Verwaltungsrolle für Maskierungsrichtlinien konfigurieren - Amazon Aurora

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltungsrolle für Maskierungsrichtlinien konfigurieren

Die PostgreSQL-Erweiterung zur Spaltenmaskierung ermöglicht es Ihnenpg_columnmask, die Verwaltung von Maskierungsrichtlinien an eine bestimmte Rolle zu delegieren, anstatt Tabellenbesitzerrechte zu verlangenrds_superuser. Dies ermöglicht eine genauere Kontrolle darüber, wer Maskierungsrichtlinien erstellen, ändern und löschen kann.

Gehen Sie wie folgt vor, um die Rolle zu konfigurieren, der Verwaltungsrechte für Maskierungsrichtlinien zugewiesen werden sollen:

  1. Erstellen Sie die Rolle des Richtlinienadministrators — Erstellen Sie als Nächstes eine neue Rollerds_superuser, die für die Verwaltung von Maskierungsrichtlinien zuständig ist:

    CREATE ROLE mask_admin NOLOGIN;

  2. PostgreSQL-Parameter konfigurieren — Legen Sie in Ihrer benutzerdefinierten DB-Cluster-Parametergruppe den pgcolumnmask.policy_admin_rolname Engine-Konfigurationsparameter auf den Namen der Rolle fest, die Sie erstellt haben:

    pgcolumnmask.policy_admin_rolname = mask_admin

    Diese Engine-Konfigurationsparameter können in einer DB-Cluster-Parametergruppe festgelegt werden und erfordern keinen Instance-Neustart. Einzelheiten zur Aktualisierung des Parameters finden Sie unterÄndern von Parametern in einer DB-Cluster-Parametergruppein Amazon Aurora.

  3. Weisen Sie Benutzern die Rolle zu. Weisen Sie die mask_admin Rolle den Benutzern zurds_superuser, die in der Lage sein sollten, Maskierungsrichtlinien zu verwalten:

    CREATE USER alice LOGIN;
CREATE USER bob LOGIN;
GRANT mask_admin TO alice, bob;

    Stellen Sie außerdem sicher, dass die Benutzer über die USAGE-Rechte für die Schemas verfügen, in denen sie Maskierungsrichtlinien verwalten werden:

    GRANT USAGE ON SCHEMA hr TO alice, bob;

Wenn Benutzer alice nun bob eine Verbindung zur Datenbank herstellen, können sie die pg_columnmask Standarderweiterungsfunktionen verwenden, um Maskierungsrichtlinien für alle Tabellen in allen Schemas zu erstellen, zu ändern und zu löschen, für die sie USAGE Berechtigungen für das Schema haben.