Como superusuario, administrador de seguridad o usuario que tiene el rol sys:secadmin, puede crear, modificar, asociar y desasociar políticas de RLS. Las políticas de RLS se pueden asociar a tablas, vistas, vistas de enlace tardío (LBV) y vistas materializadas (MV). En el objeto, puede activar o desactivar la seguridad de la fila sin modificar la definición de esquema de las tablas.
Para comenzar con la seguridad de la fila, a continuación se indican las instrucciones SQL que puede utilizar:
Utilice la instrucción ALTER TABLE para activar o desactivar RLS en una tabla, vista o vista de enlace tardío. Para obtener más información, consulte ALTER TABLE.
-
La instrucción ALTER MATERIALIZED VIEW se utiliza para activar o desactivar RLS en una vista materializada (MV). Para obtener más información, consulte ALTER MATERIALIZED VIEW.
La instrucción CREATE RLS POLICY se utiliza para crear una política de seguridad para una o más tablas y especificar uno o más usuarios o roles en la política.
Para obtener más información, consulte CREATE RLS POLICY.
Utilice la instrucción ALTER RLS POLICY para modificar la política, por ejemplo, cambiar la definición de la política. Puede utilizar la misma política para varias tablas o vistas.
Para obtener más información, consulte ALTER RLS POLICY.
La instrucción ATTACH RLS POLICY se utiliza para adjuntar una política a una o más relaciones, a uno o más usuarios, o a roles.
Para obtener más información, consulte ATTACH RLS POLICY.
La instrucción DETACH RLS POLICY se utiliza para desconectar una política de una o más relaciones, de uno o más usuarios o de roles.
Para obtener más información, consulte DETACH RLS POLICY.
La instrucción DROP RLS POLICY se utiliza para eliminar una política.
Para obtener más información, consulte DROP RLS POLICY.
Las instrucciones GRANT y REVOKE se utilizan para conceder y revocar de manera explícita permisos SELECT a las políticas de RLS que hacen referencia a tablas de búsqueda. Para obtener más información, consulte GRANT y REVOKE.
Para supervisar las políticas creadas, sys:secadmin puede ver la SVV_RLS_POLICY y la SVV_RLS_ATTACHED_POLICY.
Para enumerar las relaciones protegidas por RLS, sys:secadmin puede ver SVV_RLS_RELATION.
Para rastrear la aplicación de políticas de RLS en consultas que hacen referencia a relaciones protegidas por RLS, un superusuario, sys:operator, o cualquier usuario con el permiso del sistema ACCESS SYSTEM TABLE puede ver la SVV_RLS_APPLIED_POLICY. Tenga en cuenta que no se concede estos permisos a sys:secadmin de forma predeterminada.
Para permitir a los usuarios el acceso completo a una relación protegida por RLS, puede conceder el permiso IGNORE RLS. A los superusuarios o sys:secadmin se les concede automáticamente IGNORE RLS. Para obtener más información, consulte GRANT.
Para explicar los filtros de política de RLS de una consulta en el plan EXPLAIN a fin de solucionar problemas de consultas relacionadas con RLS, puede conceder el permiso EXPLAIN RLS a cualquier usuario. Para obtener más información, consulte GRANT y EXPLAIN.
