8.GaussDB行级访问控制策略的使用

最新推荐文章于 2024-08-29 17:00:41 发布
最新推荐文章于 2024-08-29 17:00:41 发布
阅读量175 收藏 1
点赞数 1
分类专栏: 国产数据库-GaussDB 文章标签: gaussdb 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43346403/article/details/132606650
版权
本文介绍了GaussDB中行级访问控制的工作原理,如何设置策略限制用户访问特定行,以及它与视图的区别。行级控制在保护数据安全方面的作用和未来可能的扩展方向——列级访问控制被提及。
摘要由CSDN通过智能技术生成

1.什么是行级访问控制

就是让某些用户对表的访问,只能访问行级控制策略满足条件的行。不满足条件的行,即使执行SELECT * FROM TAB1;也不会显示。

2.行 级访问控制使用

(1)查看原表数据

--给user1用户授予查看:sjzt.test2表权限。
sjzt=> grant select on sjzt.test2 to user1;
GRANT

--起初user1可以看到全部的数据。
sjzt=>  select * from sjzt.test2;
 id | name | age 
----+------+-----
  1 | xsq  |  15
  2 | xsq2 |  16
  3 | xsq3 |  17
(3 rows)
sjzt=> \conninfo
You are connected to database "sjzt" as user "user1" via socket in "/data/cluster/temp" at port "8000".

(2)对表sjzt.test2创建行级访问策略,并只对USER2做限制

--让user1用户只能访问,sjzt.test2表里面id>=3的数据。
sjzt=> CREATE ROW LEVEL SECURITY POLICY RL_SELECT ON SJZT.TEST2 FOR SELECT TO USER1 USING(ID>=3);
CREATE ROW LEVEL SECURITY POLICY
sjzt=> ALTER TABLE SJZT.TEST2 ENABLE ROW LEVEL SECURITY ;
ALTER TABLE

(3)查看表上的行级访问控制策略

--检查表的行级策略情况。
sjzt=> \dt+ SJZT.TEST2
                                                List of relations
 Schema | Name  | Type  | Owner | Size  |                         Storage                          | Description 
--------+-------+-------+-------+-------+----------------------------------------------------------+-------------
 sjzt   | test2 | table | sjzt  | 16 kB | {orientation=row,compression=no,enable_rowsecurity=true} | 
(1 row)

sjzt=> \d+ SJZT.TEST2
                                 Table "sjzt.test2"
 Column |         Type          | Modifiers | Storage  | Stats target | Description 
--------+-----------------------+-----------+----------+--------------+-------------
 id     | integer               |           | plain    |              | 
 name   | character varying(20) |           | extended |              | 
 age    | integer               |           | plain    |              | 
Row Level Security Policies:
    POLICY "rl_select" FOR SELECT
      TO user1
      USING ((id >= 3))
Has OIDs: no
Distribute By: HASH(id)
Location Nodes: ALL DATANODES
Options: orientation=row, compression=no, enable_rowsecurity=true

可以看到只对user1用户有控制。且访问策略激活。

(4)查看使用访问控制后的效果

--授予USER1对SJZT.TEST2表的查询权限。
sjzt=> grant select on sjzt.test2 to user1;
GRANT

--使用USER1进行查询。
sjzt=> select * from sjzt.test2;
 id | name | age 
----+------+-----
  3 | xsq3 |  17
(1 row)
sjzt=> \conninfo
You are connected to database "sjzt" as user "user1" via socket in "/data/cluster/temp" at port "8000".

