Propriété et gestion des politiques RLS - Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouvelles fonctions Python définies par l’utilisateur à compter du 1er novembre 2025. Si vous souhaitez utiliser des fonctions Python définies par l’utilisateur, créez-les avant cette date. Les fonctions Python définies par l’utilisateur existantes continueront de fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Propriété et gestion des politiques RLS

En tant que super-utilisateur, administrateur de sécurité ou utilisateur disposant du rôle sys:secadmin, vous pouvez créer, modifier, attacher et détacher des politiques RLS. Les politiques RLS peuvent être attachées à des tables, à des vues, à des vues à liaison tardive (LBV) et à des vues matérialisées (MV). Au niveau de l’objet, vous pouvez activer ou désactiver la sécurité au niveau des lignes sans modifier la définition du schéma pour les tables.

Pour commencer à utiliser la sécurité au niveau des lignes, vous pouvez utiliser les instructions SQL suivantes :

  • Utilisez l’instruction ALTER TABLE pour activer ou désactiver RLS sur une table, une vue ou une vue à liaison tardive. Pour plus d’informations, consultez ALTER TABLE.

  • Utilisez l’instruction ALTER MATERIALIZED VIEW pour activer ou désactiver RLS sur une vue matérialisée (MV). Pour plus d’informations, consultez ALTER MATERIALIZED VIEW.

  • Utilisez l’instruction CREATE RLS POLICY pour créer une politique de sécurité pour une ou plusieurs tables et spécifier un ou plusieurs utilisateurs ou rôles dans la stratégie.

    Pour plus d’informations, consultez CREATE RLS POLICY.

  • Utilisez l’instruction ALTER RLS POLICY pour modifier la politique, par exemple en modifiant la définition de la politique. Vous pouvez utiliser la même politique pour plusieurs tables ou vues.

    Pour plus d’informations, consultez ALTER RLS POLICY.

  • Utilisez l’instruction ATTACH RLS POLICY pour attacher une politique à une ou plusieurs relations, à un ou plusieurs utilisateurs, ou à des rôles.

    Pour plus d’informations, consultez ATTACH RLS POLICY.

  • Utilisez l’instruction DETACH RLS POLICY pour détacher une politique d’une ou de plusieurs relations, d’un ou de plusieurs utilisateurs, ou de rôles.

    Pour plus d’informations, consultez DETACH RLS POLICY.

  • Utilisez l’instruction DROP RLS POLICY pour supprimer une stratégie.

    Pour plus d’informations, consultez DROP RLS POLICY.

  • Utilisez les instructions GRANT et REVOKE pour accorder et révoquer explicitement les autorisations SELECT aux politiques RLS qui font référence à des tables de recherche. Pour plus d’informations, consultez GRANT et REVOKE.

Pour surveiller les politiques créées, les utilisateurs disposant du rôle sys:secadmin peuvent consulter SVV_RLS_POLICY et SVV_RLS_ATTACHED_POLICY.

Pour répertorier les relations protégées par RLS, les utilisateurs disposant du rôle sys:secadmin peuvent afficher SVV_RLS_RELATION.

Pour suivre l’application des politiques RLS sur les requêtes qui font référence à des relations protégées par RLS, un super-utilisateur, un utilisateur disposant du rôle sys:operator ou tout autre utilisateur disposant de l’autorisation système ACCESS SYSTEM TABLE peut consulter SVV_RLS_APPLIED_POLICY. Remarquez que les utilisateurs disposant du rôle sys:secadmin ne disposent pas de ces autorisations par défaut.

Pour permettre aux utilisateurs d’accéder pleinement à une relation protégée par RLS, vous pouvez accorder l’autorisation IGNORE RLS. Les super-utilisateurs ou les utilisateurs disposant du rôle sys:secadmin reçoivent automatiquement l’autorisation IGNORE RLS. Pour plus d’informations, consultez GRANT.

Pour expliquer les filtres de politique RLS d’une requête dans le plan EXPLAIN afin de dépanner les requêtes liées à RLS, vous pouvez accorder l’autorisation EXPLAIN RLS à n’importe quel utilisateur. Pour plus d’informations, consultez GRANT et EXPLAIN.