Sicherheit von Metadaten - Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit von Metadaten

Wie die Sicherheit von Amazon Redshift auf Zeilenebene bietet Ihnen die Metadatensicherheit eine genauere Kontrolle über Ihre Metadaten. Wenn die Metadatensicherheit für Ihren bereitgestellten Cluster oder Ihre Serverless-Arbeitsgruppe aktiviert ist, können Benutzer Metadaten für die Objekte sehen, für die sie Anzeigezugriff haben. Mithilfe der Metadatensicherheit können Sie die Sichtbarkeit nach Ihren Bedürfnissen trennen. Sie können beispielsweise ein einziges Data Warehouse verwenden, um Ihren gesamten Datenspeicher zu zentralisieren. Wenn Sie jedoch Daten für mehrere Sektoren speichern, kann die Verwaltung der Sicherheit schwierig werden. Wenn die Metadatensicherheit aktiviert ist, können Sie Ihre Sichtbarkeit konfigurieren. Benutzer eines Sektors können ihre Objekte besser einsehen, während Sie den Anzeigezugriff auf Benutzer eines anderen Sektors einschränken. Die Metadatensicherheit unterstützt alle Objekttypen, wie z. B. Schemata, Tabellen, Ansichten, materialisierte Ansichten, gespeicherte Prozeduren, benutzerdefinierte Funktionen und Machine-Learning-Modelle.

Benutzer können Metadaten von Objekten unter den folgenden Umständen sehen:

  • Wenn dem Benutzer Objektzugriff gewährt wurde.

  • Wenn Objektzugriff einer Gruppe oder Rolle gewährt wurde, zu der der Benutzer gehört.

  • Das Objekt ist öffentlich.

  • Der Benutzer ist der Eigentümer des Datenbankobjekts.

Verwenden Sie den Befehl, um die Metadatensicherheit zu aktivieren. ALTERSYSTEM Im Folgenden finden Sie die Syntax zur Verwendung des ALTER SYSTEM Befehls mit Metadatensicherheit.

ALTER SYSTEM SET metadata_security=[true|t|on|false|f|off];

Wenn Sie die Metadatensicherheit aktivieren, können alle Benutzer, die über die erforderlichen Berechtigungen verfügen, die relevanten Metadaten der Objekte sehen, auf die sie Zugriff haben. Wenn Sie möchten, dass nur bestimmte Benutzer die Metadatensicherheit sehen können, gewähren Sie einer Rolle die ACCESS CATALOG-Berechtigung und weisen Sie die Rolle dann dem Benutzer zu. Weitere Informationen zur Verwendung von Rollen zur besseren Kontrolle der Sicherheit finden Sie unter Rollenbasierte Zugriffskontrolle.

Das folgende Beispiel zeigt, wie Sie einer Rolle die ACCESS CATALOG-Berechtigung gewähren und die Rolle dann einem Benutzer zuweisen. Weitere Informationen zum Erteilen von Berechtigungen finden Sie im GRANTBefehl.

CREATE ROLE sample_metadata_viewer;

GRANT ACCESS CATALOG TO ROLE sample_metadata_viewer;

GRANT ROLE sample_metadata_viewer to salesadmin;

Wenn Sie es vorziehen, bereits definierte Rollen zu verwenden, verfügen die systemdefinierten Rollen operator, secadmin, dba und superuser alle über die erforderlichen Berechtigungen zum Anzeigen von Objektmetadaten. Standardmäßig können Superuser den vollständigen Katalog sehen.

GRANT ROLE operator to sample_user;

Wenn Sie Rollen zur Steuerung der Metadatensicherheit verwenden, haben Sie Zugriff auf alle Systemansichten und Funktionen, die mit der rollenbasierten Zugriffskontrolle einhergehen. Sie können beispielsweise die ROLES Ansicht SVV_ abfragen, um alle Rollen zu sehen. Um zu sehen, ob ein Benutzer Mitglied einer Rolle oder Gruppe ist, verwenden Sie die Funktion USER_IS_ MEMBER _OF. Eine vollständige Liste der SVV Ansichten finden Sie unter SVV Metadatenansichten. Eine Liste der Systeminformationsfunktionen finden Sie unter Systeminformationsfunktionen.