Questa pagina definisce le caratteristiche, i vincoli e l'uso previsto dei tre ruoli di sistema predefiniti che il controllo granulare degli accessi offre, per ogni database. Ogni ruolo di sistema ha un ruolo insieme di privilegi diversi, che non possono essere revocati.
public
Tutti gli utenti con controllo dell'accesso granulare hanno membri IAM in
public
per impostazione predefinita.Tutti i ruoli del database ereditano i privilegi da questo ruolo.
Inizialmente,
public
non dispone di privilegi, ma puoi concedergli privilegi. Se concedi un privilegio apublic
, questo è disponibile per tutti i ruoli del database, inclusi quelli creati successivamente.
spanner_info_reader
Questo ruolo ha il privilegio
SELECT
per VisteINFORMATION_SCHEMA
per i database di dialetti GoogleSQL e Visteinformation_schema
per database di dialetti PostgreSQL.Non puoi concedere altri privilegi a
spanner_info_reader
.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura senza filtri alle viste
INFORMATION_SCHEMA
(database di dialetti GoogleSQL) o le visteinformation_schema
(database di dialetti PostgreSQL).
spanner_sys_reader
Questo ruolo ha il privilegio
SELECT
per le tabelleSPANNER_SYS
.Non puoi concedere altri privilegi a
spanner_sys_reader
.Concedi l'appartenenza a questo ruolo a qualsiasi ruolo di database che deve avere accesso in lettura allo schema
SPANNER_SYS
.
Limitazioni dei ruoli di sistema
Non puoi eliminare un ruolo di sistema utilizzando un'istruzione
DROP ROLE
.I ruoli di sistema non possono essere membri di altri ruoli del database. Vale a dire che L'istruzione GoogleSQL non è valida:
GRANT ROLE pii_access TO ROLE spanner_info_reader;
Non puoi concedere l'iscrizione al
public
ai ruoli del database. Ad esempio, il codice GoogleSQL non è valida neanche l'istruzione:GRANT ROLE public TO ROLE pii_access;
Tuttavia, puoi concedere l'iscrizione al
spanner_info_reader
espanner_sys_reader
ruoli. Ad esempio, quelle riportate di seguito sono valide.GoogleSQL
GRANT ROLE spanner_info_reader TO ROLE pii_access; GRANT ROLE spanner_sys_reader TO ROLE pii_access;
PostgreSQL
GRANT spanner_info_reader TO pii_access; GRANT spanner_sys_reader TO pii_access;
Ulteriori informazioni
Per ulteriori informazioni, vedi: