开发者社区> 德哥> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

EnterpriseDB & PostgreSQL RLS & Oracle VPD

简介: PostgreSQL 9.5的RLS用法请参照http://blog.163.com/digoal@126/blog/static/16387704020153984016177/EnterpriseDB的RLS用法略有差别,因为EDB主要为Oracle兼容性做了很多适配,用法和Oracle的VP.
+关注继续查看

PostgreSQL 9.5的RLS用法请参照
http://blog.163.com/digoal@126/blog/static/16387704020153984016177/
EnterpriseDB的RLS用法略有差别,因为EDB主要为Oracle兼容性做了很多适配,用法和Oracle的VPD用法相似,调用DBMS_RLS.add_policy来实现RLS。
详细的用法参照:
http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
例子:

postgres=> create table test(id int, info text, rol name);  

创建一个策略,只允许用户操作(select,update,delete,insert) rol=当前用户名的记录。
首先要创建一个函数,函数的参数类型和返回值类型必须使用这种格式。
代表行安全策略要在哪个schema.object对象上应用,以及应用时添加的条件。
函数返回值就是添加的条件。
例如'rol='||current_user这个会作为附加条件,判断记录是否匹配这个条件。

postgres=> create or replace function f(p_schema text, p_obj text) returns text as 
$$
  
declare                                           
begin                         
  return 'rol=$_$'||current_user||'$_$';  
end;                                

$$
 language plpgsql;  
CREATE FUNCTION  

创建策略(需超级用户):

postgres=> select                        
dbms_rls.add_policy (object_schema => 'public'::text      
,object_name => 'test'::text      
,policy_name => 'policy1'::text             
,function_schema => 'public'::text  
,STATEMENT_TYPES => 'SELECT, INSERT, UPDATE, DELETE'::text  
,POLICY_FUNCTION => 'f'::text, update_check=>'true');   
 rds_add_policy   
----------------  
   
(1 row)  

验证策略是否生效

postgres=> select current_user;  
 current_user   
--------------  
 digoal  
(1 row)  

当前用户为digoal,只能插入rol='digoal'的记录

postgres=> insert into test values (1,'test','digoal');  
INSERT 16426 1  
postgres=> insert into test values (1,'test','A');  
ERROR:  policy with check option violation  
DETAIL:  Policy predicate was evaluated to FALSE with the updated values  

更换一个名为test的用户测试:

postgres=> insert into test values (1,'test','a');  
ERROR:  policy with check option violation  
DETAIL:  Policy predicate was evaluated to FALSE with the updated values  
postgres=> insert into test values (1,'test','test');  
INSERT 16428 1  
postgres=> select current_user;  
 current_user   
--------------  
 test  
(1 row)  
postgres=> update test set id=1;  
UPDATE 1  
postgres=> update test set id=1 returning *;  
 id | info | rol    
----+------+------  
  1 | test | test  
(1 row)  
UPDATE 1  

这样做到了数据的隔离。

查看已有的策略:

postgres=# select * from dba_policies ;  
 object_owner | schema_name | object_name | policy_group |    policy_name     | pf_owner | package | function | sel | ins | upd | del | idx | chk_option | enable | static_policy | policy_type | long_predicate   
--------------+-------------+-------------+--------------+--------------------+----------+---------+----------+-----+-----+-----+-----+-----+------------+--------+---------------+-------------+----------------  
 digoal       | public      | test        |              | policy1            | public   |         | f        | YES | YES | YES | YES | NO  | YES        | YES    | NO            | UNKNOWN     | YES  
  

禁用,生效策略

postgres=# select dbms_rls.enable_policy('public','test','policy1',false);  -- 禁用  
postgres=# select dbms_rls.enable_policy('public','test','policy1',true);  -- 生效  

删除策略

postgres=# select dbms_rls.drop_policy('public','test','policy1');  
-[ RECORD 1 ]-  
drop_policy |   

注意EDB的策略只能针对所有用户,不能像PG那样只对某些用户创建策略。
如果要让EDB的策略有针对性,可以在函数中加上角色判断,对不同的角色使用不同的返回值来控制策略的多样性。
例如

switch current_user  
  when 'digoal' then return '.....';  
  when '..' then return '...';  
等。  

策略还有一个需要注意的地方,静态和动态。通过add_policy的参数控制,默认是动态。
静态策略指会话中第一次触发策略时,编译成静态的,以后直接使用内存中缓存的策略。
动态策略指每次都重新调用。例如使用current_user这种变量作为return值中的一部分,就需要使用动态策略。