果然USER1用户只能看到满足策略的数据。

(5)对多个用户使用访问控制策略

--让多个用户都使用访问控制策略。
ALTER POLICY RL_SELECT ON sjzt.test2 to user2,user1 USING(ID>=3);
ALTER ROW LEVEL SECURITY  POLICY RL_SELECT ON sjzt.test2 to user2,user1 USING(ID>=3);

--让用户能够登陆sjzt schema,同时授予能够访问sjzt.test2表。
grant usage on schema sjzt to user2; 
grant select on sjzt.test2 to user2; 
grant usage on schema sjzt to user1; 
grant select on sjzt.test2 to user1; 

sjzt=> \c - user1
Password for user user1: 
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "sjzt" as user "user1".
sjzt=> select * from sjzt.test2;
 id | name | age 
----+------+-----
  3 | xsq3 |  17
(1 row)

sjzt=> \c - user2
Password for user user2: 
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "sjzt" as user "user2".
sjzt=> select * from sjzt.test2;
 id | name | age 
----+------+-----
  3 | xsq3 |  17
(1 row)

sjzt=> \c - sjzt
Password for user sjzt: 
Non-SSL connection (SSL connection is recommended when requiring high-security)
You are now connected to database "sjzt" as user "sjzt".
sjzt=> select * from sjzt.test2;
 id | name | age 
----+------+-----
  3 | xsq3 |  17
  1 | xsq  |  15
  2 | xsq2 |  16
(3 rows)

可以发现,sjzt用户是表的属主,可以看到所有数据,但是user1,user2使用了访问控制策略,只能访问到部分数。

3.总结

行级访问控制,主要是针对行数据进行限制。没有对列进行限制。这个功能类似于:

创建视图:create view v1 as select * from sjzt.test2 where id>=3; 

