Propiedad y administración de la política de RLS
Como superusuario, administrador de seguridad o usuario que tiene el rol sys:secadmin, puede crear, modificar o administrar todas las políticas de RLS de las tablas. En el objeto, puede activar o desactivar la seguridad de la fila sin modificar la definición de esquema de las tablas.
Para comenzar con la seguridad de la fila, a continuación se indican las instrucciones SQL que puede utilizar:
La instrucción ALTER TABLE se utiliza para activar o desactivar la RLS en una tabla. Para obtener más información, consulte ALTER TABLE.
La instrucción CREATE RLS POLICY se utiliza para crear una política de seguridad para una o más tablas y especificar uno o más usuarios o roles en la política.
Para obtener más información, consulte CREATE RLS POLICY.
Utilice la instrucción ALTER RLS POLICY para modificar la política, por ejemplo, cambiar la definición de la política. Puede utilizar la misma política para varias tablas o vistas.
Para obtener más información, consulte ALTER RLS POLICY.
La instrucción ATTACH RLS POLICY se utiliza para adjuntar una política a una o más relaciones, a uno o más usuarios, o a roles.
Para obtener más información, consulte ATTACH RLS POLICY .
La instrucción DETACH RLS POLICY se utiliza para desconectar una política de una o más relaciones, de uno o más usuarios o de roles.
Para obtener más información, consulte DETACH RLS POLICY .
La instrucción DROP RLS POLICY se utiliza para eliminar una política.
Para obtener más información, consulte DROP RLS POLICY .
Las instrucciones GRANT y REVOKE se utilizan para conceder y revocar de manera explícita permisos SELECT a las políticas de RLS que hacen referencia a tablas de búsqueda. Para obtener más información, consulte GRANT y REVOKE.
Para supervisar las políticas creadas, sys:secadmin puede ver la SVV_RLS_POLICY y la SVV_RLS_ATTACHED_POLICY.
El rol sys:secadmin puede ver SVV_RLS_RELATION para enumerar las relaciones protegidas por RLS.
Para rastrear la aplicación de políticas de RLS en consultas que hacen referencia a relaciones protegidas por RLS, un superusuario, sys:operator, o cualquier usuario con el permiso del sistema ACCESS SYSTEM TABLE puede ver la SVV_RLS_APPLIED_POLICY . Tenga en cuenta que no se concede estos permisos a sys:secadmin de forma predeterminada.
Para consultar tablas con políticas de RLS adjuntas, pero no verlas, puede conceder el permiso IGNORE RLS a cualquier usuario. A los usuarios que son superusuarios o sys:secadmin, se les concede automáticamente el permiso IGNORE RLS. Para obtener más información, consulte GRANT.
Para explicar los filtros de política de RLS de una consulta en el plan EXPLAIN a fin de solucionar problemas de consultas relacionadas con RLS, puede conceder el permiso EXPLAIN RLS a cualquier usuario. Para obtener más información, consulte GRANT y EXPLAIN.