GBase8s安全访问策略(LBAC)
GBase8s访问方式
GBase8s数据库支持两种用户访问方式,数据库内部用户和操作系统用户。
数据库内部用户是指使用create user命令创建的用户,通过映射配置,新建用户可以映射到系统用户。这种方法使系统可以通过映射系统中已存在的除gbasedbt和root以外的其他用户,来访问数据库。这种机制将会减少为了使用数据库创建的大量系统用户。减少DBA的工作量,增加系统的安全系数。
LBAC的作用
- LBAC即可被系统管理员用来防止未经授权的访问,也可被普通用户用来防止未经授权的访问。
- LBAC可被用来控制“谁可以看到什么”
- 标签被应用到数据列上
- 防止未经授权的用户看到这些数据列
- 标签被应用到数据行上
- 防止未经授权的用户看到这些敏感的数据行
- 标签被应用到数据列上
LBAC的使用步骤
- 创建安全标签构件(Security Label Components)
- 创建安全策略(Security Policy)
- 创建安全标签(Security Label)
- 将安全策略应用于数据表
- 将安全标签授予用户
- 插入数据
- 将豁免权(exemption)授予用户
- 进行DML操作
LBAC使用步骤实例
-
创建安全标签构件(Security Label Components)
-
create security label component level array['secret','confidential','public'];
-
create security label component department set{ 'marking','product development','quality assurance'};
-
create security label component region tree('entire region'root,'east' under 'entire region','west' under 'entire region');
-
-
创建安全策略(Security Policy)
-
create security policy test1 components level
-