检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问控制 资源访问控制(IAM权限控制) 数据库访问实现权限分层 GRANT授权和REVOKE撤销授权 行级访问控制 父主题: 安全
能看到所有,以行级进行数据访问控制,对此GaussDB(DWS)行级访问控制特性实现了这一功能。将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Sec
切换至“快照”页签,再单击二级页签中的“策略列表”。在“策略列表”页面,会展示当前集群所有的策略(包括默认的自动快照策略)。 (可选)单击“自动快照”开关,开启自动快照策略。 表示开启自动创建快照策略,默认为开启状态,保留天数默认为7天。 表示关闭自动创建快照策略,关闭后设置的快照策略不会触发自动快照。
ment(策略权限语句),其中Statement可以有多个,表示不同的授权项。 图1 策略结构 策略语法 在IAM左侧导航窗格中,单击“策略”,单击策略名称,可以查看策略的详细内容,以“DWS ReadOnlyAccess”为例,说明细粒度策略的语法。 图2 设置策略 {
using_expression ) ] 参数说明 policy_name 行访问控制策略名称。 table_name 行访问控制策略的表名。 new_policy_name 新的行访问控制策略名称。 role_name 行访问控制策略应用的数据库用户,可以指定多个用户,PUBLIC表示应用到所有用户。
using_expression ) ] 参数说明 policy_name 行访问控制策略名称。 table_name 行访问控制策略的表名。 new_policy_name 新的行访问控制策略名称。 role_name 行访问控制策略应用的数据库用户,可以指定多个用户,PUBLIC表示应用到所有用户。
不希望拥有其他云资源的权限,以防止资源滥用。例如只开通GaussDB(DWS)的操作权限,不能使用其他云服务。 通过IAM权限控制,有效达到云资源访问控制,避免云资源误操作。了解更多请参见创建用户并授权使用GaussDB(DWS)。 父主题: 身份认证与访问控制
EXISTS 如果指定的行访问控制策略不存在,发出一个notice而不是抛出一个错误。 policy_name 要删除的行访问控制策略的名称。 table_name 行访问控制策略所在的数据表名。 CASCADE/RESTRICT 仅适配此语法,无对象依赖于该行访问控制策略,CASCADE和RESTRICT效果相同。
EXISTS 如果指定的行访问控制策略不存在,发出一个notice而不是抛出一个错误。 policy_name 要删除的行访问控制策略的名称。 table_name 行访问控制策略所在的数据表名。 CASCADE/RESTRICT 仅适配此语法,无对象依赖于该行访问控制策略,CASCADE和RESTRICT效果相同。
GaussDB(DWS)行级访问控制 行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、
policy_name 行访问控制策略名称,同一个数据表上行访问控制策略名称不能相同。 table_name 行访问控制策略的表名。 PERMISSIVE 指定行访问控制策略的类型为宽容性策略。对于一个给定的查询,将使用“OR”操作符将所有的宽容性策略组合。行访问控制策略的类型默认为宽容性策略。 RESTRICTIVE
policy_name 行访问控制策略名称,同一个数据表上行访问控制策略名称不能相同。 table_name 行访问控制策略的表名。 PERMISSIVE 指定行访问控制策略的类型为宽容性策略。对于一个给定的查询,将使用“OR”操作符将所有的宽容性策略组合。行访问控制策略的类型默认为宽容性策略。 RESTRICTIVE
上。 对表创建了行级访问控制策略后,只有打开该表的行访问控制开关(ALTER TABLE ... ENABLE ROW LEVEL SECURITY),策略才能生效。 行级访问控制示例 某业务场景中,表all_data中汇总了不同用户的数据,使用行级访问控制功能实现:不同用户只能
boolean 行访问控制策略的类型。 说明: polpermissive的取值: true表示PERMISSIVE,表示行访问控制策略是宽容性策略。 false表示RESTRICTIVE,表示行访问控制策略是限制性策略。 polroles oid[] 行访问控制策略影响的数据库用户OID。
boolean 行访问控制策略的类型。 说明: polpermissive的取值: true表示PERMISSIVE,表示行访问控制策略是宽容性策略。 false表示RESTRICTIVE,表示行访问控制策略是限制性策略。 polroles oid[] 行访问控制策略影响的数据库用户OID。
最后授予table1的SELECT权限。 了解更多请参见GaussDB(DWS)如何实现业务隔离。 图1 权限分层 父主题: 身份认证与访问控制
如果后期不再需要该对象权限或由于权限管控,需要撤销授权,可通过REVOKE语法实现。 了解更多请参见REVOKE。 父主题: 身份认证与访问控制
存储;当指定orientation属性为column时,表为列存储;如果不指定,默认为行存储。行、列存储模型各有优劣,建议根据实际情况选择: 表1 表的存储类型及场景 存储模型 优点 缺点 适用场景 行存 数据按照行进行存储,在查询某一行数据时,可以快速定位到目标位置。 查询时即使只涉及某几列,所有数据也都会被读取。
存储;当指定orientation属性为column时,表为列存储;如果不指定,默认为行存储。行、列存储模型各有优劣,建议根据实际情况选择: 表1 表的存储类型及场景 存储模型 优点 缺点 适用场景 行存 数据按照行进行存储,在查询某一行数据时,可以快速定位到目标位置。 查询时即使只涉及某几列,所有数据也都会被读取。
GaussDB(DWS)自定义策略 如果系统预置的GaussDB(DWS)权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限策略和授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
