Proteger e controlar o acesso aos dados do aplicativo usando visualizações seguras parametrizadas

Este tutorial descreve como usar visualizações seguras parametrizadas no AlloyDB para PostgreSQL para restringir o acesso do usuário às tabelas de banco de dados. Neste tutorial, você vai configurar visualizações seguras parametrizadas, configurar papéis e privilégios de banco de dados para restringir o acesso a tabelas de base e verificar a segurança de dados. As visualizações seguras parametrizadas ajudam a proteger aplicativos que usam consultas de linguagem natural geradas com a API QueryData.

Os exemplos são incluídos para ilustrar os recursos de visualizações seguras parametrizadas. Esses exemplos são apenas para fins de demonstração.

O que são visualizações seguras parametrizadas?

Como prática recomendada geral, o aplicativo precisa ser executado usando uma conta de serviço com o acesso mínimo necessário ao banco de dados. Por exemplo, se o aplicativo não precisar gravar no banco de dados, ele precisará usar um papel com acesso somente leitura. É necessário configurar esses controles de acesso no nível do banco de dados.

No entanto, há momentos em que o aplicativo precisa de controles de segurança mais granulares do que as permissões de acesso padrão no nível do banco de dados. As visualizações seguras parametrizadas fornecem segurança de dados do aplicativo e controle de acesso de linha usando visualizações SQL. Elas ajudam a garantir que os usuários do aplicativo só possam visualizar os dados a que estão autorizados a acessar.

As visualizações seguras parametrizadas atenuam os riscos de segurança ao processar consultas de linguagem natural ad hoc ou geradas por LLM, parametrizando visualizações com identificadores de usuários finais, garantindo que os usuários acessem apenas os dados autorizados, independentemente da frase da consulta. Essa abordagem também simplifica o gerenciamento de usuários, permitindo que um único papel de banco de dados atenda a todos os usuários do aplicativo com segurança, evitando a necessidade de criar papéis de banco de dados separados para cada pessoa para aplicar a segurança no nível da linha.

Objetivos

Criar visualizações seguras parametrizadas com parâmetros de visualização nomeados.
Criar o papel de banco de dados usado pelo aplicativo para se conectar ao banco de dados e acessar visualizações seguras parametrizadas.
Conceder permissões de novo papel às visualizações seguras e revogar o acesso às tabelas de base.
Conectar usando o novo papel e verificar se as tabelas restritas não podem ser acessadas.
Executar consultas na visualização segura parametrizada usando a função execute_parameterized_query ou a API QueryData.

Custos

Neste documento, você vai usar os seguintes componentes faturáveis do Google Cloud:

AlloyDB para PostgreSQL

Para gerar uma estimativa de custo baseada na projeção de uso, use a calculadora de preços.

Novos Google Cloud usuários podem estar qualificados para um teste sem custo financeiro.

Para evitar o faturamento contínuo, exclua os recursos criados quando terminar as tarefas neste documento. Para mais informações, consulte Limpeza.

Antes de começar

Conclua os pré-requisitos a seguir antes de criar um conjunto de contexto.

Ativar o faturamento e as APIs necessárias

No Google Cloud console, selecione um projeto.

Acessar o seletor de projetos
Verifique se o faturamento está ativado para seu projeto do Google Cloud .
Ative as APIs do Cloud necessárias para criar e se conectar ao AlloyDB para PostgreSQL.
- Ativar a API
1. Na etapa Confirmar projeto, clique em Avançar para confirmar o nome do projeto no qual você vai fazer alterações.
2. Na etapa Ativar APIs, clique em Ativar para ativar o seguinte:
  - API AlloyDB para PostgreSQL
  - API Dataplex Universal Catalog

Criar e se conectar a um banco de dados

Preparar o ambiente

Para se preparar para executar consultas em uma visualização segura parametrizada, configure o banco de dados, os papéis de banco de dados, a extensão parameterized_view e o esquema do aplicativo.

