Uso de políticas de acesso a linhas¶

Implementação de políticas de acesso a linhas¶

As subseções a seguir fornecem exemplos sobre como implementar políticas de acesso a linhas:

• Use uma política típica de acesso a linhas com uma busca na tabela de mapeamento.

• Substitua as subconsultas existentes da política de acesso a linhas por funções memoizáveis para aumentar o desempenho da consulta.

• Faça referência a uma tabela de mapeamento protegida por uma política de acesso a linhas em uma política de acesso a linhas diferente.

Exemplo: pesquisa da tabela de mapeamento¶

As etapas seguintes são um guia representativo para configurar privilégios de políticas de acesso a linhas e adicionar políticas de acesso a linhas a tabelas e exibições.

Estas etapas fazem as seguintes suposições:

• A abordagem de gerenciamento é centralizada.

  Se o caso de uso da política de acesso a linhas incluir uma abordagem de gerenciamento híbrida ou descentralizada, consulte Gerenciamento de políticas de acesso a linhas para uma distribuição representativa de funções e privilégios.

• É necessária uma tabela de mapeamento, semelhante a Caso de uso representativo: uso de uma tabela de mapeamento para filtrar o resultado da consulta.

  As etapas seguintes usam a função de contexto CURRENT_ROLE para determinar se os usuários veem linhas em um resultado de consulta, enquanto o caso de uso representativo se concentra no nome do usuário (ou seja, CURRENT_USER).

  Se a ativação e a hierarquia de funções forem importantes, Snowflake recomenda que as condições da política utilizem a função IS_ROLE_IN_SESSION para funções de conta e a função IS_DATABASE_ROLE_IN_SESSION para funções de banco de dados. Para obter mais detalhes, consulte Hierarquia de funções ativa e tabelas de mapeamento.

  O processo geral para implementar uma política de acesso a linhas com tabelas de mapeamento permanece o mesmo, embora as funções de contexto sejam diferentes.

• A função SECURITYADMIN do sistema concede privilégios a funções personalizadas para gerenciar e implementar políticas de acesso a linhas.

  Se você não quiser usar funções mais privilegiadas (ou seja, SECURITYADMIN ou ACCOUNTADMIN) em um ambiente de produção em vez de funções personalizadas menos privilegiadas (por exemplo, database_admin, finance_admin), verifique se as funções menos privilegiadas têm os privilégios necessários para gerenciar e implementar políticas de acesso a linhas.

  Para obter mais informações, consulte Privilégios da política de acesso a linhas e Resumo de comandos DDL, operações e privilégios.

• Há etapas separadas para criar uma tabela a ser protegida por uma política de acesso a linhas (etapa 1) e adicionar a política de acesso a linhas à tabela (etapa 5). É possível adicionar uma política de acesso a linhas à tabela quando a tabela é criada, assumindo que já exista uma política de acesso a linhas. Para obter mais informações sobre a sintaxe, consulte CREATE TABLE.

Por exemplo:

1. Crie uma tabela para os dados de vendas:

   CREATE TABLE sales (
     customer   varchar,
     product    varchar,
     spend      decimal(20, 2),
     sale_date  date,
     region     varchar
   );
   

   Copy

2. No esquema security, crie uma tabela de mapeamento como mostrado no exemplo representativo. Esta tabela define quais linhas na tabela sales podem ser vistas pelos gerentes de vendas:

   CREATE TABLE security.salesmanagerregions (
     sales_manager varchar,
     region        varchar
   );
   

   Copy

3. Em seguida, um administrador de segurança cria a função mapping_role personalizada e concede o privilégio SELECT à função personalizada. Esta concessão permite aos usuários com a função personalizada consultar a tabela de mapeamento:

   USE ROLE SECURITYADMIN;
   
   CREATE ROLE mapping_role;
   
   GRANT SELECT ON TABLE security.salesmanagerregions TO ROLE mapping_role;
   

   Copy

4. Usando a função de proprietário do esquema, crie uma política de acesso a linhas com as duas condições a seguir:

   • Os usuários com a função sales_executive_role personalizada podem visualizar todas as linhas.

   • Os usuários com a função sales_manager personalizada podem visualizar linhas com base na tabela de mapeamento salesmanagerregions.

   Observe que a função de proprietário do esquema recebe automaticamente o privilégio CREATE ROW ACCESS POLICY. Se outras funções devem ser capazes de criar políticas de acesso a linhas, a função do proprietário do esquema pode conceder o privilégio da política CREATE ROW ACCESS a outras funções.

