MEMBUAT KEBIJAKAN KEAMANAN (Transact-SQL)
Berlaku untuk:
SQL Server 2016 (13.x) dan versi yang lebih baru Azure SQL DatabaseAzure SQL Managed Instancetitik akhir analitik SQL di Microsoft FabricWarehouse di Microsoft Fabric
Membuat kebijakan keamanan untuk keamanan tingkat baris.
Sintaks
CREATE SECURITY POLICY [schema_name. ] security_policy_name
{ ADD [ FILTER | BLOCK ] } PREDICATE tvf_schema_name.security_predicate_function_name
( { column_name | expression } [ , ...n] ) ON table_schema_name. table_name
[ <block_dml_operation> ] , [ , ...n]
[ WITH ( STATE = { ON | OFF } [,] [ SCHEMABINDING = { ON | OFF } ] ) ]
[ NOT FOR REPLICATION ]
[;]
<block_dml_operation>
[ { AFTER { INSERT | UPDATE } }
| { BEFORE { UPDATE | DELETE } } ]
Argumen
security_policy_name
Nama kebijakan keamanan. Nama kebijakan keamanan harus mematuhi aturan untuk pengidentifikasi dan harus unik dalam database dan skemanya.
schema_name
Adalah nama skema tempat kebijakan keamanan berada. schema_name diperlukan karena pengikatan skema.
[ FILTER | BLOKIR ]
Jenis predikat keamanan untuk fungsi yang terikat ke tabel target. FILTER predikat memfilter baris yang tersedia untuk membaca operasi secara diam-diam. BLOCK predikat secara eksplisit memblokir operasi penulisan yang melanggar fungsi predikat.
tvf_schema_name.security_predicate_function_name
Adalah fungsi nilai tabel sebaris yang akan digunakan sebagai predikat dan yang akan diberlakukan pada kueri terhadap tabel target. Paling banyak satu predikat keamanan dapat didefinisikan untuk operasi DML tertentu terhadap tabel tertentu. Fungsi nilai tabel sebaris harus dibuat menggunakan SCHEMABINDING opsi .
{ column_name | ekspresi }
Nama kolom atau ekspresi yang digunakan sebagai parameter untuk fungsi predikat keamanan. Kolom apa pun pada tabel target dapat digunakan. Ekspresi hanya dapat menyertakan konstanta, fungsi skalar bawaan, operator, dan kolom dari tabel target. Nama kolom atau ekspresi perlu ditentukan untuk setiap parameter fungsi.
table_schema_name.table_name
Adalah tabel target tempat predikat keamanan akan diterapkan. Beberapa kebijakan keamanan yang dinonaktifkan dapat menargetkan satu tabel untuk operasi DML tertentu, tetapi hanya satu yang dapat diaktifkan pada waktu tertentu.
block_dml_operation
Operasi DML tertentu yang predikat bloknya akan diterapkan. AFTER menentukan bahwa predikat akan dievaluasi pada nilai baris setelah operasi DML dilakukan (INSERT atau UPDATE). BEFORE menentukan bahwa predikat akan dievaluasi pada nilai baris sebelum operasi DML dilakukan (UPDATE atau DELETE). Jika tidak ada operasi yang ditentukan, predikat akan berlaku untuk semua operasi.
[ STATE = { ON | NONAKTIF } ]
Mengaktifkan atau menonaktifkan kebijakan keamanan agar tidak menegakkan predikat keamanannya terhadap tabel target. Jika tidak ditentukan, kebijakan keamanan yang dibuat diaktifkan.
[ SCHEMABINDING = { ON | NONAKTIF } ]
Menunjukkan apakah semua fungsi predikat dalam kebijakan harus dibuat dengan SCHEMABINDING opsi . Secara default pengaturan ini adalah ON dan semua fungsi harus dibuat dengan SCHEMABINDING.
BUKAN UNTUK REPLIKASI
Menunjukkan bahwa kebijakan keamanan tidak boleh dijalankan ketika agen replikasi memodifikasi objek target. Untuk informasi selengkapnya, lihat Mengontrol Perilaku Pemicu dan Batasan Selama Sinkronisasi (Pemrograman Transact-SQL Replikasi).
[ table_schema_name . ] table_name
Adalah tabel target tempat predikat keamanan akan diterapkan. Beberapa kebijakan keamanan yang dinonaktifkan dapat menargetkan satu tabel, tetapi hanya satu yang dapat diaktifkan pada waktu tertentu.
Keterangan
Saat menggunakan fungsi predikat dengan tabel yang dioptimalkan memori, Anda harus menyertakan SCHEMABINDING dan menggunakan WITH NATIVE_COMPILATION petunjuk kompilasi.
Predikat blok dievaluasi setelah operasi DML yang sesuai dijalankan. Oleh karena itu, ada bahaya bahwa kueri READ UNCOMMITTED dapat melihat nilai sementara yang akan digulung balik.
Izin
Memerlukan izin UBAH KEBIJAKAN KEAMANAN APA PUN dan UBAH izin pada skema.
Selain itu, izin berikut diperlukan untuk setiap predikat yang ditambahkan:
Izin SELECT dan REFERENCES pada fungsi yang digunakan sebagai predikat.
Izin REFERENSI pada tabel target terikat ke kebijakan.
Izin REFERENSI pada setiap kolom dari tabel target yang digunakan sebagai argumen.
Contoh
Contoh berikut menunjukkan penggunaan CREATE SECURITY POLICY sintaksis. Untuk contoh skenario kebijakan keamanan lengkap, lihat Keamanan tingkat baris.
J. Membuat kebijakan keamanan
Sintaks berikut membuat kebijakan keamanan dengan predikat filter untuk dbo.Customer tabel, dan membiarkan kebijakan keamanan dinonaktifkan.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate]([CustomerId])
ON [dbo].[Customer];
B. Membuat kebijakan yang memengaruhi beberapa tabel
Sintaks berikut membuat kebijakan keamanan dengan tiga predikat filter pada tiga tabel yang berbeda, dan mengaktifkan kebijakan keamanan.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([CustomerId])
ON [dbo].[Customer],
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([VendorId])
ON [dbo].[ Vendor],
ADD FILTER PREDICATE [rls].[fn_securitypredicate2]([WingId])
ON [dbo].[Patient]
WITH (STATE = ON);
C. Membuat kebijakan dengan beberapa jenis predikat keamanan
Menambahkan predikat filter dan predikat blok ke dbo.Sales tabel.
CREATE SECURITY POLICY rls.SecPol
ADD FILTER PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales,
ADD BLOCK PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales AFTER INSERT;
Konten terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk