表的行级安全策略

最新推荐文章于 2024-07-11 12:55:31 发布
最新推荐文章于 2024-07-11 12:55:31 发布
阅读量552 收藏
点赞数
分类专栏: postgreSQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35279788/article/details/80840420
版权
行级安全策略("Row-Level Security (RLS) support"

概述

        在之前版本的数据安全技术中,是通过GRANT/REVOKE指令实现的,这两个指令提供了对象级的安全限制,针对表,还提供了列级的安全限制,即行级安全的需求,也就是说不同的用户访问同一个表能看到不同的数据,这个特性在9.5中提供了支持。默认的话,表没有任何安全策略限制。

        所有对数据的操作,包括数据查询和数据更新,都受到策略的限制,如果没有配置安全策略,所有的数据查询和更新都会禁止。行级安全策略可以加在命令上,也可以加在角色上,也可以两者都加。命令可以是ALLSELECTINSERTUPDATE和DELETE,同一个策略也可以赋予多个角色。如果想忽略行级安全性机制的限制,也可以将row_security设置为off。

1、启用、禁用表的行安全策略
alter table test_tb3(表名) enable row level security ;
alter table test_tb3 disable row level security ;
2、创建表的安全策略
create policy policy3 ON test_tb3 for insert to user6 with check(id>4)(表达式);(插入操作策略)
(策略名) (表名) (策略命令)(角色名)
create policy policy1 ON test_tb3 for select TO user6 using (id='1');(查询表数据策略)
(策略名) (表名) (策略命令)(角色) (查询条件)
create policy policy1 ON test_tb3 for select TO user6 using (id='1') with check(id>4);(更新)
create policy policy1 ON test_tb3 for select TO user6 using (id='1');(删除操作策略)

注:(1)如果策略命令省略的话,默认是All,则后边不能使用with check表达式。
(2)表的行级安全策略是基于用户的对象权限的,即在使用行级安全策略之前必须该角色必须首先具有该表对象的某个或所有操作权限
(3)同一张表的多个策略是or的关系
(4)具有bypassrls权限的角色、超级用户、表的所有者都不受行安全性的限制,其中除超级用户外的其他角色在使用行级安全策略之前都必须首先具有表对象的某个或所有操作权限
(5)适用于整个表的操作不受行安全性限制(如truncate和references操作)
(6)角色可以同时指定多个
  (7)引用完整性检查(如唯一性主键约束和外检引用)总是会绕过行安全性,以确保数据完整性得到维护
(8)只有所有者才具有启用/禁用行级安全性,给表添加策略的权限。
(9)表的多个策略之间是or的关系
(10)select和delete策略不能有with check表达式
(11)insert策略不能有using表达式
(12)update策略同时接受一个using表达式和一个with check表达式
3、修改策略
(1)修改策略名称
ALTER POLICY name ON table_name RENAME TO new_name(策略新名称);
(2)修改策略
alter policy policy3 ON test_tb3 for insert to user6 with check(id>4)(表达式);(插入操作策略)
(策略名) (表名) (策略命令)(角色名)
alter policy policy1 ON test_tb3 for select TO user6 using (id='1');(查询表数据策略)
(策略名) (表名) (策略命令)(角色) (查询条件)
alter policy policy1 ON test_tb3 for select TO user6 using (id='1') with check(id>4);(更新)
alter policy policy1 ON test_tb3 for select TO user6 using (id='1');(删除操作策略)
注:修改策略名和修改策略内容不能同时进行
4、删除策略
DROP POLICY name ON table_name;
注:如果为表删除了最后一个策略,并且该表仍然通过 ALTER TABLE 启用了行级别安全性,则将使用默认拒绝策略。 ALTER TABLE ... DISABLE ROW LEVEL SECURITY 可用于禁用表的行级安全性,无论该表的策略是否存在。


