RLSEigenverantwortung und Verwaltung von Richtlinien - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

RLSEigenverantwortung und Verwaltung von Richtlinien

Als Superuser, Sicherheitsadministrator oder Benutzer mit der Rolle sys:secadmin können Sie alle RLS Richtlinien für Tabellen erstellen, ändern oder verwalten. Auf Objektebene können Sie die Sicherheit auf Zeilenebene ein- oder ausschalten, ohne die Schemadefinition für Tabellen zu ändern.

Um mit der Sicherheit auf Zeilenebene zu beginnen, können Sie die folgenden Anweisungen verwenden: SQL

  • Verwenden Sie die ALTER TABLE Anweisung, um eine Tabelle ein- oder RLS auszuschalten. Weitere Informationen finden Sie unter ALTER TABLE.

  • Verwenden Sie die CREATE RLS POLICY Anweisung, um eine Sicherheitsrichtlinie für eine oder mehrere Tabellen zu erstellen, und geben Sie einen oder mehrere Benutzer oder Rollen in der Richtlinie an.

    Weitere Informationen finden Sie unter CREATE RLS POLICY.

  • Verwenden Sie die ALTER RLS POLICY Anweisung, um die Richtlinie zu ändern, z. B. um die Richtliniendefinition zu ändern. Sie können dieselbe Richtlinie für mehrere Tabellen oder Ansichten verwenden.

    Weitere Informationen finden Sie unter ALTER RLS POLICY.

  • Verwenden Sie die ATTACH RLS POLICY Anweisung, um eine Richtlinie an eine oder mehrere Beziehungen, an einen oder mehrere Benutzer oder an Rollen anzuhängen.

    Weitere Informationen finden Sie unter ATTACH RLS POLICY .

  • Verwenden Sie die DETACH RLS POLICY Anweisung, um eine Richtlinie von einer oder mehreren Beziehungen, von einem oder mehreren Benutzern oder von Rollen zu trennen.

    Weitere Informationen finden Sie unter DETACH RLS POLICY .

  • Verwenden Sie die DROP RLS POLICY Anweisung, um eine Richtlinie zu löschen.

    Weitere Informationen finden Sie unter DROP RLS POLICY .

  • Verwenden Sie die REVOKE Anweisungen GRANT und, um RLS Richtlinien, die auf Nachschlagetabellen verweisen, explizit SELECT Berechtigungen zu gewähren oder zu entziehen. Weitere Informationen erhalten Sie unter GRANT und REVOKE.

Um die erstellten Richtlinien zu überwachen, kann sys:secadmin die SVV_RLS_POLICY und SVV_RLS_ATTACHED_POLICY anzeigen.

Um RLS -geschützte Beziehungen aufzulisten, kann sys:secadmin _ _ anzeigen. SVV RLS RELATION

Um nachzuverfolgen, wie RLS Richtlinien auf Abfragen angewendet wurden, die auf RLS -geschützte Beziehungen verweisen, kann dies ein Superuser, sys:operator oder ein beliebiger Benutzer mit Systemberechtigungen einsehen. ACCESS SYSTEM TABLE SVV_RLS_APPLIED_POLICY Beachten Sie, dass sys:secadmin diese Berechtigungen standardmäßig nicht gewährt werden.

Um Tabellen mit angehängten RLS Richtlinien abzufragen, sie aber nicht zu sehen, können Sie jedem Benutzer die entsprechende Berechtigung IGNORE RLS erteilen. Benutzern, die Superuser oder sys:secadmin sind, wird die Berechtigung automatisch erteilt. IGNORE RLS Weitere Informationen finden Sie unter GRANT.

Um die RLS Richtlinienfilter einer Abfrage im EXPLAIN Plan zur Behebung RLS verwandter Abfragen zu erläutern, können Sie die Berechtigung EXPLAIN RLS jedem Benutzer erteilen. Weitere Informationen erhalten Sie unter GRANT und EXPLAIN.