Propriedade e gerenciamento da política de RLS
Como superusuário, administrador de segurança ou usuário que tem a função sys:secadmin, é possível criar, modificar ou gerenciar todas as políticas de RLS para tabelas. No nível do objeto, é possível ativar ou desativar a segurança no nível da linha sem modificar a definição do esquema para tabelas.
Para começar a usar a segurança no nível da linha, a seguir estão as instruções SQL que é possível usar:
Use a instrução ALTER TABLE para ativar ou desativar o RLS em uma tabela. Para obter mais informações, consulte ALTER TABLE.
Use a instrução CREATE RLS POLICY para criar uma política de segurança para uma ou mais tabelas e especificar um ou mais usuários ou funções na política.
Para ter mais informações, consulte CREATE RLS POLICY.
Use a instrução ALTER RLS POLICY para alterar a política, como alterar a definição da política. Você pode usar a mesma política para várias tabelas ou visões.
Para ter mais informações, consulte ALTER RLS POLICY.
Use a instrução ATTACH RLS POLICY para anexar uma política a uma ou mais relações, a um ou mais usuários ou a funções.
Para ter mais informações, consulte ATTACH RLS POLICY.
Use a declaração DETACH RLS POLICY para desanexar uma política de uma ou mais relações, de um ou mais usuários ou de perfis.
Para ter mais informações, consulte DETACH RLS POLICY.
Use a instrução DROP RLS POLICY para descartar uma política.
Para obter mais informações, consulte DROP RLS POLICY.
Use as instruções GRANT e REVOKE para conceder e revogar explicitamente permissões SELECT para políticas de RLS que fazem referência a tabelas de pesquisa. Para ter mais informações, consulte GRANT e REVOKE.
Para monitorar as políticas criadas, sys:secadmin pode visualizar SVV_RLS_POLICY e SVV_RLS_ATTACHED_POLICY.
Para listar relações protegidas por RLS, sys:secadmin pode visualizar SVV_RLS_RELATION.
Para monitorar a aplicação de políticas de RLS em consultas que fazem referência a relações protegidas por RLS, um superusuário sys:operator ou qualquer usuário com a permissão do sistema ACCESS SYSTEM TABLE pode visualizar SVV_RLS_APPLIED_POLICY. Observe que sys:secadmin não recebe essas permissões por padrão.
Para consultar tabelas com políticas RLS anexadas, mas não vê-las, é possível conceder a permissão IGNORAR RLS a qualquer usuário. Os usuários que são superusuários ou sys:secadmin recebem automaticamente a permissão IGNORE RLS. Para obter mais informações, consulte GRANT.
Para explicar os filtros de política de RLS de uma consulta no plano EXPLAIN para solucionar problemas de consultas relacionadas à RLS, é possível conceder a permissão EXPLAIN RLS a qualquer usuário. Para ter mais informações, consulte GRANT e EXPLAIN.