行级访问控制是GaussDB里面的非常不错的安全控制功能。在某些特定场景下非常有用。当前未来也由可能出现列级访问控制,对数据库进行更好的管理。

戒掉贪嗔痴(薛双奇)
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用一个简单的UserCase,带你认识openLooKeng的行级权限控制
openLooKeng的博客
11-11 287
Hi,朋友。openLooKeng近期带来了许多技术干货,前有安装部署,后有安全认证机制、Hash Join的使用介绍等等,如果您正在使用openLooKeng, 希望这些技术博客能够帮助到您。本期,社区小伙伴将用一个User Case,简单介绍openLooKeng的行级权限控制。 openLooKeng的行级权限控制 行级权限的作用 通过 Rowfilter 实现对表数据行级别的权限控制:指定特定用户只能访问授权过的行,隐藏未授权的行数据。 Use Case 源数据表: 配置Rowfilter策略
使用django-guardian实现django-admin的行级权限控制的方法
09-20
标题所提到的知识点是关于在Django框架中使用django-guardian扩展包来实现对django-admin管理后台的行级权限控制。在Django中,默认的权限系统提供了基于模型的权限控制,即可以控制哪些用户或用户组能够进行哪些...
GBase 8c 数据库-行级访问控制
qq_41614765的博客
09-14 207
数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。不同用户执行相同的SQL查询操作,读取到的结果是不同的。
openGauss 数据库安全—行级访问控制
weixin_53596073的博客
04-15 238
行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。
管理用户及权限:行级访问控制
weixin_53596073的博客
05-21 382
数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。示例:某表中汇总了不同用户的数据,但是不同用户只能查看自身相关的数据信息,不能查看其他用户的数据信息。
行级安全(Row-Level Security)
weixin_34260991的博客
05-14 221
通过授予和拒绝(Grant/Deny)命令控制用户的权限,只能控制用户对数据库对象的访问权限,这意味着,用户访问的粒度是对象整体,可以是一个数据表,或视图等,用户要么能够访问数据库对象,要么没有权限访问,就是说,一个数据库对象,通过授予和拒绝用户的权限/角色(Permission或Role),无法使特定的数据行只允许特定身份的人访问,但是,该需求可以使...
Mysql 行级锁的使用及死锁的预防方案
09-09
MySQL中的InnoDB存储引擎支持事务...理解锁的类型、正确使用事务和锁,以及掌握死锁预防和解决策略,是数据库管理和优化的关键。通过持续学习和实践,我们可以更好地应对这些挑战,确保数据库系统的稳定性和高效性。
关于采用Oralce行级安全策略解决应用系统数据权限的论述
02-26
**Oracle行级安全策略**(Row Level Security)是一种高级的数据访问控制机制,它允许数据库管理员针对特定的用户或角色设置细粒度的数据访问规则。与传统的表级权限相比,行级安全策略能够更精细地控制哪些用户可以...
【VPD】细粒度访问控制 (FGAC) 之行级控制
clal800927001的博客
08-22 236
1)scott用户下创建测试表vpd_tabSCOTT@ORCL>create table vpd_tab(x number(2),y number(2),username varc...
HGDB 强制访问控制
脑子进水养啥鱼?的博客
05-17 1069
一、概述 强制访问控制是瀚高数据库安全版,在授权访问控制的基础上对用户权限的进一步控制,通过调整安全标记来控制用户行为。安全标记就是数据库对象的一个标签,数据库系统在创建新的用户、表和记录时系统会默认的为其设置一个安全标记,通过调整用户和数据库对象的安全标记,就可实现用户对数据库对象的进一步访问控制。 1.1 安全标记格式 安全标记为特定格式的字符串,如 “s0:c0.c1023”,由安全级别(敏感度)和安全类别(类别)组成。敏感度范围为 s0~s15,共16个级别,类别范围为 c0~c1023,共1024
防火墙访问控制、安全审计、网络设备防护检查表
xx_123321456的博客
12-13 157
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户,并限制具有拨号访问权限的用户数量。审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。审计记录包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。口令长度至少为10位,包含数字,字母(大小写),特殊字符三种形式,更换周期为90天。
技术分享|GBase 8s产品安全
weixin_42750521的博客
01-21 397
用户的关键业务系统,特别是OLTP系统,都要求提供7×24不间断的应用服务,这就要求数据库系统能够提供强大的高可用能力。这种能力不仅仅体现在主机及备机的接管方面,同时要能够提供远程容灾能力,以及本地的负载均衡能力。 针对上述对数据库的要求,通过不断的发展与创新,GBase 8s提供了业界领先的高可用集群技术SDS,HDR,RSS。 同时,GBase 8s还提供了Connection Manager功能部件。Connection Manager功能部件可以提供 SLA(Service Level Ag
GaussDB数据库表创建行访问控制策略
Gauss松鼠会
12-19 5534
数据的安全性和隐私性变得越来越重要。行访问控制策略数据库管理中的一种重要技术,可以保护数据的机密性和完整性。GaussDB是一款高性能、高可用性的数据库管理系统,提供了丰富的安全功能,其中包括行访问控制策略
openGauss数据库权限管理模型(上)
openGauss的博客
07-26 2041
...
SQL Server 2016 行级别权限控制
weixin_33862993的博客
01-04 344
背景 假如我们有关键数据存储在一个表里面,比如人员表中包含员工、部门和薪水信息。只允许用户访问各自部门的信息,但是不能访问其他部门。一般我们都是在程序端实现这个功能,而在sqlserver2016以后也可以直接在数据库端实现这个功能。 解决 安全已经是一个数据方面的核心问题,每一代的MS数据库都有关于安全方面的新功能,那么在Sql Server 2016,也有很多这方面的升级,比如‘Row Lev...
GaussDB 24.1.30 分布式3节点命令行方式部署
Gauss松鼠会
08-29 1038
华为自主创新研发的分布式关系型数据库。该产品具备企业级复杂事务混合负载能力,同时支持分布式事务,同城跨AZ部署,数据0丢失,支持1000+的扩展能力,PB级海量存储。同时拥有云上高可用,高可靠,高安全,弹性伸缩,一键部署,快速备份恢复,监控告警等关键能力,能为企业提供功能全面,稳定可靠,扩展性强,性能优越的企业级数据库服务。
mysql-day02
最新发布
m0_64370841的博客
08-29 1728
【代码】mysql-day02。
redis能正常访问,但是springboot编译报错
生而为人我很抱歉
08-27 675
因为你在自定义的 @Configuration 类中没有明确指定配置属性的绑定,或者这个类的加载顺序影响了 Spring Boot 的属性绑定过程。你可以尝试在 MyConf 类上加上 @Order 注解来调整加载顺序,或者确保 MyConf 类不会干扰到 Redis 配置的加载。你可以在 MyConf 类上使用 @ConditionalOnProperty 注解,确保在特定条件下才加载这个配置类,以避免在 Redis 配置加载之前进行不必要的初始化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值