人大金仓数据库KingbaseES中行级策略介绍

最新推荐文章于 2024-10-08 17:39:57 发布
最新推荐文章于 2024-10-08 17:39:57 发布
阅读量854 收藏 18
点赞数 19
文章标签: 数据库 kingbase 人大金仓 金仓数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arthemis_14/article/details/135487188
版权
本文介绍了人大金仓KingbaseES中的行级策略,如何通过细致的访问控制实现数据的安全管理,包括设置策略语法、读写规则示例以及两个实际应用场景的详细步骤。行级策略允许不同权限级别的用户对表中特定行进行操作,确保数据的隐私和安全性。
摘要由CSDN通过智能技术生成

行级策略介绍

关键字:

行级策略、标记、策略、人大金仓、KingbaseES

行级策略概述

1.1概述

不同于对数据库对象设置标记,行级策略可以将数据的安全访问控制缩小到行级细粒度,利用不同等级范围的用户对表中不同行的数据写入,使表中每行都有不同的访问控制权限。

对表设置行级策略后,用户需要具有对应表的权限通过自主访问控制校验后,才能用持有的标记在表中读、写数据,标记的等级越高可操作的范围越大。访问规则分为读访问规则和写访问规则。

1.2管理行级策略语法

应用行级策略语法

SYSMAC.APPLY_TABLE_POLICY (

policy_name NAME,

schema_name NAME,

table_name NAME

)

移除行级策略语法

SYSMAC.REMOVE_TABLE_POLICY(

policy_name TEXT,

schema_name TEXT,

table_name TEXT,

drop_column BOOL

)

参数说明:

policy_name:指定数据库中已经创建的安全策略名称。

schema_name:指定数据库下的模式名称。

table_name: 指定被策略policy_name保护的表名。

drop_column:指定从表上移除策略时是否移除策略列。

示列:对表t2设置行级策略p2。

移除t2表存在的行级策略p2

1.3读写访问规则

读访问规则:

  1. 数据标记的等级必须小于等于用户的当前读标记等级;
  2. 用户会话读标记必须包含数据标记中的所有范围。

写访问规则:

  1. 数据标记的等级必须小于等于用户的当前写标记等级;
  2. 数据标记的等级必须大于等于用户的最小等级;
  3. 用户的会话写标记必须包含数据标记中的所有范围。

读写访问规则遵循向下读,区间写模型。用户只能读取小于等于自身安全等级的数据,只能对大于用户的最小写安全等级小于等于用户当前写安全等级的数据进行修改,且用户的读写会话标记范围需要包括数据标记中的所有范围。

二、构造行级策略场景并分析

2.1 场景一

本场景通过对表设置行级策略,并通过带标记用户输入带标记数据,利用其它用户进行访问来说明行级策略下的数据读访问规则。

步骤1:对表t2设置行级策略p2

步骤2:为用户u1设置策略p2下的标记l2:r1

步骤3:利用u1对表t2插入数据并读取t2数据

步骤4:使用未设置标记的用户u2和u3对表进行查看

步骤5:给用户u2设置标记l1:r1,并利用u2对表进行查看,发现由于等级不能达到访问仲裁要求,u2用户依旧不能读取u1用户插入的数据

步骤6:给用户u3设置标记l3:r1,并利用u3对表进行查看,由于u3设置的标记等级满足读取u1用户写入数据等级,故能够成功访问u1写入的数据。

总结:对表应用行级策略后,表中应用行级策略之前的数据会被隐藏,且表中会多一个策略列字段,该字段可以被隐藏。应用行级策略后表中的数据的读和写遵循一定的规则,用户所写入的数据只能被相同或更高权限等级的用户所查看读取,且未设置标记的用户不能查看带标记的用户在应用行级策略表中写入的数据。

2.2 场景二

本场景通过对表设置行级策略,并通过带标记用户u1对表插入带标记数据,利用带标记用户u2、u3对数据进行读写操作来说明行级策略下的读写访问规则,同时说明设置用户标记时,各个参数的具体含义。

步骤1:对表t2设置行级策略p2

步骤2:为用户u1设置p2策略下标记,其中最大读标记为l3:r1,最大写标记为l3:r1,用户写入标记为l2:r1,最小写入标记为l2:r1,默认会话标记为l2:r1。

