GaussDB-行级访问控制
GaussDB-行级访问控制
可获得性
本特性自V300R002C00版本开始引入。
特性简介
行级访问控制特性将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。
客户价值
不同用户执行相同的SQL查询操作,读取到的结果是不同的。
特性描述
用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。
行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。
特性增强
505.1版本新增GUC参数enable_rls_match_index;该参数打开后,对于查询谓词包含unleakproof类型系统函数或like操作符的目标场景,允许基于该谓词条件执行索引扫描。
特性约束
- 行级访问控制策略仅可以应用到SELECT、UPDATE和DELETE操作,不支持应用到INSERT和MERGE操作。
- 支持对行存表、行存分区表、复制表、unlogged表、HASH分布表定义行级访问控制策略,不支持对外表、临时表定义行级访问控制策略。
- 不支持对视图定义行级访问控制策略。
- 同一张表上可以创建多个行级访问控制策略,一张表最多允许创建100个行级访问控制策略。
- 初始用户和系统管理员不受行级访问控制策略的影响。
- 对于设置了行级访问控制策略的表,需要谨慎授予其他用户对该表的trigger权限,以免其他用户利用触发器绕过行级访问控制策略。
- 行级访问控制策略不支持使用SECURITY INVOKER函数。对于已经使用了SECURITY INVOKER函数的策略,不允许对该FUNCTION进行CREATE、ALTER或DROP。
- 对于设置了行级访问控制策略、且具有函数表达式索引的表,仅当该函数为leakproof类型时,该表达式索引生效。
依赖关系
无。
浙公网安备 33010602011771号