Panoramica di IAM

Identity and Access Management (IAM) ti consente di controllare l'accesso degli utenti e dei gruppi alle risorse Spanner a livello di progetto, istanza Spanner e database Spanner. Ad esempio, puoi specificare che un utente di un database specifico in un'istanza specifica del progetto, ma non possono creare, modificare o eliminare nessuna istanza nel tuo progetto. Utilizzo il controllo dell'accesso con IAM consente di concedere un'autorizzazione a un utente o a un gruppo senza dover modificare ogni autorizzazione di database o istanza Spanner singolarmente.

Questo documento è incentrato sulle autorizzazioni IAM pertinenti Spanner e i ruoli IAM che concedono queste autorizzazioni. Per una descrizione dettagliata di IAM e delle sue funzionalità, consulta le Guida per gli sviluppatori di Identity and Access Management. In particolare, controlla le sue Sezione Gestione dei criteri IAM:

Autorizzazioni

Le autorizzazioni consentono agli utenti di eseguire azioni specifiche sulle risorse Spanner. Ad esempio, l'autorizzazione spanner.databases.read consente a un utente di legge da un database utilizzando l'API di lettura di Spanner, spanner.databases.select consente a un utente di eseguire un'istruzione SQL select su un per configurare un database. Non concedi direttamente le autorizzazioni agli utenti, concediamo loro ruoli predefiniti o ruoli personalizzati, che hanno uno o più più autorizzazioni raggruppate al loro interno.

Le seguenti tabelle elencano le autorizzazioni IAM associate a Spanner.

Configurazioni delle istanze

Le seguenti autorizzazioni si applicano all'istanza Spanner configurazioni. Per ulteriori informazioni, consulta i riferimenti alla configurazione dell'istanza per le API REST e RPC.

Nome autorizzazione di configurazione istanza Descrizione
spanner.instanceConfigs.create Creare una configurazione dell'istanza personalizzata.
spanner.instanceConfigs.delete Elimina una configurazione di istanza personalizzata.
spanner.instanceConfigs.get Ottieni una configurazione dell'istanza.
spanner.instanceConfigs.list Elenca l'insieme di configurazioni delle istanze.
spanner.instanceConfigs.update Aggiorna una configurazione dell'istanza personalizzata.

Operazioni di configurazione dell'istanza

Le seguenti autorizzazioni si applicano alle operazioni di configurazione delle istanze Spanner. Per ulteriori informazioni, consulta i riferimenti all'istanza REST e RPC su quelle di livello inferiore.

Nome autorizzazione per l'operazione di configurazione dell'istanza Descrizione
spanner.instanceConfigOperations.list Elencare le operazioni di configurazione dell'istanza.
spanner.instanceConfigOperations.get Recupera un'operazione di configurazione dell'istanza specifica.
spanner.instanceConfigOperations.cancel Annullare un'operazione di configurazione dell'istanza.
spanner.instanceConfigOperations.delete Eliminare un'operazione di configurazione dell'istanza.

Istanze

Alle istanze Spanner si applicano le seguenti autorizzazioni. Per ulteriori informazioni, consulta i riferimenti delle istanze per le API REST e RPC.

Nome autorizzazione istanza Descrizione
spanner.instances.create Crea un'istanza.
spanner.instances.list Elenca le istanze.
spanner.instances.get Recupera la configurazione di un'istanza specifica.
spanner.instances.getIamPolicy Ottieni il criterio IAM di un'istanza.
spanner.instances.update Aggiorna un'istanza.
spanner.instances.setIamPolicy Imposta il criterio IAM di un'istanza.
spanner.instances.delete Eliminare un'istanza.

Operazioni istanza

Le seguenti autorizzazioni si applicano alle operazioni delle istanze Spanner. Per ulteriori informazioni, consulta i riferimenti delle istanze per le API REST e RPC.

Nome dell'autorizzazione di operazione dell'istanza Descrizione
spanner.instanceOperations.list Elencare le operazioni dell'istanza.
spanner.instanceOperations.get Recupera un'operazione di istanza specifica.
spanner.instanceOperations.cancel Annullare un'operazione dell'istanza.
spanner.instanceOperations.delete Eliminare un'operazione sull'istanza.