步骤3:为用户u2设置p2策略下标记为l2:r1

步骤4:为用户u3设置p2策略下标记为l3:r1

步骤5:利用用户u1对表t1插入数值

步骤6:使用用户u2来查找表t2数据,发现能够成功查询到u1插入的数据且能够写入数据

步骤7:使用用户u3来查找用户表t2数据,发现能够成功查询到u1插入的数据但不能够改写数据

总结:对用户设置的用户写入标记代表着用户写入表中的行级数据标记的等级,例如上文用户u1设置的用户写入标记为l2:r1,则u1用户写入表t2中的数据值c1=112,c2=221的标记等级为l2:r1,当用户u2进行查询时,由于u2的读写标记为l2:r1,对行级数据c1=112,c2=221的读写操作支持,故能够进行操作,对于用户u3,由于其读标记值为l3:r1,对于读访问规则满足,但由于其最小写标记等级为l3:r1,对于写访问规则中第二条“数据标记的等级必须大于等于用户的最小等级”,其不满足,所以不能对数据进行更改。

三、总结

不同于对表设置标记,对表设置行级策略遵循上读下写原则,用户所写入的数据只能被相同或更高权限等级的用户所查看读取,且未设置标记的用户不能查看带标记的用户在应用行级策略表中写入的数据。

参考文档:

