Configuración del rol de administración de políticas de enmascaramiento
La extensión de enmascaramiento de columnas de PostgreSQL, pg_columnmask, le permite delegar la administración de las políticas de enmascaramiento a un rol específico, en lugar de requerir privilegios de propietario de tablas o rds_superuser. Esto proporciona un control más detallado sobre quién puede crear, modificar y eliminar las políticas de enmascaramiento.
Para configurar el rol que tendrá privilegios de administración de políticas de enmascaramiento, siga estos pasos:
-
Cree el rol de administrador de políticas: como un
rds_superuser, cree un nuevo rol responsable de administrar las políticas de enmascaramiento:CREATE ROLE mask_admin NOLOGIN; -
Configure el parámetro PostgreSQL: en el grupo de parámetros de clúster de base de datos personalizado, defina el parámetro de configuración del motor de
pgcolumnmask.policy_admin_rolnamecon el nombre del rol que creó:pgcolumnmask.policy_admin_rolname = mask_adminEstos parámetros de configuración del motor se pueden establecer en un grupo de parámetros de un clúster de base de datos y no requiere el reinicio de la instancia. Para obtener más información sobre la actualización del parámetro, consulte Modificación de los parámetros en un grupo de parámetros de clúster de base de datos en Amazon Aurora.
-
Otorgue el rol a los usuarios Como
rds_superuser, conceda el rol demask_admina los usuarios que deberían administrar las políticas de enmascaramiento:CREATE USER alice LOGIN; CREATE USER bob LOGIN; GRANT mask_admin TO alice, bob;Además, asegúrese de que los usuarios tengan el privilegio de USO en los esquemas en los que administrarán las políticas de enmascaramiento:
GRANT USAGE ON SCHEMA hr TO alice, bob;
Ahora, cuando los usuarios alice y bob se conecten a la base de datos, podrán utilizar las funciones de extensión estándar pg_columnmask para crear, modificar y eliminar políticas de enmascaramiento en todas las tablas de todos los esquemas en los que tengan privilegios USAGE en el esquema.