Partizioni

Le seguenti autorizzazioni si applicano alle partizioni Spanner. Per maggiori informazioni informazioni, consulta i riferimenti alle partizioni per REST e RPC su quelle di livello inferiore.

Nome autorizzazione istanza Descrizione
spanner.instancePartitions.create Crea una partizione.
spanner.instancePartitions.get Recupera la configurazione di una partizione specifica.
spanner.instancePartitions.list Elenca le partizioni.
spanner.instancePartitions.update Aggiorna una partizione.
spanner.instancePartitions.delete Eliminare una partizione.

Operazioni di partizione

Le seguenti autorizzazioni si applicano alle operazioni di partizione di Spanner. Per ulteriori informazioni, consulta i riferimenti alla partizione dell'istanza per API REST e RPC.

Nome dell'autorizzazione per l'operazione di partizione dell'istanza Descrizione
spanner.instancePartitionOperations.list Elenca le operazioni di partizione.
spanner.instancePartitionOperations.get Recupera un'operazione di partizione specifica.
spanner.instancePartitionOperations.cancel Annullare un'operazione di partizione.
spanner.instancePartitionOperations.delete Eliminare un'operazione di partizione.

Database

Le seguenti autorizzazioni si applicano ai database Spanner. Per maggiori informazioni informazioni, consulta i riferimenti del database per REST e RPC su quelle di livello inferiore.

Nome autorizzazione database Descrizione
spanner.databases.beginPartitionedDmlTransaction

Esegui un'istruzione DML (Data Manipulation Language) partizionata.

spanner.databases.create Crea un database.
spanner.databases.createBackup Crea un backup dal database. Richiede inoltre spanner.backups.create per creare la risorsa di backup.
spanner.databases.list Elenca i database.
spanner.databases.update

Aggiorna i metadati di un database.

spanner.databases.updateDdl Aggiorna lo schema di un database.
spanner.databases.get Recupera i metadati di un database.
spanner.databases.getDdl Ottieni lo schema di un database.
spanner.databases.getIamPolicy Ottieni il criterio IAM di un database.
spanner.databases.setIamPolicy Imposta il criterio IAM di un database.
spanner.databases.beginReadOnlyTransaction Avvia una transazione di sola lettura su un database Spanner.
spanner.databases.beginOrRollbackReadWriteTransaction Avvia o esegui il rollback di una transazione di lettura-scrittura su un database Spanner.
spanner.databases.read Legge da un database utilizzando l'API di lettura.
spanner.databases.select Esegui un'istruzione di selezione SQL su un database.
spanner.databases.write Scrivi in un database.
spanner.databases.drop Elimina un database.
spanner.databases.useRoleBasedAccess Utilizza il controllo dell'accesso granulare.
spanner.databases.useDataBoost Utilizza le risorse di computing di Spanner Data Boost per elaborare le query partizionate.

Ruoli database

Le seguenti autorizzazioni si applicano ai ruoli database di Spanner. Per ulteriori informazioni, consulta i riferimenti di database per REST e RPC su quelle di livello inferiore.

Nome autorizzazione ruolo database Descrizione
spanner.databaseRoles.list Elenca i ruoli del database.
spanner.databaseRoles.use Utilizza un ruolo database specificato.

Operazioni del database

Le seguenti autorizzazioni si applicano alle operazioni di database di Spanner. Per ulteriori informazioni, consulta i riferimenti del database per le API REST e RPC.

Nome autorizzazione per le operazioni database Descrizione
spanner.databaseOperations.list Elencare le operazioni di database e ripristino.
spanner.databaseOperations.get Recuperare un'operazione di database specifica.
spanner.databaseOperations.cancel Annullare un'operazione di database.

Backup

Le seguenti autorizzazioni si applicano ai backup di Spanner. Per ulteriori informazioni, consulta i riferimenti ai backup per le API REST e RPC.

Nome autorizzazione di backup Descrizione
spanner.backups.create Creazione backup Richiede anche spanner.databases.createBackup sul database di origine.
spanner.backups.get Ottieni un backup.
spanner.backups.update Aggiornare un backup.
spanner.backups.delete Eliminare un backup.
spanner.backups.list Elenca i backup.
spanner.backups.restoreDatabase Ripristina il database da un backup. Richiede inoltre spanner.databases.create per creare il database ripristinato nell'istanza di destinazione.
spanner.backups.getIamPolicy Ottieni il criterio IAM di un backup.
spanner.backups.setIamPolicy Imposta il criterio IAM di un backup.

Operazioni di backup

Le seguenti autorizzazioni si applicano alle operazioni di backup di Spanner. Per ulteriori informazioni, consulta i riferimenti di database per REST e le API RPC.

Nome autorizzazione per l'operazione di backup Descrizione
spanner.backupOperations.list Elenca le operazioni di backup.
spanner.backupOperations.get Ottieni un'operazione di backup specifica.
spanner.backupOperations.cancel Annullare un'operazione di backup.

Sessioni

Le seguenti autorizzazioni si applicano alle sessioni Spanner. Per ulteriori informazioni, consulta i riferimenti del database per le API REST e RPC.

Nome autorizzazione sessione Descrizione
spanner.sessions.create Crea una sessione.
spanner.sessions.get Recupera una sessione.
spanner.sessions.delete Eliminare una sessione.
spanner.sessions.list Elenca le sessioni.

Ruoli predefiniti

Un ruolo predefinito è un pacchetto di una o più autorizzazioni. Ad esempio, il ruolo predefinito roles/spanner.databaseUser contiene le autorizzazioni spanner.databases.read e spanner.databases.write. Esistono due tipi di ruoli predefiniti per Spanner:

  • Ruoli persona: vengono concessi a utenti o gruppi, per consentire loro di eseguire azioni sulle risorse del tuo progetto.
  • Ruoli macchina: concessi agli account di servizio, che consentono alle macchine in esecuzione come questi account di servizio di eseguire azioni sulle risorse del progetto.

La tabella seguente elenca il controllo dell'accesso con i ruoli IAM predefiniti, incluso un elenco delle autorizzazioni associate a ciascun ruolo:

Role Permissions

(roles/spanner.admin)

Has complete access to all Spanner resources in a Google Cloud project. A principal with this role can:

  • Grant and revoke permissions to other principals for all Spanner resources in the project.
  • Allocate and delete chargeable Spanner resources.
  • Issue get/list/modify operations on Cloud Spanner resources.
  • Read from and write to all Cloud Spanner databases in the project.
  • Fetch project metadata.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

spanner.*

  • spanner.backupOperations.cancel
  • spanner.backupOperations.get
  • spanner.backupOperations.list
  • spanner.backupSchedules.create
  • spanner.backupSchedules.delete
  • spanner.backupSchedules.get
  • spanner.backupSchedules.getIamPolicy
  • spanner.backupSchedules.list
  • spanner.backupSchedules.setIamPolicy
  • spanner.backupSchedules.update
  • spanner.backups.copy
  • spanner.backups.create
  • spanner.backups.delete
  • spanner.backups.get
  • spanner.backups.getIamPolicy
  • spanner.backups.list
  • spanner.backups.restoreDatabase
  • spanner.backups.setIamPolicy
  • spanner.backups.update
  • spanner.databaseOperations.cancel
  • spanner.databaseOperations.get
  • spanner.databaseOperations.list
  • spanner.databaseRoles.list
  • spanner.databaseRoles.use
  • spanner.databases.beginOrRollbackReadWriteTransaction
  • spanner.databases.beginPartitionedDmlTransaction
  • spanner.databases.beginReadOnlyTransaction
  • spanner.databases.changequorum
  • spanner.databases.create
  • spanner.databases.createBackup
  • spanner.databases.drop
  • spanner.databases.get
  • spanner.databases.getDdl
  • spanner.databases.getIamPolicy
  • spanner.databases.list
  • spanner.databases.partitionQuery
  • spanner.databases.partitionRead
  • spanner.databases.read
  • spanner.databases.select
  • spanner.databases.setIamPolicy
  • spanner.databases.update
  • spanner.databases.updateDdl
  • spanner.databases.updateTag
  • spanner.databases.useDataBoost
  • spanner.databases.useRoleBasedAccess
  • spanner.databases.write
  • spanner.instanceConfigOperations.cancel
  • spanner.instanceConfigOperations.delete
  • spanner.instanceConfigOperations.get
  • spanner.instanceConfigOperations.list
  • spanner.instanceConfigs.create
  • spanner.instanceConfigs.delete
  • spanner.instanceConfigs.get
  • spanner.instanceConfigs.list
  • spanner.instanceConfigs.update
  • spanner.instanceOperations.cancel
  • spanner.instanceOperations.delete
  • spanner.instanceOperations.get
  • spanner.instanceOperations.list
  • spanner.instancePartitionOperations.cancel
  • spanner.instancePartitionOperations.delete
  • spanner.instancePartitionOperations.get
  • spanner.instancePartitionOperations.list
  • spanner.instancePartitions.create
  • spanner.instancePartitions.delete
  • spanner.instancePartitions.get
  • spanner.instancePartitions.list
  • spanner.instancePartitions.update
  • spanner.instances.create
  • spanner.instances.createTagBinding
  • spanner.instances.delete
  • spanner.instances.deleteTagBinding
  • spanner.instances.get
  • spanner.instances.getIamPolicy
  • spanner.instances.list
  • spanner.instances.listEffectiveTags
  • spanner.instances.listTagBindings
  • spanner.instances.setIamPolicy
  • spanner.instances.update
  • spanner.instances.updateTag
  • spanner.sessions.create
  • spanner.sessions.delete
  • spanner.sessions.get
  • spanner.sessions.list

