Gerarchia delle politiche di mascheramento dinamico dei dati - Amazon Redshift

Amazon Redshift non supporterà più la creazione di nuovi Python UDFs a partire dalla Patch 198. Python esistente UDFs continuerà a funzionare fino al 30 giugno 2026. Per ulteriori informazioni, consulta il post del blog.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gerarchia delle politiche di mascheramento dinamico dei dati

Quando colleghi più politiche di mascheramento, considera quanto segue:

  • È possibile collegare più policy di mascheramento a una singola colonna.

  • Quando a una query sono applicabili più policy di mascheramento, viene applicata quella con la priorità più alta collegata a ciascuna colonna corrispondente. Analizza l’esempio seguente. 

    ATTACH MASKING POLICY partial_hash
ON credit_cards(address, credit_card)
TO ROLE analytics_role 
PRIORITY 20;

ATTACH MASKING POLICY full_hash
ON credit_cards(credit_card, ssn)
TO ROLE auditor_role 
PRIORITY 30;

SELECT address, credit_card, ssn
FROM credit_cards;

    Quando si esegue l'istruzione SELECT, un utente che ha sia il ruolo di analista che quello di revisore vede la colonna degli indirizzi con la policy di mascheramento partial_hash applicata. Vede le colonne delle carte di credito e dei numeri di previdenza sociale (SSN) con la politica di mascheramento full_hash applicata perché la politica full_hash ha la priorità più alta nella colonna delle carte di credito.

  • Se non si specifica una priorità quando si collega una policy di mascheramento, verrà applicata la priorità predefinita (0).

  • Non è possibile collegare due policy alla stessa colonna con la medesima priorità.

  • Non è possibile collegare due politiche alla stessa combinazione di utente e colonna oppure ruolo e colonna.

  • Quando più politiche di mascheramento sono applicabili allo stesso percorso SUPER e sono collegate allo stesso utente o ruolo, ha effetto solo l'associazione con la priorità più alta. Considera i seguenti esempi:

    Il primo esempio mostra due politiche di mascheramento collegate sullo stesso percorso e che ha effetto la politica con priorità più alta. 

    ATTACH MASKING POLICY hide_name
ON employees(col_person.name)
TO PUBLIC
PRIORITY 20;

ATTACH MASKING POLICY hide_last_name
ON employees(col_person.name.last)
TO PUBLIC
PRIORITY 30;

--Only the hide_last_name policy takes effect.
SELECT employees.col_person.name FROM employees;

    Il secondo esempio mostra due politiche di mascheramento collegate a percorsi diversi nello stesso oggetto SUPER, senza conflitti tra le politiche. Entrambi i collegamenti verranno applicati contemporaneamente.

    ATTACH MASKING POLICY hide_first_name
ON employees(col_person.name.first)
TO PUBLIC
PRIORITY 20;

ATTACH MASKING POLICY hide_last_name
ON employees(col_person.name.last)
TO PUBLIC
PRIORITY 20;

--Both col_person.name.first and col_person.name.last are masked.
SELECT employees.col_person.name FROM employees;

Per confermare quale politica di mascheramento si applica a un determinato utente e a una determinata combinazione di colonna o ruolo e colonna, gli utenti con il sys:secadminruolo possono cercare la coppia column/role o colonna/utente nella vista di sistema. SVV_ATTACHED_MASKING_POLICY Per ulteriori informazioni, consulta Viste di sistema per il mascheramento dinamico dei dati.