Detaillierte Systemrollen für die Zugriffssteuerung

Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die die detaillierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle hat eine andere Reihe von Berechtigungen, die nicht widerrufen werden können. Diese Informationen gelten sowohl für Datenbanken im GoogleSQL-Dialekt als auch für Datenbanken im PostgreSQL-Dialekt.

Systemrolle public

• Alle Nutzer mit detaillierter Zugriffssteuerung haben standardmäßig eine IAM-Mitgliedschaft in public.

• Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

• Anfangs hat public keine Berechtigungen, aber Sie können ihr Berechtigungen gewähren. Wenn Sie public eine Berechtigung gewähren, ist sie für alle Datenbankrollen verfügbar, einschließlich der Datenbankrollen, die später erstellt wurden.

Systemrolle spanner_info_reader

• Diese Rolle hat die SELECT Berechtigung für INFORMATION_SCHEMA Ansichten für Datenbanken im GoogleSQL-Dialekt und information_schema Ansichten für Datenbanken im PostgreSQL-Dialekt.

• Sie können spanner_info_reader keine anderen Berechtigungen gewähren.

• Gewähren Sie allen Datenbankrollen, die uneingeschränkten Lesezugriff auf die INFORMATION_SCHEMA-Ansichten (Datenbanken im GoogleSQL-Dialekt) oder die information_schema-Ansichten (Datenbanken im PostgreSQL-Dialekt) benötigen, eine Mitgliedschaft in dieser Rolle.

Systemrolle spanner_sys_reader

• Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS-Tabellen.

• Sie können spanner_sys_reader keine anderen Berechtigungen gewähren.

• Gewähren Sie allen Datenbankrollen, die Lesezugriff auf das SPANNER_SYS-Schema benötigen, eine Mitgliedschaft in dieser Rolle.

Einschränkungen für Systemrollen

• Sie können eine Systemrolle nicht mit der Anweisung DROP ROLE löschen.

• Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Die folgende GoogleSQL-Anweisung ist also ungültig:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;
  

• Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle public gewähren. Die folgende GoogleSQL-Anweisung ist beispielsweise ebenfalls ungültig:

  GRANT ROLE public TO ROLE pii_access;
  

  Sie können jedoch eine Mitgliedschaft in den Rollen spanner_info_reader und spanner_sys_reader gewähren. Die folgenden Anweisungen sind beispielsweise gültig.

  GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    ```
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

Nächste Schritte

• Informationen zum Konfigurieren der detaillierten Zugriffssteuerung
• Informationen zur detaillierten Zugriffssteuerung .