Rollen für die detaillierte Zugriffssteuerung

Auf dieser Seite werden die Merkmale, Einschränkungen und die beabsichtigte Verwendung der drei vordefinierten Systemrollen definiert, die die detaillierte Zugriffssteuerung für jede Datenbank bietet. Jede Systemrolle hat eine andere Reihe von Berechtigungen, die nicht widerrufen werden können. Diese Informationen gelten sowohl für Datenbanken mit GoogleSQL- als auch für Datenbanken mit PostgreSQL-Dialekt.

public Systemrolle

• Alle Nutzer der detaillierten Zugriffssteuerung haben standardmäßig die IAM-Mitgliedschaft public.

• Alle Datenbankrollen übernehmen Berechtigungen von dieser Rolle.

• Anfangs hat public keine Berechtigungen, Sie können ihm aber Berechtigungen gewähren. Wenn Sie public eine Berechtigung gewähren, ist diese für alle Datenbankrollen verfügbar, einschließlich der danach erstellten Datenbankrollen.

spanner_info_reader Systemrolle

• Diese Rolle hat das SELECT-Berechtigung für INFORMATION_SCHEMA-Ansichten für Datenbanken im GoogleSQL-Dialekt und information_schema-Ansichten für Datenbanken im PostgreSQL-Dialekt.

• Sie können spanner_info_reader keine weiteren Berechtigungen gewähren.

• Gewähren Sie der Rolle die Mitgliedschaft in jeder Datenbankrolle, die ungefilterten Lesezugriff auf die INFORMATION_SCHEMA-Ansichten (Datenbanken mit GoogleSQL-Dialekt) oder die information_schema-Ansichten (Datenbanken mit PostgreSQL-Dialekt) benötigt.

spanner_sys_reader Systemrolle

• Diese Rolle hat die Berechtigung SELECT für SPANNER_SYS-Tabellen.

• Sie können spanner_sys_reader keine weiteren Berechtigungen gewähren.

• Gewähren Sie allen Datenbankrollen, die Lesezugriff auf das SPANNER_SYS-Schema benötigen, die Mitgliedschaft in dieser Rolle.

Einschränkungen für Systemrollen

• Sie können eine Systemrolle nicht mit einer DROP ROLE-Anweisung löschen.

• Systemrollen können keine Mitglieder anderer Datenbankrollen sein. Die folgende GoogleSQL-Anweisung ist also ungültig:

  GRANT ROLE pii_access TO ROLE spanner_info_reader;
  

• Sie können Ihren Datenbankrollen keine Mitgliedschaft in der Rolle public zuweisen. Die folgende GoogleSQL-Anweisung ist beispielsweise ungültig:

  GRANT ROLE public TO ROLE pii_access;
  

  Sie können jedoch die Mitgliedschaft in den Rollen spanner_info_reader und spanner_sys_reader gewähren. Die folgenden Aussagen sind beispielsweise gültig.

  GoogleSQL

    GRANT ROLE spanner_info_reader TO ROLE pii_access;
    GRANT ROLE spanner_sys_reader TO ROLE pii_access;
    ```
  

  PostgreSQL

  GRANT spanner_info_reader TO pii_access;
  GRANT spanner_sys_reader TO pii_access;
  

Nächste Schritte

• Weitere Informationen zum Konfigurieren einer detaillierten Zugriffssteuerung
• Weitere Informationen zur detaillierten Zugriffssteuerung