行安全策略

注意事项

• 行安全策略对高权限账号、拥有BYPASSRLS属性的账号不生效。

• 使用ENABLE的方式开启行安全策略时，行安全策略对表的拥有者不生效。如需对表的拥有者进行限制，需使用ALTER TABLE ... FORCE ROW LEVEL SECURITY语句。

• 当表上同时存在多个行安全策略时，多个策略会同时生效。例如A策略只允许返回1和2行，B策略只允许返回4行，查询时会同时返回1、2和4行。

行安全策略参数

行安全策略的参数及说明具体信息，请参见行安全策略官方文档和创建策略官方文档。

配置表的行安全策略

1. 使用客户端工具连接数据库。

2. 创建一张测试表logtest，并插入测试数据。

   CREATE TABLE logtest (
        id serial primary key,
        username text,
        log_event text);
   
   INSERT INTO logtest VALUES (1,'report','DELETE issued'),
                              (2,'messaging', 'Message queue purged'),
                              (3,'messaging','Reset accounts'),
                              (4,'report', 'Reset accounts');

3. 创建两个普通账号report和messaging，并授予表logtest的SELECT权限。

   CREATE ROLE report WITH LOGIN ENCRYPTED PASSWORD '111111';
   CREATE ROLE messaging WITH LOGIN ENCRYPTED PASSWORD '111111';
   
   GRANT SELECT ON logtest TO report;
   GRANT SELECT ON logtest TO messaging;

4. 创建一个行安全策略，限制用户只能看到表中username列中与当前数据库账号名一致的行。

   CREATE POLICY policy_user_log ON logtest
      FOR ALL
      TO PUBLIC
      USING (username = current_user);

5. 在表logtest中开启行安全策略。开启后，该表的所有行安全策略都将生效。

   ALTER TABLE logtest ENABLE ROW LEVEL SECURITY;

   重要

   • 通过上述方法开启行安全策略不会对表的拥有者生效，如果想要对表的拥有者也生效，需使用ALTER TABLE ... FORCE ROW LEVEL SECURITY语句。

   • 同一张表可以定义多条行安全策略。

6. 分别使用普通账号和高权限账号查询表logtest。

   • 使用账号report查询表logtest。

     SELECT * FROM logtest;

     返回信息中只返回了username列为report的行。

     id| username | log_event
     --+----------+--------------
     1 | report   | DELETE issued
     4 | report   | Reset accounts
     (2 rows)

   • 使用账号messaging查询表logtest。

     SELECT * FROM logtest;

     返回信息中只返回了username列为messaging的行。

     id| username  | log_event
     --+-----------+---------------------
     2 | messaging | Message queue purged
     3 | messaging | Reset accounts
     (2 rows)

   • 使用高权限账号查询表logtest。

     SELECT * FROM logtest;

     返回信息返回了所有行。

     id| username  | log_event
     --+-----------+---------------------
     1 | report    | DELETE issued
     2 | messaging | Message queue purged
     3 | messaging | Reset accounts
     4 | report    | Reset accounts
     (4 rows)

7. 再添加一个行安全策略，仅返回id列为偶数的行。

    CREATE POLICY policy_even_ids_only ON logtest
      FOR ALL
      TO PUBLIC
      USING (id % 2 = 0);

8. 使用账号report查询表logtest。

   SELECT * FROM logtest;

   返回信息中不仅返回了id列为偶数的列，还返回了username列为report的列。

   id| username  | log_event
   --+-----------+---------------------
   1 | report    | DELETE issued
   2 | messaging | Message queue purged
   4 | report    | Reset accounts
   (3 rows)

行安全策略透传视图

前提条件

• 本功能仅支持云原生数据仓库 AnalyticDB PostgreSQL 版实例V7.0.6.0及以上版本。

• 声明为security_invoker的视图内部的所有查询将以调用者的权限执行，因此调用者需要具备视图内部涉及到的全部内容的SELECT权限。

功能介绍

用户可能会有对基表建立视图的需求，但在基表上的行安全策略对普通账号不会生效。您需要创建安全视图，安全视图会继承基表的行安全策略。

创建安全视图

如果要将行安全策略透传到视图，必须在创建视图时指定选项security_invoker，以提高数据安全性。当启用security_invoker时，意味着视图内部的所有查询将以调用者的权限而非视图定义者的权限来执行。

CREATE VIEW v1 WITH (security_invoker) AS SELECT * FROM logtest;

修改视图的行安全策略

您可以修改已有视图的行安全策略，开启或关闭行安全策略。

-- 开启行安全策略
ALTER VIEW v1 SET (security_invoker = on);

-- 关闭行安全策略
ALTER VIEW v1 SET (security_invoker = off);

查询安全视图

开启行安全策略后，再使用账号report查询视图v1。

SELECT * FROM v1;

基表logtest上的行级权限已经生效。

id| username  | log_event
--+-----------+---------------------
1 | report    | DELETE issued
2 | messaging | Message queue purged
4 | report    | Reset accounts
(3 rows)