Sécurité des métadonnées

À l’instar de la sécurité au niveau des lignes d’Amazon Redshift, la sécurité des métadonnées vous permet de contrôler plus précisément vos métadonnées. Si la sécurité des métadonnées est activée pour votre cluster provisionné ou votre groupe de travail sans serveur, les utilisateurs peuvent consulter les métadonnées des objets auxquels ils ont accès. La sécurité des métadonnées permet de séparer la visibilité en fonction des besoins. Par exemple, vous pouvez utiliser un seul entrepôt des données pour centraliser l’ensemble de votre stockage de données. Toutefois, si vous stockez des données pour plusieurs secteurs, la gestion de la sécurité peut s’avérer difficile. Lorsque la sécurité des métadonnées est activée, vous pouvez configurer la visibilité. Les utilisateurs d’un secteur peuvent avoir une meilleure visibilité sur leurs objets, tandis que vous limitez l’accès à l’affichage pour les utilisateurs d’un autre secteur. La sécurité des métadonnées prend en charge tous les types d’objets, comme les schémas, les tables, les vues, les vues matérialisées, les procédures stockées, les fonctions définies par l’utilisateur et les modèles de machine learning.

Les utilisateurs peuvent consulter les métadonnées des objets dans les circonstances suivantes :

Si l’accès aux objets est accordé à l’utilisateur.
Si l’accès aux objets est accordé à un groupe ou à un rôle dont l’utilisateur fait partie.
Si l’objet est public.
Si l’utilisateur est le propriétaire de l’objet de base de données.

Pour activer la sécurité des métadonnées, utilisez la ALTERSYSTEMcommande. Voici la syntaxe d'utilisation de la ALTER SYSTEM commande avec la sécurité des métadonnées.


ALTER SYSTEM SET metadata_security=[true|t|on|false|f|off];

Lorsque vous activez la sécurité des métadonnées, tous les utilisateurs disposant des autorisations nécessaires peuvent voir les métadonnées pertinentes des objets auxquels ils ont accès. Si vous souhaitez que seuls certains utilisateurs puissent accéder à la sécurité des métadonnées, accordez l’autorisation ACCESS CATALOG à un rôle, puis attribuez le rôle à l’utilisateur. Pour plus d’informations sur l’utilisation des rôles pour mieux contrôler la sécurité, consultez Contrôle d’accès basé sur les rôles.

L’exemple suivant montre comment accorder l’autorisation ACCESS CATALOG à un rôle, puis comment attribuer le rôle à un utilisateur. Pour plus d'informations sur l'octroi d'autorisations, consultez la GRANTcommande.


CREATE ROLE sample_metadata_viewer;

GRANT ACCESS CATALOG TO ROLE sample_metadata_viewer;

GRANT ROLE sample_metadata_viewer to salesadmin;

Si vous préférez utiliser des rôles déjà définis, les rôles définis par le système operator, secadmin, dba et superuser disposent tous des autorisations nécessaires pour afficher les métadonnées des objets. Par défaut, les super-utilisateurs peuvent consulter le catalogue complet.


GRANT ROLE operator to sample_user;

Si vous utilisez des rôles pour contrôler la sécurité des métadonnées, vous avez accès à toutes les vues et fonctions du système associées au contrôle d’accès basé sur les rôles. Par exemple, vous pouvez interroger la ROLES vue SVV_ pour voir tous les rôles. Pour savoir si un utilisateur est membre d'un rôle ou d'un groupe, utilisez la fonction USER_IS_ MEMBER _OF. Pour obtenir la liste complète des SVV vues, consultez la section Vues SVV des métadonnées. Pour obtenir la liste des fonctions relatives aux informations système, consultez Fonctions d’informations système.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création, attachement, détachement et suppression de politiques RLS

Masquage dynamique des données