Ativar a extensão necessária

Ative a flag de banco de dados parameterized_views.enabled, que carrega as bibliotecas de extensão necessárias. Para mais informações, consulte Configurar flags de banco de dados de uma instância.

Configurar o banco de dados

Crie um banco de dados chamado database para os dados do aplicativo e as visualizações parametrizadas. Para mais informações, consulte Criar um banco de dados.

Criar papéis de banco de dados, a extensão e o esquema do aplicativo

Noconsole, acesse a página do AlloyDB. Google Cloud

Acessar o AlloyDB
Selecione um cluster na lista.
No menu de navegação, clique em AlloyDB Studio.
Faça login no Studio usando a autenticação do postgres.
Clique em Autenticar. O painel Explorer mostra uma lista dos objetos no seu banco de dados.
Clique em Nova guia do editor de SQL ou Nova guia para abrir uma nova guia.
Crie a extensão parameterized_views no banco de dados.
```
-- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;
```
Quando a extensão é criada, o sistema também cria um esquema chamado parameterized_views para que as APIs sejam contidas no namespace desse esquema e para que essas APIs não entrem em conflito com as APIs atuais.

**Observação** :é necessário criar uma extensão em cada banco de dados em que as visualizações parametrizadas são criadas.
Faça login como um usuário com privilégios de superusuário, como o usuário postgres integrado. Se você quiser criar um novo superusuário, por exemplo, admin_user, execute os seguintes comandos:
```
CREATE ROLE admin_user WITH LOGIN PASSWORD '...';
GRANT ALL PRIVILEGES ON DATABASE database TO admin_user;
```
Para mais informações, consulte CREATE USER.
Crie um novo papel de banco de dados para executar consultas em visualizações seguras parametrizadas. Esse é um papel do AlloyDB que o aplicativo usa para se conectar e fazer login no banco de dados para executar consultas com acesso limitado a funções ou objetos públicos ao conjunto mínimo necessário.
```
CREATE ROLE psv_user WITH LOGIN PASSWORD '...';
```
Para mais informações, consulte CREATE USER.
Conecte-se como usuário administrativo.
```
SET role TO admin_user;
```
Crie o esquema que contém as tabelas.
```
CREATE SCHEMA schema;
```

Crie as tabelas e insira dados.

CREATE TABLE store.checked_items(bag_id INT,timestamp TIMESTAMP, loc_code CHAR(3), scan_type CHAR(1), location TEXT, customer_id INT);

INSERT INTO store.checked_items (bag_id, timestamp, loc_code, scan_type, location, customer_id) VALUES
(101, '2023-10-26 10:00:00', 'ABC', 'I', 'Warehouse A', 123),
(102, '2023-10-26 10:15:30', 'DEF', 'O', 'Loading Dock B', 456),
(103, '2023-10-26 10:30:45', 'GHI', 'I', 'Conveyor Belt 1', 789),
(104, '2023-10-26 11:00:00', 'JKL', 'O', 'Shipping Area C', 101),
(105, '2023-10-26 11:45:15', 'MNO', 'I', 'Sorting Station D', 202),
(106, '2023-10-26 12:00:00', 'PQR', 'O', 'Truck Bay E', 303);

Criar visualizações seguras parametrizadas e configurar privilégios de acesso

Para criar visualizações seguras parametrizadas e configurar privilégios de acesso adequados para a tabela e as visualizações de base, siga estas etapas:

Noconsole, acesse a página do AlloyDB. Google Cloud

Acessar o AlloyDB
Selecione um cluster na lista.
No menu de navegação, clique em AlloyDB Studio.
Faça login no Studio e conecte-se ao database como admin_user.
Clique em Autenticar. O painel Explorer mostra uma lista dos objetos no seu banco de dados.
Clique em Nova guia do editor de SQL ou Nova guia para abrir uma nova guia.
Para fornecer acesso limitado à visualização, crie uma visualização segura parametrizada:
```
CREATE VIEW store.secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM store.checked_items t
WHERE customer_id = $@app_end_userid;
```
Observação: use nomes de parâmetros exclusivos, como $@app_end_userid, ao criar as visualizações parametrizadas.

