Control de acceso detallado - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso detallado

La implementación de controles de autorización que funcionen dentro de una tabla a nivel de fila o columna requiere un control de acceso detallado (FGAC). Con el FGAC, los administradores de seguridad o de bases de datos pueden configurar la seguridad para controlar el conjunto de resultados que ven las distintas personas de la organización cuando ejecutan una sentencia SQL seleccionada para una tabla, independientemente de los privilegios que tengan en las tablas de la base de datos.

Existen dos formas de FGAC:

  • Control de acceso basado en etiquetas (LBAC): el LBAC es una implementación del control de acceso obligatorio (MAC) en el que a los usuarios y a los propios datos se les asigna explícitamente un valor de etiqueta de seguridad. La intersección entre la etiqueta de seguridad del usuario y la etiqueta de seguridad de los datos determina qué filas y columnas puede ver el usuario. La definición de las etiquetas de seguridad debe estar clara antes de implementarlas. Una vez establecidas las etiquetas de seguridad, es muy difícil modificarlas.

  • Control de acceso por filas y columnas (RCAC): el RCAC se basa en el uso de expresiones SQL básicas y flexibles que tienen reglas de acceso definidas. El RCAC consta de permisos de fila y máscaras de columnas. Los permisos de fila se implementan mediante una expresión de búsqueda SQL que describe el conjunto de filas a las que se puede acceder. Las máscaras de columnas se implementan mediante CASE expresiones SQL que describen qué valores de columna se pueden ver en función de las condiciones especificadas para cada columna.