   USE ROLE schema_owner_role;
   
   CREATE OR REPLACE ROW ACCESS POLICY security.sales_policy
   AS (sales_region varchar) RETURNS BOOLEAN ->
     'sales_executive_role' = CURRENT_ROLE()
       OR EXISTS (
         SELECT 1 FROM salesmanagerregions
           WHERE sales_manager = CURRENT_ROLE()
           AND region = sales_region
       )
   ;
   

   Copy

   Onde:

   security.sales_policy

   O nome da política de acesso a linhas no esquema security.

   AS (sales_region varchar)

   A assinatura da política de acesso a linhas.

   Uma assinatura especifica o atributo da tabela de mapeamento e o tipo de dados. O valor retornado determina se o usuário tem acesso a uma determinada linha na tabela ou exibição à qual a política de acesso a linhas é adicionada.

   'sales_executive_role' = CURRENT_ROLE()

   O início de body na política de acesso a linhas.

   A primeira condição da expressão da política de acesso a linhas que permite aos usuários com a função sales_executive_role personalizada visualizar dados.

   OR EXISTS (select 1 from salesmanagerregions WHERE sales_manager = CURRENT_ROLE() AND region = sales_region)

   A segunda condição da expressão da política de acesso a linhas que utiliza uma subconsulta.

   A subconsulta requer que CURRENT_ROLE seja a função sales_manager personalizada com a consulta executada nos dados para especificar uma região listada na tabela de mapeamento {salesmanagerregions}.

   Dica

   Para aumentar o desempenho da consulta na tabela protegida por política, substitua a subconsulta de pesquisa da tabela de mapeamento na cláusula EXISTS por uma função memoizável.

   Para obter mais detalhes, consulte o exemplo de função memoizável (neste tópico).

5. Usando a função SECURITYADMIN do sistema, execute as duas instruções a seguir:

   GRANT OWNERSHIP ON ROW ACCESS POLICY security.sales_policy TO mapping_role;
   
   GRANT APPLY ON ROW ACCESS POLICY security.sales_policy TO ROLE sales_analyst_role;
   

   Copy

   Estas duas instruções GRANT <privilégios> têm os seguintes efeitos:

   • A propriedade da política não recai sobre a função do sistema SECURITYADMIN. No tempo de execução da consulta, o Snowflake usa os privilégios concedidos à função personalizada porque as políticas são executadas com os direitos do proprietário, não com a função de sistema SECURITYADMIN mais privilegiada. Esta abordagem suporta o princípio de privilégio mínimo.

   • A função personalizada sales_analyst_role pode adicionar ou descartar a política de acesso a linhas a partir de uma tabela conforme necessário.

6. Adicione (vincule) a política de acesso a linhas à coluna da região na tabela de dados sales:

   USE ROLE SECURITYADMIN;
   
   ALTER TABLE sales ADD ROW ACCESS POLICY security.sales_policy ON (region);
   

   Copy

7. Conceda o privilégio SELECT para os dados protegidos de sales à função personalizada sales_manager_role:

   GRANT SELECT ON TABLE sales TO ROLE sales_manager_role;
   

   Copy

8. Depois que os dados de vendas preencherem os dados de sales, teste a política de acesso a linhas:

   USE ROLE sales_manager_role;
   SELECT product, SUM(spend)
   FROM sales
   WHERE YEAR(sale_date) = 2020
   GROUP BY product;
   

   Copy

Exemplo: substitua as subconsultas de política por uma função memoizável¶

As etapas neste exemplo criam uma função memoizável para cada pesquisa de tabela de mapeamento nas condições da política de acesso a linhas. A subconsulta em cada cláusula EXISTS especifica a pesquisa da tabela de mapeamento, onde as tabelas são nomeadas regions, customers e products, respectivamente:

CREATE OR REPLACE ROW ACCESS POLICY rap_NO_memoizable_function
  AS (region_id number, customer_id number, product_id number)
  RETURNS BOOLEAN ->
    EXISTS(SELECT 1 FROM regions WHERE id = region_id) OR
    EXISTS(SELECT 1 FROM customers WHERE id = customer_id) OR
    EXISTS(SELECT 1 FROM products WHERE id = product_id)
  ;

Copy

Para as etapas seguintes, assumir que a função rap_admin personalizada pode criar políticas de acesso a linhas (ou seja, tem o privilégio CREATE ROW ACCESS POLICY no SCHEMA).

