Propriedade e gerenciamento da política de RLS - Amazon Redshift

Propriedade e gerenciamento da política de RLS

Como superusuário, administrador de segurança ou usuário que tem a função sys:secadmin, é possível criar, modificar ou gerenciar todas as políticas de RLS para tabelas. No nível do objeto, é possível ativar ou desativar a segurança no nível da linha sem modificar a definição do esquema para tabelas.

Para começar a usar a segurança no nível da linha, a seguir estão as instruções SQL que é possível usar:

  • Use a instrução ALTER TABLE para ativar ou desativar o RLS em uma tabela. Para obter mais informações, consulte ALTER TABLE.

  • Use a instrução CREATE RLS POLICY para criar uma política de segurança para uma ou mais tabelas e especificar um ou mais usuários ou funções na política.

    Para ter mais informações, consulte CREATE RLS POLICY.

  • Use a instrução ALTER RLS POLICY para alterar a política, como alterar a definição da política. Você pode usar a mesma política para várias tabelas ou visões.

    Para ter mais informações, consulte ALTER RLS POLICY.

  • Use a instrução ATTACH RLS POLICY para anexar uma política a uma ou mais relações, a um ou mais usuários ou a funções.

    Para ter mais informações, consulte ATTACH RLS POLICY.

  • Use a declaração DETACH RLS POLICY para desanexar uma política de uma ou mais relações, de um ou mais usuários ou de perfis.

    Para ter mais informações, consulte DETACH RLS POLICY.

  • Use a instrução DROP RLS POLICY para descartar uma política.

    Para obter mais informações, consulte DROP RLS POLICY.

  • Use as instruções GRANT e REVOKE para conceder e revogar explicitamente permissões SELECT para políticas de RLS que fazem referência a tabelas de pesquisa. Para ter mais informações, consulte GRANT e REVOKE.

Para monitorar as políticas criadas, sys:secadmin pode visualizar SVV_RLS_POLICY e SVV_RLS_ATTACHED_POLICY.

Para listar relações protegidas por RLS, sys:secadmin pode visualizar SVV_RLS_RELATION.

Para monitorar a aplicação de políticas de RLS em consultas que fazem referência a relações protegidas por RLS, um superusuário sys:operator ou qualquer usuário com a permissão do sistema ACCESS SYSTEM TABLE pode visualizar SVV_RLS_APPLIED_POLICY. Observe que sys:secadmin não recebe essas permissões por padrão.

Para consultar tabelas com políticas RLS anexadas, mas não vê-las, é possível conceder a permissão IGNORAR RLS a qualquer usuário. Os usuários que são superusuários ou sys:secadmin recebem automaticamente a permissão IGNORE RLS. Para obter mais informações, consulte GRANT.

Para explicar os filtros de política de RLS de uma consulta no plano EXPLAIN para solucionar problemas de consultas relacionadas à RLS, é possível conceder a permissão EXPLAIN RLS a qualquer usuário. Para ter mais informações, consulte GRANT e EXPLAIN.