Conceda acesso à visualização.

GRANT SELECT ON store.secure_checked_items TO psv_user;

Para acessar a visualização, conceda acesso ao esquema.
```
GRANT USAGE ON SCHEMA store TO psv_user;
```
Revogue o acesso direto à tabela de base.
```
REVOKE ALL PRIVILEGES ON store.checked_items FROM psv_user;
```
Observação: o proprietário da visualização parametrizada precisa ter privilégios SELECT nas tabelas de base. Além disso, o usuário da visualização parametrizada precisa ter USAGE no esquema da visualização e SELECT na visualização. Por exemplo, o admin_use r é o proprietário da visualização parametrizada, então ele tem privilégios SELECT nas tabelas de base, enquanto o psv_user precisa ter USAGE no esquema store e SELECT na visualização.
Faça login como administrador admin_user e conceda o papel psv_user a um usuário autenticado pelo IAM.
```
GRANT psv_user TO "IAM_USER_EMAIL";
```
Substitua IAM_USER_EMAIL pelo endereço de e-mail do usuário do IAM.

Verificar a segurança de dados

Para verificar se as visualizações seguras parametrizadas estão restringindo o acesso às visualizações designadas, faça login no banco de dados como o usuário autenticado pelo IAM. No AlloyDB, os usuários do IAM herdam as permissões dos papéis de banco de dados atribuídos a eles.

Faça login no banco de dados como o usuário autenticado pelo IAM.

Verifique se a tabela de base não pode ser acessada.

SELECT * FROM store.checked_items;
ERROR:  permission denied for table checked_items

Acesse a visualização segura parametrizada usando a função execute_parameterized_query:

SELECT * FROM parameterized_views.execute_parameterized_query(
  query => 'SELECT * from store.secure_checked_items',
  param_names => ARRAY ['app_end_userid'],
  param_values => ARRAY ['303']
);

Consulte a visualização segura parametrizada usando a sintaxe SQL e a solicitação QueryData com parâmetros PSV.

    curl -X POST \
      "https://geminidataanalytics.googleapis.com/v1beta/projects/PROJECT_ID/locations/REGION:queryData" \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json; charset=utf-8" \
      -d '{
        "prompt": "Show me the checked items.",
        "context": {
          "datasource_references": {
            "alloydb": {
              "database_reference": {
                "project_id": "PROJECT_ID",
                "region": "REGION",
                "cluster_id": "CLUSTER_ID",
                "instance_id": "INSTANCE_ID",
                "database_id": "DATABASE_ID"
              }
            }
          },
          "parameterized_secure_view_parameters": {
            "parameters": {
              "app_end_userid": "303"
            }
          }
        },
        "generation_options": {
          "generate_query_result": true,
          "generate_natural_language_answer": true,
          "generate_explanation": true
        }
      }'

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto do Google Cloud .
REGION: a região em que a instância do AlloyDB para PostgreSQL está localizada.
CLUSTER_ID: o ID do cluster do AlloyDB para PostgreSQL.
INSTANCE_ID: o ID da instância do AlloyDB para PostgreSQL.
DATABASE_ID: o ID do banco de dados do AlloyDB para PostgreSQL.

Limpar

excluir o cluster

Quando você exclui o cluster criado na seção Antes de começar, todos os objetos criados também são excluídos.

Noconsole, acesse a página do AlloyDB. Google Cloud

Acessar o AlloyDB
Selecione um cluster na lista.
Clique em Excluir cluster.
Em Excluir cluster, insira o nome do cluster para confirmar que você quer excluir o cluster.

A seguir

Saiba mais sobre visualizações seguras parametrizadas.
Saiba como gerenciar a segurança de dados do aplicativo usando visualizações seguras parametrizadas.