(roles/spanner.backupAdmin)

A principal with this role can:

  • Create, view, update, and delete backups.
  • View and manage a backup's allow policy.

This role cannot restore a database from a backup.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

spanner.backupOperations.*

  • spanner.backupOperations.cancel
  • spanner.backupOperations.get
  • spanner.backupOperations.list

spanner.backupSchedules.create

spanner.backupSchedules.delete

spanner.backupSchedules.get

spanner.backupSchedules.list

spanner.backupSchedules.update

spanner.backups.copy

spanner.backups.create

spanner.backups.delete

spanner.backups.get

spanner.backups.getIamPolicy

spanner.backups.list

spanner.backups.setIamPolicy

spanner.backups.update

spanner.databases.createBackup

spanner.databases.get

spanner.databases.list

spanner.instancePartitions.get

spanner.instancePartitions.list

spanner.instances.createTagBinding

spanner.instances.deleteTagBinding

spanner.instances.get

spanner.instances.list

spanner.instances.listEffectiveTags

spanner.instances.listTagBindings

(roles/spanner.backupWriter)

This role is intended to be used by scripts that automate backup creation. A principal with this role can create backups, but cannot update or delete them.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

spanner.backupOperations.get

spanner.backupOperations.list

spanner.backupSchedules.create

spanner.backupSchedules.get

spanner.backupSchedules.list

spanner.backups.copy

spanner.backups.create

spanner.backups.get

spanner.backups.list

spanner.databases.createBackup

spanner.databases.get

spanner.databases.list

spanner.instancePartitions.get

spanner.instances.get

(roles/spanner.databaseAdmin)

A principal with this role can:

  • Get/list all Spanner instances in the project.
  • Create/list/drop databases in an instance.
  • Grant/revoke access to databases in the project.
  • Read from and write to all Cloud Spanner databases in the project.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.*

  • monitoring.timeSeries.create
  • monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

spanner.databaseOperations.*

  • spanner.databaseOperations.cancel
  • spanner.databaseOperations.get
  • spanner.databaseOperations.list

spanner.databaseRoles.*

  • spanner.databaseRoles.list
  • spanner.databaseRoles.use

spanner.databases.beginOrRollbackReadWriteTransaction

spanner.databases.beginPartitionedDmlTransaction

spanner.databases.beginReadOnlyTransaction

spanner.databases.changequorum

spanner.databases.create

spanner.databases.drop

spanner.databases.get

spanner.databases.getDdl

spanner.databases.getIamPolicy

spanner.databases.list

spanner.databases.partitionQuery

spanner.databases.partitionRead

spanner.databases.read

spanner.databases.select

spanner.databases.setIamPolicy

spanner.databases.update

spanner.databases.updateDdl

spanner.databases.updateTag

spanner.databases.useDataBoost

spanner.databases.useRoleBasedAccess

spanner.databases.write

spanner.instancePartitions.get

spanner.instancePartitions.list

spanner.instances.createTagBinding

spanner.instances.deleteTagBinding

spanner.instances.get

spanner.instances.getIamPolicy

spanner.instances.list

spanner.instances.listEffectiveTags

spanner.instances.listTagBindings

spanner.sessions.*

  • spanner.sessions.create
  • spanner.sessions.delete
  • spanner.sessions.get
  • spanner.sessions.list

