Kontrol akses yang sangat terperinci untuk aliran perubahan

Halaman ini menjelaskan cara kerja kontrol akses terperinci dengan aliran perubahan Spanner untuk database dialek GoogleSQL dan database dialek PostgreSQL.

Untuk pengguna kontrol akses terperinci, Anda mengizinkan akses baca ke data aliran perubahan menggunakan pemberian berikut. Kedua pemberian izin tersebut diperlukan.

  • Berikan SELECT di aliran perubahan.

    GoogleSQL 

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE ROLE_NAME;

    PostgreSQL 

    GRANT SELECT ON CHANGE STREAM CHANGE_STREAM_NAME TO ROLE_NAME;

  • Berikan EXECUTE pada fungsi baca yang otomatis dibuat untuk aliran perubahan. Anda menggunakan fungsi baca untuk membaca data aliran perubahan.

    GoogleSQL 

    GRANT EXECUTE ON TABLE FUNCTION READ_FUNCTION_NAME TO ROLE ROLE_NAME;

    PostgreSQL 

    GRANT EXECUTE ON FUNCTION READ_FUNCTION_NAME TO ROLE_NAME;

    Untuk informasi tentang konvensi penamaan untuk fungsi baca aliran perubahan dan pemformatan untuk informasi yang ditampilkannya, lihat topik berikut:

Tampilan INFORMATION_SCHEMA untuk aliran perubahan

Tampilan berikut menunjukkan informasi hak istimewa dan peran database untuk streaming perubahan:

Baris dalam tampilan ini difilter berdasarkan hak istimewa peran database saat ini pada aliran perubahan. Hal ini memastikan bahwa akun utama hanya dapat melihat peran, hak istimewa, dan aliran perubahan yang aksesnya mereka miliki.

Pemfilteran baris juga berlaku untuk tampilan terkait aliran perubahan berikut:

GoogleSQL

Peran sistem spanner_info_reader dan anggotanya selalu melihat INFORMATION_SCHEMA yang tidak difilter.

PostgreSQL

Peran sistem spanner_info_reader dan anggotanya melihat information_schema yang tidak difilter.

Pemfilteran baris juga berlaku untuk tampilan metadata berikut untuk fungsi baca aliran perubahan:

GoogleSQL

PostgreSQL

Peringatan

  • Aliran perubahan menggunakan database metadata untuk mempertahankan status internal. Database metadata dapat sama dengan atau berbeda dari database aplikasi. Sebaiknya gunakan database lain. Namun, untuk pengguna kontrol akses terperinci, database metadata tidak boleh sama dengan database aplikasi. Hal ini karena akun utama IAM yang menjalankan tugas Dataflow memerlukan akses baca atau tulis di tingkat database untuk database metadata. Tindakan ini akan mengganti hak istimewa kontrol akses terperinci yang dikonfigurasi untuk database aplikasi.

    Untuk mengetahui informasi selengkapnya, lihat Mempertimbangkan database metadata terpisah.

  • Karena aliran perubahan berisi salinan data terpisah dari tabel dan kolom yang dilacak, berhati-hatilah saat memberikan akses kepada pengguna ke aliran perubahan. Pembaca aliran perubahan dapat melihat perubahan data dari tabel dan kolom yang dilacak, meskipun mereka tidak memiliki hak istimewa SELECT pada tabel dan kolom. Meskipun lebih fleksibel untuk menyiapkan kontrol terpisah pada aliran perubahan serta tabel dan kolom yang dilacak, ada potensi risiko, jadi pastikan Anda menyusun peran dan hak istimewa database sesuai dengan kebutuhan. Misalnya, saat mencabut hak istimewa SELECT pada tabel dari peran, pertimbangkan apakah akan mencabut SELECT juga di aliran perubahan dan mencabut EXECUTE pada fungsi baca terkait.

  • Jika Anda memberikan SELECT pada aliran perubahan yang melacak semua tabel, penerima izin dapat melihat perubahan data untuk tabel apa pun yang ditambahkan di masa mendatang.

Langkah selanjutnya