATION_SCHEMA tampilan untuk database dialek GoogleSQL dan information_schema tampilan untuk database dialek PostgreSQL.

• Anda tidak dapat memberikan hak istimewa lain ke spanner_info_reader.

• Berikan keanggotaan dalam peran ini ke peran database mana pun yang perlu memiliki akses baca yang tidak difilter ke tampilan INFORMATION_SCHEMA (database dialek GoogleSQL) atau tampilan information_schema (database dialek PostgreSQL).

Peran sistem spanner_sys_reader

• Peran ini memiliki hak istimewa SELECT pada tabel SPANNER_SYS.

• Anda tidak dapat memberikan hak istimewa lain ke spanner_sys_reader.

• Berikan keanggotaan dalam peran ini ke peran database mana pun yang harus memiliki akses baca ke skema SPANNER_SYS.

Batasan pada peran sistem

• Anda tidak dapat menghapus peran sistem menggunakan pernyataan DROP ROLE.

• Peran sistem tidak dapat menjadi anggota peran database lain. Artinya, pernyataan GoogleSQL berikut tidak valid:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;
  

• Anda tidak dapat memberikan keanggotaan dalam peran public ke peran database Anda. Misalnya, pernyataan GoogleSQL berikut juga tidak valid:

  GRANT ROLE public TO ROLE pii_access;
  

  Namun, Anda dapat memberikan keanggotaan dalam peran spanner_info_reader dan spanner_sys_reader. Misalnya, pernyataan berikut valid.

  GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    ```
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

Langkah berikutnya

• Pelajari cara Mengonfigurasi kontrol akses terperinci.
• Pelajari Tentang kontrol akses terperinci.