(roles/spanner.databaseReader)

A principal with this role can:

  • Read from the Spanner database.
  • Execute SQL queries on the database.
  • View schema for the database.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.create

spanner.databases.beginReadOnlyTransaction

spanner.databases.getDdl

spanner.databases.partitionQuery

spanner.databases.partitionRead

spanner.databases.read

spanner.databases.select

spanner.instancePartitions.get

spanner.instances.get

spanner.sessions.*

  • spanner.sessions.create
  • spanner.sessions.delete
  • spanner.sessions.get
  • spanner.sessions.list

(roles/spanner.databaseReaderWithDataBoost)

Includes all permissions in the spanner.databaseReader role enabling access to read and/or query a Cloud Spanner database using instance resources, as well as the permission to access the database with Data Boost, a fully managed serverless service that provides independent compute resources.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.create

spanner.databases.beginReadOnlyTransaction

spanner.databases.getDdl

spanner.databases.partitionQuery

spanner.databases.partitionRead

spanner.databases.read

spanner.databases.select

spanner.databases.useDataBoost

spanner.instancePartitions.get

spanner.instances.get

spanner.sessions.*

  • spanner.sessions.create
  • spanner.sessions.delete
  • spanner.sessions.get
  • spanner.sessions.list

(roles/spanner.databaseRoleUser)

In conjunction with the IAM role Cloud Spanner Fine-grained Access User, grants permissions to individual Spanner database roles. Add a condition for each desired Spanner database role that includes the resource type of `spanner.googleapis.com/DatabaseRole` and the resource name ending with `/YOUR_SPANNER_DATABASE_ROLE`.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

spanner.databaseRoles.use

(roles/spanner.databaseUser)

A principal with this role can:

  • Read from and write to the Spanner database.
  • Execute SQL queries on the database, including DML and Partitioned DML.
  • View and update schema for the database.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.create

spanner.databaseOperations.*

  • spanner.databaseOperations.cancel
  • spanner.databaseOperations.get
  • spanner.databaseOperations.list

spanner.databases.beginOrRollbackReadWriteTransaction

spanner.databases.beginPartitionedDmlTransaction

spanner.databases.beginReadOnlyTransaction

spanner.databases.changequorum

spanner.databases.getDdl

spanner.databases.partitionQuery

spanner.databases.partitionRead

spanner.databases.read

spanner.databases.select

spanner.databases.updateDdl

spanner.databases.updateTag

spanner.databases.write

spanner.instancePartitions.get

spanner.instances.get

spanner.sessions.*

  • spanner.sessions.create
  • spanner.sessions.delete
  • spanner.sessions.get
  • spanner.sessions.list

(roles/spanner.fineGrainedAccessUser)

Grants permissions to use Spanner's fine-grained access control framework. To grant access to specific database roles, also add the `roles/spanner.databaseRoleUser` IAM role and its necessary conditions.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

spanner.databaseRoles.list

spanner.databases.useRoleBasedAccess

(roles/spanner.restoreAdmin)

A principal with this role can restore databases from backups.

If you need to restore a backup to a different instance, apply this role at the project level or to both instances. This role cannot create backups.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

spanner.backups.get

spanner.backups.list

spanner.backups.restoreDatabase

spanner.databaseOperations.*

  • spanner.databaseOperations.cancel
  • spanner.databaseOperations.get
  • spanner.databaseOperations.list

spanner.databases.create

spanner.databases.get

spanner.databases.list

spanner.instancePartitions.get

spanner.instancePartitions.list

spanner.instances.createTagBinding

spanner.instances.deleteTagBinding

spanner.instances.get

spanner.instances.list

spanner.instances.listEffectiveTags

spanner.instances.listTagBindings

(roles/spanner.viewer)

A principal with this role can:

  • View all Spanner instances (but cannot modify instances).
  • View all Spanner databases (but cannot modify or read from databases).