Complete as seguintes etapas para substituir cada uma das pesquisas da tabela de mapeamento de políticas de acesso a linhas por uma função memoizável:

1. Criar uma função personalizada chamada functions_admin para gerenciar a função memoizável:

   USE ROLE USERADMIN;
   
   CREATE ROLE functions_admin;
   

   Copy

2. Conceder os seguintes privilégios à função functions_admin para permitir a criação da função memoizável em um esquema existente chamado governance.functions:

   USE ROLE SECURITYADMIN;
   
   GRANT USAGE ON DATABASE governance TO ROLE functions_admin;
   
   GRANT USAGE ON SCHEMA governance.functions TO ROLE functions_admin;
   
   GRANT CREATE FUNCTION ON SCHEMA governance.functions TO ROLE functions_admin;
   

   Copy

3. Crie uma função memoizável para cada uma das cláusulas EXISTS de subconsulta na política de acesso a linhas. Cada definição de função memoizável assume a mesma forma. Para maior brevidade, apenas um exemplo de função é mostrado:

   USE ROLE functions_admin;
   
   USE SCHEMA governance.functions;
   
   CREATE OR REPLACE function allowed_regions()
     RETURNS array
     memoizable
     AS 'SELECT ARRAY_AGG(id) FROM regions';
   

   Copy

4. Use uma instrução CREATE ROW ACCESS POLICY para definir uma nova política de acesso a linhas que substitui as subconsultas por funções memoizáveis:

   A nova política de acesso a linhas permite o teste em consultas em uma tabela protegida, quando a política usa ou não as funções memoizáveis, para quantificar o impacto de desempenho do uso de funções memoizáveis nas condições da política:

   USE ROLE rap_admin;
   
   CREATE OR REPLACE ROW ACCESS POLICY rap_with_memoizable_function
     AS (region_id number, customer_id number, product_id number)
     RETURNS BOOLEAN ->
       ARRAY_CONTAINS(region_id, allowed_regions()) OR
       ARRAY_CONTAINS(customer_id, allowed_customers()) OR
       ARRAY_CONTAINS(product_id, allowed_products())
     ;
   

   Copy

Exemplo: proteja a tabela de mapeamento com uma política de acesso a linhas¶

Este exemplo mostra como fazer referência a uma tabela de mapeamento protegida por uma política de acesso a linhas em uma política de acesso a linhas diferente. A política de acesso a linhas que protege a tabela de mapeamento chama a função de contexto IS_ROLE_IN_SESSION para dar conta da hierarquia de funções. Uma política de acesso a linhas diferente protege a tabela que o usuário consulta. Esta política de acesso a linhas usa uma subconsulta para realizar uma pesquisa na tabela de mapeamento. Por exemplo:

1. Crie uma tabela de mapeamento para definir funções permitidas com base em regiões geográficas de vendas e insira dados na tabela:

   CREATE OR REPLACE TABLE sales.tables.regional_managers (
     allowed_regions varchar
     allowed_roles varchar
   );
   

   Copy

   INSERT INTO sales.tables.regional_managers
   (allowed_regions, allowed_roles)
   VALUES
   ('na', 'NA_MANAGER'),
   ('eu', 'EU_MANAGER'),
   ('apac', 'APAC_MANAGER');
   

   Copy

2. Crie uma política de acesso a linhas para especificar a coluna ALLOWED_ROLES na tabela de mapeamento:

   CREATE OR REPLACE ROW ACCESS POLICY governance.policies.rap_map_exempt
   AS (allowed_roles varchar) RETURNS BOOLEAN ->
   IS_ROLE_IN_SESSION(allowed_roles);
   

   Copy

3. Adicione a política de acesso a linhas na tabela de mapeamento usando uma instrução ALTER TABLE:

   ALTER TABLE sales.tables.regional_managers
     ADD ROW ACCESS POLICY governance.policies.rap_map_exempt
     ON (allowed_roles);
   

   Copy

4. Crie uma nova política de acesso a linhas que especifique a pesquisa da tabela de mapeamento na tabela de mapeamento protegida:

    CREATE OR REPLACE ROW ACCESS POLICY governance.policies.rap_map_lookup
    AS (allowed_regions varchar) RETURNS BOOLEAN ->
    EXISTS (
      SELECT * FROM sales.tables.regional_managers
      WHERE
        REGION = allowed_regions
   );
   

   Copy

5. Adicione a política de acesso a linhas denominada governance.policies.rap_map_lookup na tabela denominada sales.tables.data usando uma instrução ALTER TABLE:

   ALTER TABLE sales.tables.data
     ADD ROW ACCESS POLICY governance.policies.rap_map_lookup
     ON (allowed_regions);
   

   Copy

6. Conceda privilégios às funções na tabela de mapeamento para permitir que usuários com essas funções consultem os dados protegidos. Por exemplo, estas concessões são para a função personalizada na_manager:

   USE ROLE SECURITYADMIN;
   GRANT USAGE ON DATABASE sales TO ROLE na_manager;
   GRANT USAGE ON SCHEMA sales.tables TO ROLE na_manager;
   GRANT SELECT ON TABLE sales.tables.regional_managers TO ROLE na_manager;
   GRANT SELECT ON TABLE sales.tables.data TO ROLE na_manager;
   

   Copy

   Conforme necessário, repita os comandos desta etapa para cada função na tabela de mapeamento.