将动态掩蔽与 Aurora PostgreSQL 结合使用
动态数据掩蔽是一项安全功能,可通过控制数据在查询时向用户显示的方式来保护 Aurora PostgreSQL 数据库中的敏感数据。Aurora 通过 pg_columnmask 扩展实现此项功能。pg_columnmask 提供列级别数据保护,以便为 PostgreSQL 的原生行级安全性和精细访问控制机制提供补充。
使用 pg_columnmask,您可以创建掩蔽策略,以便根据用户角色确定数据可见性。当用户使用掩蔽策略查询表时,Aurora PostgreSQL 会在查询时根据用户的角色和策略权重来应用相应的掩蔽函数。底层数据在存储中保持不变。
pg_columnmask 支持以下功能:
-
内置和自定义掩蔽函数:使用预先构建的函数来处理电子邮件和文本掩蔽等常见模式,或者创建自己的自定义函数,以通过基于 SQL 的掩蔽策略保护敏感数据(PII)。
-
多种掩蔽策略:完全隐藏信息、用通配符替换部分值或定义自定义掩蔽方法。
-
策略优先级:为单个列定义多个策略。使用权重来确定当多个策略应用于某个列时,应使用哪个掩蔽策略。Aurora PostgreSQL 根据权重和用户角色成员资格应用策略。
pg_columnmask 在 Aurora PostgreSQL 版本 16.10 及更高版本以及版本 17.6 及更高版本上可用。它不会产生额外的成本。