For example, you can combine this role with the roles/spanner.databaseUser role to grant a user with access to a specific database, but only view access to other instances and databases.

This role is recommended at the Google Cloud project level for users interacting with Cloud Spanner resources in the Google Cloud console.

Lowest-level resources where you can grant this role:

  • Instance
  • Database

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

spanner.databases.list

spanner.instanceConfigs.get

spanner.instanceConfigs.list

spanner.instancePartitions.get

spanner.instancePartitions.list

spanner.instances.get

spanner.instances.list

spanner.instances.listEffectiveTags

spanner.instances.listTagBindings

Ruoli di base

I ruoli di base sono ruoli a livello di progetto precedenti a IAM. Per ulteriori dettagli, consulta la sezione Ruoli di base.

Sebbene Spanner supporti i seguenti ruoli di base, ti consigliamo di utilizzare uno dei ruoli predefiniti mostrati in precedenza, se possibile. I ruoli di base includono autorizzazioni generali che si applicano a tutte le risorse Google Cloud. I ruoli predefiniti di Spanner, invece, includono autorizzazioni granulari che si applicano solo a Spanner.

Ruolo di base Descrizione
roles/viewer Può elencare e recuperare i metadati di schemi e istanze. Può anche leggere e eseguire query utilizzando SQL su un database.
roles/editor Può fare tutto ciò che può fare un roles/viewer. Può anche creare istanze e database e scrivere dati in un database.
roles/owner Può fare tutto ciò che può fare un roles/editor. Può anche modificare l'accesso a database e istanze.

Ruoli personalizzati

Se i ruoli predefiniti per Spanner non soddisfano i tuoi requisiti aziendali, puoi definire ruoli personalizzati con le autorizzazioni da te specificate.

Prima di creare un ruolo personalizzato, devi identificare le attività che devi svolgere. Puoi quindi identificare le autorizzazioni richieste ogni attività e aggiungi queste autorizzazioni al ruolo personalizzato.

Ruoli personalizzati per le attività degli account di servizio

Per la maggior parte delle attività, è ovvio quali autorizzazioni aggiungere ruolo. Ad esempio, se vuoi che il tuo account di servizio possa creare un database, aggiungi l'autorizzazione spanner.databases.create al tuo ruolo personalizzato.

Tuttavia, quando leggi o scrivi dati in una tabella Spanner, devi aggiungere diverse autorizzazioni al tuo ruolo personalizzato. La tabella seguente mostra le autorizzazioni necessarie per leggere e scrivere dati.

Attività dell'account di servizio Autorizzazioni obbligatorie
Lettura di dati spanner.databases.select
spanner.sessions.create
spanner.sessions.delete
Inserire, aggiornare o eliminare i dati spanner.databases.beginOrRollbackReadWriteTransaction
spanner.databases.write
spanner.sessions.create
spanner.sessions.delete
Crea backup spanner.backups.create
spanner.databases.createBackup
Ripristinare un database spanner.databases.create
spanner.backups.restoreDatabase

Ruoli personalizzati per le attività della console Google Cloud

Per identificare l'elenco delle autorizzazioni necessarie per una determinata attività nella console Google Cloud, devi determinare il flusso di lavoro per l'attività e compilare le autorizzazioni per quel flusso di lavoro. Ad esempio, per visualizzare i dati di una tabella, segui questi passaggi nella console Google Cloud:

Passaggio Autorizzazioni
1. Accedi al progetto resourcemanager.projects.get
2. Visualizza l'elenco delle istanze spanner.instances.list
3. Seleziona un'istanza spanner.instances.get
4. Visualizza l'elenco dei database spanner.databases.list
5. Seleziona un database e una tabella spanner.databases.getDdl
6. Visualizzare i dati in una tabella spanner.databases.select, spanner.sessions.create, spanner.sessions.delete

In questo esempio, sono necessarie le seguenti autorizzazioni:

  • resourcemanager.projects.get
  • spanner.databases.getDdl
  • spanner.databases.list
  • spanner.databases.select
  • spanner.instances.get
  • spanner.instances.list
  • spanner.sessions.create
  • spanner.sessions.delete

La tabella seguente elenca le autorizzazioni richieste per le azioni nella console Google Cloud.