《 KES产品用户手册》

沉舟侧畔千帆过_
关注
人大金仓数据库KingbaseES帮助文档
10-24
### 人大金仓数据库KingbaseES相关知识点 #### 一、概述 人大金仓数据库KingbaseES是一款由北京人大金仓信息技术股份有限公司自主研发的大型通用数据库管理系统,具有完全的自主知识产权,支持跨平台操作,包括但...
人大金仓V8.0数据库全套使用手册 ,kingbaseEs v8.0
04-08
人大金仓数据库是一款由中国人民大学信息学院开发的国产关系型数据库管理系统,其最新版本为V8.0,命名为KingbaseES。本套使用手册详细涵盖了该数据库系统的各个方面,旨在帮助用户全面了解并熟练掌握KingbaseES V...
人大金仓数据库KingbaseES 强制访问控制-1:强访组件
arthemis_14的博客
01-10 925
KingbaseES、强制访问控制、人大金仓KingbaseES
人大金仓数据库KingbaseES 强制访问控制-2:用户标记与权限
arthemis_14的博客
01-10 1010
KingbaseES、强制访问控制、人大金仓KingbaseES
技术贴 | 走进 PostgreSQL 行级安全策略
KaiwuDB 数据库
10-19 1500
行级安全(RLS,Row-Level Security)可控制用户访问数据库的查看权限,简化应用程序的设计和编码,帮助实现数据库行级数据的访问控制。每一次尝试访问数据,都会受到 RLS 的限制,RLS 使得数据库安全系统更加稳定、可靠、强大。RLS 主要的应用场景是可以确保不同的用户访问不同的数据内容。例如,针对公司员工信息,某部门组长只能访问与其部门相关的员工信息数据行,而 HR 可以访问整个公司所有员工的信息;
表的行级安全策略
qq_35279788的博客
06-28 554
行级安全策略("Row-Level Security (RLS) support")概述        在之前版本的数据安全技术中,是通过GRANT/REVOKE指令实现的,这两个指令提供了对象的安全限制,针对表,还提供了列的安全限制,即行级安全的需求,也就是说不同的用户访问同一个表能看到不同的数据,这个特性在9.5中提供了支持。默认的话,表没有任何安全策略限制。        所有对数据的操...
行级安全(Row-Level Security)
weixin_34260991的博客
05-14 238
通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据表,或视图等,用户要么能够访问数据库对象,要么没有权限访问,就是说,一个数据库对象,通过授予和拒绝用户的权限/角色(Permission或Role),无法使特定的数据行只允许特定身份的人访问,但是,该需求可以使...
人大金仓数据库KingbaseES 兼容Oracle包dbms_xmlgen的使用(一)
arthemis_14的博客
12-27 528
(1)dbms_xmlgen:将SQL查询结果转换为XML文档,将XML文档以CLOB或XMLType形式返回。(2)包中定义类型类型名描述ctxHandle查询字符串的上下文句柄类型,在Kingbase中,实质为sys_refcursor类型,由NEWCONTEXT函数返回(1)Kingbase的dbms_xmlgen包依赖于kdb_xmltype包,因此,在创建dbms_xmlgen插件之前,需要创建kdb_xmltype插件。
人大金仓 金仓数据库KingbaseES 新兼容—— Limit/Order By For Update/Delete
arthemis_14的博客
08-18 875
在关系型数据库系统中,我们经常遇到如下场景:通过select语句,在一张数据表中,查询到了满足条件的数据,此时我们希望按照一定的顺序重新组织这些数据,同时又希望展示这些数据的部分条目,这就需要在select语句中用到order by和limit两个子句,分别实现排序和限制数据条目的作用。那么,在update/delete操作中呢?我们希望达到更加灵活地完成批量数据的更新或者删除操作,为此我们实现了update/delete语句的order by和limit两个子句,完美兼容了MySQL的相关语法。
人大金仓数据库KingbaseES dbms_xmlquery包使用技巧(四)
arthemis_14的博客
01-05 852
在目前的KingbaseES的使用过程中,我们会遇到数据库需要存储XML格式的数据,或者需要对查询的数据进行转换的问题,XML格式的数据类似于HTML格式数据,XML是一种扩展标记语言,最早于1998年被引入软件工业界,它不仅可以在WEB前端使用还可以应用于后端数据处理以及数据库存储等。
人大金仓 KingbaseES V8 手册 及 sql语法手册
01-18
人大金仓KingbaseES是一款由中国人民大学开发的国产数据库管理系统,具有高性能、高安全性、高可用性等特点。KingbaseES V8是其第八个主要版本,提供了更加强大的功能和优化的性能。本手册和SQL语法手册是学习和操作...
鲁班到家上门安装维修系统源码开发之结构功能解析
weixin_43744973的博客
10-08 1059
鲁班到家上门安装维修系统的源码开发是一个复杂但富有成效的过程。通过详细的需求分析、技术选型、功能模块设计以及前后端分离开发,该系统不仅提升了服务效率,还通过数字化管理优化了用户体验。未来,该系统有望在智能家居售后服务领域发挥更加重要的作用,引领行业向更加高效、专业、透明的方向发展。
ATAM需求说明-系统架构师(七十六)
ke1ying的博客
10-08 870
1体系结构权衡分析法ATAM(Architecture Trade Off Analyzer Method)是一种常见的结构权衡分析法,该框架主要关注系统的(),针对性能、安全性、可用性和可修改性,在系统开发前进行分析、评价和这种。A共享数据库的集成方式通常将应用程序的数据存储在一个共享数据库中,通过制定统一的数据库模式来处理不同应用集成需求。场景和需求的收集,架构视图和场景的实现,属性模型的构造和分析,架构评价和折中。7企业信息资源集成管理的前提是对企业()的集成,其核心是对企业()的集成。
英文论文安全的免费查重网站
hallo128的博客
10-06 787
不过请注意,免费工具通常只能提供基础查重功能,对于学术论文的全面查重,付费工具(如Turnitin)会更加准确和可靠。特点: 提供简单易用的免费查重服务,支持英文文本查重。特点: 免费查重工具,可以通过粘贴文本或上传文件进行查重。特点: 集成了语法检查和查重功能,免费版查重不支持大篇幅的文档,可以用来初步检测论文的相似度。特点: 免费版允许每天进行一次查重(限1000字),可以通过复制粘贴或上传文件的方式来检测。安全性: 网站声明不会存储用户的文档,但出于安全考虑,建议在提交前进行适当处理。
同城O2O系统源码与跑腿配送平台的架构设计与开发方案详解
最新发布
meihusdk的博客
10-08 438
同城O2O系统与跑腿配送平台的开发,既是技术的挑战,也是商业机会的探索。通过合理的架构设计与清晰的开发方案,开发者可以构建出高效、稳定且易于扩展的平台,为用户提供更为便捷的服务。
思迅商云开启货号修改语句
xushugang007的博客
10-03 243
insert into t_sys_system (sys_var_id,sys_var_name,sys_var_value,is_changed,sys_ver_flag) values('itemnoisedit','货号、供应商、客户编码修改','1','否','1')use hbposv10 --分店数据库名改成: hbposv10_branch。--开启 货号、供应商、客户编码修改。
"金仓数据库 KingbaseES V8 用户手册详解
金仓数据库KingbaseES)V8用户手册是一本详细介绍金仓数据库V8版本的使用方法和功能的指南。本手册包括了该数据库的基本使用方法,以及在不同情况下可以采取的技巧和策略KingbaseES V8作为一个强大的数据管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值