設定遮罩政策管理角色 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定遮罩政策管理角色

PostgreSQL 資料欄遮罩延伸模組 pg_columnmask可讓您將遮罩政策的管理委派給特定角色,而不是要求 rds_superuser或 資料表擁有者權限。這可以更精細地控制誰可以建立、更改和捨棄遮罩政策。

若要設定具有遮罩政策管理權限的角色,請遵循下列步驟:

  1. 建立政策管理員角色 – 建立負責管理遮罩政策rds_superuser的新角色:

    CREATE ROLE mask_admin NOLOGIN;

  2. 設定 PostgreSQL 參數 – 在自訂資料庫叢集參數群組中,將pgcolumnmask.policy_admin_rolname引擎組態參數設定為您建立的角色名稱:

    pgcolumnmask.policy_admin_rolname = mask_admin

    此引擎組態參數可以在資料庫叢集參數群組中設定,而且不需要重新啟動執行個體。如需更新參數的詳細資訊,請參閱 在 Amazon Aurora 中修改資料庫叢集參數群組中的參數

  3. 將角色授予使用者 作為 rds_superuser,將mask_admin角色授予應能夠管理遮罩政策的使用者:

    CREATE USER alice LOGIN;
CREATE USER bob LOGIN;
GRANT mask_admin TO alice, bob;

    此外,請確保使用者在管理遮罩政策的結構描述上具有 USAGE 權限:

    GRANT USAGE ON SCHEMA hr TO alice, bob;

現在,當使用者alicebob 連線到資料庫時,他們可以使用標準pg_columnmask延伸函數,在所有結構描述具有USAGE權限的結構描述中的所有資料表上建立、更改和捨棄遮罩政策。