qq_35279788
关注
专栏目录
PostgreSQL 中如何控制行级安全和列级安全
去哪儿网技术沙龙
08-03 509
彭占元 2018年8月加入去哪儿网,现负责公司 PostgreSQL/GreenPlum 运维工作,对数据库日常运维和日常调优有大量优化实践经验。 1. 需求提出 最近有业务线的同学向 DBA 提出这样的需求:“我的里有很多敏感数据,怎么给使用者(从 DBA 角度来看就是 DB User)指定查看某些特定行或某些列的权限?” 这是我们经常用到的业务场景,比如最典型全公司的短信数据和用户管理平台场景,如何限制各部门仅可查看属于本部门的某些非敏感数据? PostgreSQL 为了符合各种场景的安全需...
等保2.0 安全策略和管理制度 测评
10-10
网络安全等级保护-等保2.0:安全策略和管理制度-测评
行级安全(Row-Level Security
weixin_34260991的博客
05-14 228
通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据,或视图等,用户要么能够访问数据库对象,要么没有权限访问,就是说,一个数据库对象,通过授予和拒绝用户的权限/角色(Permission或Role),无法使特定的数据行只允许特定身份的人访问,但是,该需求可以使...
PostgreSQL行级安全策略探究
最新发布
qq_43687755的博客
07-11 997
最近和朋友讨论oracle行级安全策略(VPD)时,查看了下官方文档,看起来VPD的原理是针对应用了Oracle行级安全策略、视图或同义词发出的 SQL 语句动态添加where子句。通俗理解就是将行级安全策略动态添加为where 条件。那么PG中的行级安全策略是怎么处理的呢?行级安全策略(Row Level Security)是更细粒度的数据安全控制策略。行级策略可以根据每个用户限制哪些行可以通过常规查询返回,哪些行可以通过数据修改命令插入、更新或删除。
行级安全策略概览(Row-level Security
weixin_44957042的博客
05-28 769
策略还可以使用安全定义功能。这在您希望限制对链接的访问的多对多关系中非常有用。在上面的teams和members示例之后,本示例显示了如何将安全定义功能与策略结合使用,以控制对member的访问。on members。
SQL Server安全(10/11):行级别安全(Row-Level Security
weixin_33938733的博客
04-11 274
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。 不像其它一些工业强度的数据库服务器。SQL Server对于单个数据记录,缺少内建机制,称作行级别安全(Row...
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
假设我们需要为一张名为`Consign`的委托实施行级安全策略。这张包含了一些列,如`LOAD_PORT`(装货港)等。为了确保用户只能访问指定装货港的记录,我们可以按照以下步骤设置行级安全策略: 1. **创建Policy函数*...
MySQL 全局锁、级锁、行级
06-04
在多用户环境中,为了保证数据的一致性和完整性,MySQL 提供了多种锁定机制,包括全局锁、级锁和行级锁。这些锁机制是数据库事务处理中的核心组成部分,下面我们将详细探讨这些锁的特性和应用场景。 1. **全局锁...
Oracle数据库系统的安全策略.pdf
10-10
Oracle数据库系统的安全策略是确保数据安全的关键组成部分,尤其是在Oracle这种广泛应用的关系型数据库系统中。Oracle数据库因其出色的性能和广泛的应用,占据了全球数据库市场的显著份额。然而,由于软硬件故障、...
Oracle数据库的安全策略分析.pdf
10-09
Oracle数据库的安全策略涉及用户身份验证、权限管理和数据加密等多个层面。 1. 用户身份认证安全问题:Oracle数据库提供了用户身份验证机制,但非法获取用户账户信息可能导致数据库被未经授权的访问。加强用户认证...
Row-Level Security & Dynamic Data Masking
09-26
SQL SERVER 行级别安全性设置,列级别数据加密等特性介绍
Oracle 数据库针对主键列并发导致行级锁简单演示
09-10
本文简单演示针对主键并发导致的行级锁,锁的产生是因为并发。没有并发,就没有锁。并发的产生是因为系统需要,系统需要是因为用户需要,感兴趣的你可以参考下哈,希望可以帮助到你
利用Oracle VPD实现行级安全保护(一)
cilu1851的博客
07-12 303
VPD[@more@]大家都知道,Oracle的锁机制是行级别的,下面来看看Oracle的安全访问机制: 安全的数据过滤,必须在基础数据的一层就完成,这样用户无论是通过视图还是基础都无法绕过安全控制。而VPD(virt...
mysql行级安全_SQL Server 2016:行级安全
weixin_30258621的博客
01-19 113
对于SQL Server,一个常见的批评是,其安全模型只能识别和列。用户如果希望以行为单位应用安全规则,就需要使用存储过程或值对于SQL Server,一个常见的批评是,其安全模型只能识别和列。用户如果希望以行为单位应用安全规则,就需要使用存储过程或值函数来模拟,然后找一种方法,确保它们不会被绕开。在SQL Server 2016中,那不再是个问题。实现SQL Server 2016(及S...
mysql行级安全,MySQL:如何做行级安全性(如Oracle的虚拟专用数据库)?
weixin_28796657的博客
01-19 121
Say that I have vendors selling various products. So, at a basic level, I will have the following tables: vendor, product, vendor_product.If vendor-1 adds Widget 1 to the product table, I want only ve...
mysql行级安全_MySQL:如何进行行级安全性(如Oracle的虚拟专用数据库)?
weixin_36314729的博客
01-19 148
假设我有销售各种产品的供应商.因此,在基本级别,我将有以下:vendor,product,vendor_product.如果vendor-1将Widget 1添加到产品中,我只希望vendor-1看到该信息(因为该信息由vendor-1“拥有”).供应商-2也是如此.假设vendor-2添加了Widget 2,只有vendor-2应该看到该信息.如果vendor-1尝试添加已由vendor-2...
mysql行级安全_PostgreSQL 行级安全性策略应用
weixin_34803977的博客
02-19 278
1. 概述行级安全性策略是PG9.5新加的一个功能,它是一种粒度更细的,针对行级所做的权限控制。它可以对每一个用户限制哪些行可以进行查询操作或增删改的操作。2. 特性介绍默认情况下,是没有行级安全性的,要想使行级安全性,需要使用命令:ALTER TABLE .... ENABLE ROW LEVEL SECURITY;是行级安全性检查。所有对该的操作(的属主除外),都要经过行级安全性...
利用Oracle VPD实现行级安全保护(二)
cilu1851的博客
07-12 117
VPD[@more@]通过VPD策略的设置,David只能够查看部门60和80的记录。SQL> conn davidEnter password: Connected.SQL> select employee_id,...
Oracle行级安全策略:解决应用系统数据权限难题
"本文主要探讨了如何利用Oracle的行级安全策略解决应用系统中的数据权限问题,特别是针对用户只能访问特定数据子集的情况。传统的做法是通过在SQL语句中添加过滤条件,但这方法存在可修改性和维护性的挑战。文章提出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值