Rôles du système de contrôle précis des accès

Cette page définit les caractéristiques, les contraintes et l'utilisation prévue des trois rôles système prédéfinis que le contrôle précis des accès fournit pour chaque base de données. Chaque rôle système dispose d'un ensemble de droits différent, qui ne peuvent pas être révoqués. Ces informations s'appliquent aux bases de données utilisant le dialecte GoogleSQL et celles utilisant le dialecte PostgreSQL.

Rôle système public

  • Par défaut, tous les utilisateurs du contrôle des accès ultraprécis sont membres IAM de public.

  • Tous les rôles de base de données héritent des droits de ce rôle.

  • Au départ, public ne dispose d'aucun droit, mais vous pouvez lui en accorder. Si vous accordez un droit à public, il est disponible pour tous les rôles de base de données, y compris ceux créés ultérieurement.

Rôle système spanner_info_reader

  • Ce rôle dispose du privilège SELECT sur les vues INFORMATION_SCHEMA pour les bases de données utilisant le dialecte GoogleSQL et les vues information_schema pour les bases de données utilisant le dialecte PostgreSQL.

  • Vous ne pouvez accorder aucun autre droit à spanner_info_reader.

  • Accordez l'appartenance à ce rôle à tout rôle de base de données qui doit avoir un accès en lecture non filtré aux vues INFORMATION_SCHEMA (bases de données utilisant le dialecte GoogleSQL) ou aux vues information_schema (bases de données utilisant le dialecte PostgreSQL).

Rôle système spanner_sys_reader

  • Ce rôle dispose du droit d'accès SELECT sur les tables SPANNER_SYS.

  • Vous ne pouvez accorder aucun autre droit à spanner_sys_reader.

  • Accordez l'appartenance à ce rôle à tout rôle de base de données qui doit avoir un accès en lecture au schéma SPANNER_SYS.

Restrictions concernant les rôles système

  • Vous ne pouvez pas supprimer un rôle système à l'aide d'une instruction DROP ROLE.

  • Les rôles système ne peuvent pas être membres d'autres rôles de base de données. Autrement dit, l'instruction GoogleSQL suivante n'est pas valide :

    GRANT ROLE pii_access TO ROLE spanner_info_reader;

  • Vous ne pouvez pas accorder l'appartenance au rôle public à vos rôles de base de données. Par exemple, l'instruction GoogleSQL suivante n'est pas non plus valide :

    GRANT ROLE public TO ROLE pii_access;

    Toutefois, vous pouvez accorder l'appartenance aux rôles spanner_info_reader et spanner_sys_reader. Par exemple, les instructions suivantes sont valides.

    GoogleSQL 

      GRANT ROLE spanner_info_reader TO ROLE pii_access;
  GRANT ROLE spanner_sys_reader TO ROLE pii_access;
  ```

    PostgreSQL 

    GRANT spanner_info_reader TO pii_access;
GRANT spanner_sys_reader TO pii_access;

Étapes suivantes