权限问题:
dbms_rls包需要超级用户才能执行,如果需要给普通用户执行权限,可以通过封装,或者将函数的执行权限给普通用户。
例如:

create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as 
$$
           
declare  
begin  
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);  
end;  

$$
 language plpgsql;  
  
grant execute on function your_add_policy( text ,  text,  text,  text ,  text,  text ,  boolean ,  boolean ,  boolean ,  integer ,  boolean ,  text ,  integer ) to public;  

给普通用户操作add_policy的风险:
对超级用户创建的表,普通用户也能通过add_policy来控制安全策略,这个控制结果有点越权的感觉。
例如用户创建一个函数如下:

create or replace function f2(name,name) returns text as 
$$
  
declare  
begin  
return 'false';  
end;  

$$
 language plpgsql;  

然后把这个函数作为策略函数,在一个超级用户创建的表上创建策略,超级用户对这个表的内容就会变成完全不可见状态。
是非常危险的。不过还好对系统表不起作用,否则问题更严重。

安全加固方法:
在封装函数中过滤需要过滤的表,对这些表不允许创建policy:

create or replace function your_add_policy(object_schema text DEFAULT NULL::text, object_name text, policy_name text, function_schema text DEFAULT NULL::text, policy_function text, statement_types text DEFAULT 'insert,update,delete,select'::text, update_check boolean DEFAULT false, enable boolean DEFAULT true, static_policy boolean DEFAULT false, policy_type integer DEFAULT NULL::integer, long_predicate boolean DEFAULT false, sec_relevant_cols text DEFAULT NULL::text, sec_relevant_cols_opt integer DEFAULT NULL::integer) returns void as 
$$
         
declare
filter_name text[];
begin
filter_name = array['public.tbl1'];  -- 过滤这个表
perform 1 where object_schema||'.'||object_name = any(filter_name);
if not found then
perform dbms_rls.add_policy(object_schema , object_name , policy_name , function_schema , policy_function , statement_types , update_check , enable , static_policy , policy_type , long_predicate , sec_relevant_cols , sec_relevant_cols_opt);
end if;
end;

$$
 language plpgsql security definer;

grant execute on function your_add_policy( text ,  text,  text,  text ,  text,  text ,  boolean ,  boolean ,  boolean ,  integer ,  boolean ,  text ,  integer ) to public;

用户再次使用your_add_policy添加策略时,对public.tbl1不起作用。

[参考]

  1. http://blog.163.com/digoal@126/blog/static/16387704020153984016177/
  2. http://www.enterprisedb.com/docs/en/9.5/oracompat/Database_Compatibility_for_Oracle_Developers_Guide.1.201.html#pID0E0D5J0HA
  3. http://www.postgresql.org/docs/9.5/static/sql-createpolicy.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【学习视频】第6期2019-Oracle迁移到PostgreSQL - 适合DBA与业务开发者
大家好,这里是《PG干O,仁心所象 - 去O实战培训》 公益活动纪录 - 《PG开发者指南、去O、管理与优化实践》
116 0
回顾 | 阿里云新品发布会第92期:云服务器ECS内存增强型实例re6全新发布(含 PPT 下载)
简介: 5 月 7 日,阿里云举办了第92期新品发布会,全新发布了云服务器ECS内存增强型实例re6。本文是此次会议的第一部分《云服务器ECS内存增强型实例re6全新发布》的视频内容回顾,并提供资料下载,希望能够对大家有所帮助~
3058 0
回顾 | 阿里云新品发布会第92期:云服务器ECS内存增强型实例re6全新发布(含 PPT 下载)
5 月 7 日,阿里云举办了第92期新品发布会,全新发布了云服务器ECS内存增强型实例re6。本文是此次会议的第一部分《云服务器ECS内存增强型实例re6全新发布》的视频内容回顾,并提供资料下载,希望能够对大家有所帮助~
663 0
消息系统端到端Exactly-Once支持
消息系统对于消息的写入和消费提供多种模式,如 at-most-once,at-least-once 和 exactly-once,本文探讨如何在一个消息提供中高效支持exactly-once的写入和消费
1349 0
These critical programs are missing or too old: as ld
configure 时出现以下错误: checking for autoconf... no configure: error: *** These critical programs are missing or too old: as ld *** Check the INSTALL file for required versions.
1510 0
+关注
德哥
公益是一辈子的事, I'm digoal, just do it.
2153
文章
245
问答
来源圈子
更多
让用户数据永远在线,让数据无缝的自由流动
+ 订阅
相关文档: 云数据库 OceanBase 版 可信账本数据库 云原生关系型数据库 PolarDB PostgreSQL引擎
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载