Azione Autorizzazioni
Visualizza l'elenco delle istanze nella pagina Istanze

resourcemanager.projects.get
spanner.instances.list

Visualizza l'elenco nella scheda Autorizzazioni della pagina Instanza

spanner.instances.getIamPolicy

Aggiungi entità nella scheda Autorizzazioni della pagina Istanza

spanner.instances.setIamPolicy

Seleziona un'istanza dall'elenco per visualizzare la pagina Dettagli istanza

spanner.instances.get

Crea un'istanza

spanner.instanceConfigs.list
spanner.instanceOperations.get
spanner.instances.create

Elimina un'istanza

spanner.instances.delete

Modifica di un'istanza

spanner.instanceOperations.get
spanner.instances.update

Creare una partizione

spanner.instancePartitions.list
spanner.instancePartitionOperations.get
spanner.instancePartitions.create

Elimina una partizione

spanner.instancePartitions.delete

Modificare una partizione

spanner.instancePartitionOperations.get
spanner.instancePartitions.update

Visualizza i grafici nella scheda Monitora della pagina Dettagli istanza o nella pagina Dettagli database

monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
spanner.instances.get

Visualizza l'elenco dei database nella pagina Dettagli istanza

spanner.databases.list

Visualizza l'elenco nella scheda Autorizzazioni della pagina Dettagli database

spanner.databases.getIamPolicy

Aggiungi entità nella scheda Autorizzazioni della pagina Dettagli database

spanner.databases.setIamPolicy

Seleziona un database dall'elenco e visualizza lo schema nella pagina Dettagli database

spanner.databases.get
spanner.databases.getDdl

Crea un database

spanner.databases.create

Eliminare un database

spanner.databases.drop

Creare una tabella

Aggiornare lo schema di una tabella

spanner.databaseOperations.get
spanner.databaseOperations.list
spanner.databases.updateDdl

Visualizzare i dati nella scheda Dati della pagina Dettagli database

Creare ed eseguire una query

spanner.databases.select
spanner.sessions.create
spanner.sessions.delete

Modificare i dati in una tabella

spanner.databases.beginOrRollbackReadWriteTransaction
spanner.databases.select
spanner.databases.write
spanner.sessions.create
spanner.sessions.delete

Visualizza la pagina Backup/Ripristino

spanner.backups.list
spanner.backups.get

Visualizza l'elenco delle operazioni di backup

spanner.backupOperations.list

Visualizza l'elenco delle operazioni di ripristino

spanner.databaseOperations.list

Crea backup

spanner.backups.create
spanner.databases.createBackup
spanner.databases.list1
spanner.backupOperations.list1

Ripristinare un database da un backup

spanner.instanceConfigs.list
spanner.instances.get
spanner.backups.get
spanner.backups.restoreDatabase
spanner.instances.list
spanner.databases.create

Aggiornare un backup

spanner.backups.update

Eliminare un backup

spanner.backups.delete

1 Obbligatorio se crei un backup dalla pagina **Backup/Ripristino** a livello di istanza anziché a livello di database.

Gestione dei criteri IAM di Spanner

Puoi ottenere, impostare e testare i criteri IAM utilizzando le API REST o RPC su Risorse di backup, database e istanza Spanner.

Istanze

API REST API RPC
projects.instances.getIamPolicy GetIamPolicy
projects.instances.setIamPolicy SetIamPolicy
projects.instances.testIamPermissions TestIamPermissions

Database

API REST API RPC
projects.instances.databases.getIamPolicy GetIamPolicy
projects.instances.databases.setIamPolicy SetIamPolicy
projects.instances.databases.testIamPermissions TestIamPermissions

Backup

API REST API RPC
projects.instances.backups.getIamPolicy GetIamPolicy
projects.instances.backups.setIamPolicy SetIamPolicy
projects.instances.backups.testIamPermissions TestIamPermissions

Passaggi successivi