Propiedad y administración de la política de RLS - Amazon Redshift

Propiedad y administración de la política de RLS

Como superusuario, administrador de seguridad o usuario que tiene el rol sys:secadmin, puede crear, modificar o administrar todas las políticas de RLS de las tablas. En el objeto, puede activar o desactivar la seguridad de la fila sin modificar la definición de esquema de las tablas.

Para comenzar con la seguridad de la fila, a continuación se indican las instrucciones SQL que puede utilizar:

  • La instrucción ALTER TABLE se utiliza para activar o desactivar la RLS en una tabla. Para obtener más información, consulte ALTER TABLE.

  • La instrucción CREATE RLS POLICY se utiliza para crear una política de seguridad para una o más tablas y especificar uno o más usuarios o roles en la política.

    Para obtener más información, consulte CREATE RLS POLICY.

  • Utilice la instrucción ALTER RLS POLICY para modificar la política, por ejemplo, cambiar la definición de la política. Puede utilizar la misma política para varias tablas o vistas.

    Para obtener más información, consulte ALTER RLS POLICY.

  • La instrucción ATTACH RLS POLICY se utiliza para adjuntar una política a una o más relaciones, a uno o más usuarios, o a roles.

    Para obtener más información, consulte ATTACH RLS POLICY.

  • La instrucción DETACH RLS POLICY se utiliza para desconectar una política de una o más relaciones, de uno o más usuarios o de roles.

    Para obtener más información, consulte DETACH RLS POLICY.

  • La instrucción DROP RLS POLICY se utiliza para eliminar una política.

    Para obtener más información, consulte DROP RLS POLICY.

  • Las instrucciones GRANT y REVOKE se utilizan para conceder y revocar de manera explícita permisos SELECT a las políticas de RLS que hacen referencia a tablas de búsqueda. Para obtener más información, consulte GRANT y REVOKE.

Para supervisar las políticas creadas, sys:secadmin puede ver la SVV_RLS_POLICY y la SVV_RLS_ATTACHED_POLICY.

El rol sys:secadmin puede ver SVV_RLS_RELATION para enumerar las relaciones protegidas por RLS.

Para rastrear la aplicación de políticas de RLS en consultas que hacen referencia a relaciones protegidas por RLS, un superusuario, sys:operator, o cualquier usuario con el permiso del sistema ACCESS SYSTEM TABLE puede ver la SVV_RLS_APPLIED_POLICY. Tenga en cuenta que no se concede estos permisos a sys:secadmin de forma predeterminada.

Para consultar tablas con políticas de RLS adjuntas, pero no verlas, puede conceder el permiso IGNORE RLS a cualquier usuario. A los usuarios que son superusuarios o sys:secadmin, se les concede automáticamente el permiso IGNORE RLS. Para obtener más información, consulte GRANT.

Para explicar los filtros de política de RLS de una consulta en el plan EXPLAIN a fin de solucionar problemas de consultas relacionadas con RLS, puede conceder el permiso EXPLAIN RLS a cualquier usuario. Para obtener más información, consulte GRANT y EXPLAIN.