Aurora PostgreSQL での動的マスキングの使用
動的データマスキングは、クエリ時にデータがどのようにユーザーに表示されるかを制御することで、Aurora PostgreSQL データベース内の機密データを保護するセキュリティ機能です。Aurora は、pg_columnmask 拡張機能を通じて実装します。pg_columnmask は、PostgreSQL のネイティブな行レベルセキュリティときめ細かなアクセスコントロールメカニズムを補完する列レベルのデータ保護を提供します。
pg_columnmask では、ユーザーロールに基づいてデータの可視性を決定するマスキングポリシーを作成します。ユーザーがマスキングポリシーを使用してテーブルをクエリする場合、Aurora PostgreSQL はユーザーのロールとポリシーの重みに基づいて、クエリ時に適切なマスキング関数を適用します。基盤となるデータはストレージ内で変更されずに残ります。
pg_columnmask は、次の機能をサポートしています。
-
組み込みおよびカスタムマスキング関数 – E メールやテキストのマスキングなどの一般的なパターンに構築済みの関数を使用するか、独自のカスタム関数を作成して SQL ベースのマスキングポリシーを通じて機密データ (PII) を保護します。
-
複数のマスキング戦略 – 情報を完全に非表示にしたり、部分的な値をワイルドカードに置き換えたり、カスタムマスキングアプローチを定義したりできます。
-
ポリシーの優先順位付け – 1 つの列に複数のポリシーを定義します。重みを使用して、列に複数のポリシーが適用されるときに使用するマスキングポリシーを決定します。Aurora PostgreSQL は、重みとユーザーロールメンバーシップに基づいてポリシーを適用します。
pg_columnmask は、Aurora PostgreSQL バージョン 16.10 以降、およびバージョン 17.6 以降で使用できます。追加料金なしで利用できます。
