Gérer la sécurité des données des applications à l'aide de vues sécurisées paramétrées AlloyDB

Cette page explique comment utiliser des vues sécurisées paramétrées dans AlloyDB pour PostgreSQL, ce qui vous permet de limiter l'accès aux données en fonction de paramètres nommés spécifiques à l'application, tels que les identifiants des utilisateurs de l'application. Les vues sécurisées paramétrées améliorent la sécurité et le contrôle des accès en étendant les fonctionnalités des vues PostgreSQL. Ces vues réduisent également les risques d'exécution de requêtes non fiables à partir d'applications en appliquant automatiquement des restrictions à toute requête exécutée.

Pour en savoir plus, consultez la présentation des vues sécurisées paramétrées et la section Sécuriser et contrôler l'accès aux données d'application à l'aide de vues sécurisées paramétrées.

Avant de commencer

Cette page suppose que vous avez créé un cluster et une instance AlloyDB. Pour en savoir plus, consultez la section Créer une base de données.

Avant d'utiliser des vues sécurisées paramétrées, vous devez procéder comme suit :

  1. Activez l'option de base de données parameterized_views.enabled, qui charge les bibliothèques d'extension requises. Vous devez activer cette option, même si elle a déjà été activée par l'équipe AlloyDB. Pour en savoir plus sur l'activation de l'option de base de données, consultez la section Configurer les options de base de données d'une instance.

  2. Utilisez AlloyDB Studio ou psql pour créer l'extension parameterized_views dans n'importe quelle base de données dans laquelle vous souhaitez créer une vue paramétrée :

    -- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;

    Lorsque l'extension est créée, un schéma nommé parameterized_views est également créé par le système afin que les API soient contenues dans l'espace de noms de ce schéma et qu'elles n'entrent pas en conflit avec les API existantes.

Créer une vue sécurisée paramétrée

Pour créer une vue sécurisée paramétrée, procédez comme suit :

  1. Exécutez la CREATE VIEW commande LDD, comme illustré dans l'exemple suivant :

    CREATE VIEW secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM checked_items t
WHERE customer_id = $@app_end_userid;

    Dans l'exemple précédent, la vue sécurisée paramétrée autorise l'accès à trois colonnes d'une table nommée checked_items. La vue limite les résultats aux lignes où checked_items.customer_id correspond à un paramètre obligatoire.

    Utilisez les attributs suivants :

    • Créez la vue à l'aide de l'option security_barrier.
    • Pour limiter les utilisateurs de l'application afin qu'ils ne puissent afficher que les lignes auxquelles ils sont autorisés à accéder, ajoutez les paramètres requis dans la définition de la vue à l'aide de la syntaxe $@PARAMETER_NAME. Un cas d'utilisation courant consiste à vérifier la valeur d'une colonne dans la clause WHERE à l'aide de COLUMN = $@PARAMETER_NAME.
    • $@PARAMETER_NAME indique un paramètre de vue nommé. Sa valeur est fournie lorsque vous utilisez l'API execute_parameterized_query. Les paramètres de vue nommés doivent répondre aux exigences suivantes :
      • Les paramètres de vue nommés doivent commencer par une lettre (a-z).
      • Vous pouvez utiliser des lettres avec des signes diacritiques et des lettres non latines, ainsi qu'un trait de soulignement (_).
      • Les caractères suivants peuvent être des lettres, des traits de soulignement ou des chiffres (0-9).
      • Les paramètres de vue nommés ne peuvent pas contenir de $.
      • Les paramètres de vue nommés sont sensibles à la casse. Par exemple, $@PARAMETER_NAME est interprété différemment de $@parameter_name.

  2. Accordez l'autorisation SELECT sur la vue à tout utilisateur de base de données autorisé à interroger la vue.

  3. Accordez l'autorisation USAGE sur le schéma contenant les tables définies dans la vue à tout utilisateur de base de données autorisé à interroger la vue.

Pour en savoir plus, consultez la section Sécuriser et contrôler l'accès aux données d'application à l'aide de vues sécurisées paramétrées.

Configurer la sécurité de votre application

Pour configurer la sécurité de vos applications à l'aide de vues sécurisées paramétrées, procédez comme suit :

  1. Créez les vues sécurisées paramétrées en tant qu'utilisateur administrateur. Cet utilisateur est un utilisateur de base de données AlloyDB qui effectue des opérations d'administration pour l'application, y compris la configuration de la base de données et l'administration de la sécurité.

  2. Créez un rôle de base de données pour exécuter des requêtes sur des vues sécurisées paramétrées. Il s'agit d'un rôle de base de données AlloyDB que l'application utilise pour se connecter et se connecter à la base de données, et pour exécuter des requêtes sur des vues paramétrées.

    1. Accordez au nouveau rôle des autorisations sur les vues sécurisées, ce qui inclut généralement les droits SELECT sur les vues et USAGE sur les schémas.
    2. Limitez les objets auxquels ce rôle peut accéder à l'ensemble minimal requis de fonctions et d'objets publics dont l'application a besoin. Évitez de fournir un accès aux schémas et aux tables qui ne sont pas publics.
    3. Pour réduire les risques de sécurité, révoquez l'accès de ce rôle à tous les schémas ou objets sensibles qui ne sont pas strictement requis par le rôle.

    Lorsque vous interrogez les vues, l'application fournit les valeurs des paramètres de vue requis, qui sont liés à l'identité de l'utilisateur de l'application.

    Pour en savoir plus, consultez la section Créer un utilisateur de base de données.

Interroger une vue sécurisée paramétrée

Pour interroger une vue sécurisée paramétrée, utilisez l'une des options suivantes qui correspond le mieux à votre cas d'utilisation :

  • Basée sur JSON : utilisez cette API pour exécuter la requête en une seule fois et renvoyer des lignes JSON.
  • Basée sur CURSOR : utilisez cette API lorsque vous avez des requêtes de longue durée ou lorsque vous avez des requêtes volumineuses et que vous souhaitez extraire le résultat par lot. La fonction execute_parameterized_query fournie par l'extension parameterized_views accepte un nom de curseur.
  • Instruction PREPARE EXECUTE : utilisez-la pour les instructions préparées qui peuvent être exécutées plusieurs fois avec différentes valeurs de paramètres.

Pour interroger des vues sécurisées paramétrées, vous utilisez la fonction execute_parameterized_query() fournie par l'extension parameterized_views.

API JSON

Cette API présente des limites, car elle déclare un curseur pour la requête donnée. Par conséquent, la requête doit être compatible avec les curseurs PostgreSQL. Par exemple, l'API CURSOR n'est pas compatible avec les instructions DO ni SHOW.

Cette API ne limite pas non plus les résultats par taille ni par nombre de lignes renvoyées.

Exécutez la fonction execute_parameterized_query(), dont la syntaxe est la suivante :

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Remplacez les éléments suivants :

  • SQL_QUERY: requête SQL dont la clause FROM fait référence à une ou plusieurs vues sécurisées paramétrées.
  • PARAMETER_NAMES: liste de noms de paramètres à transmettre sous forme de chaînes.
  • PARAMETER_VALUES : liste de valeurs de paramètres à transmettre.
    • Cette liste doit avoir la même taille que la liste param_names, où l'ordre des valeurs correspond à l'ordre des noms.
    • Le type exact des valeurs est déduit de la requête et de la définition de la vue paramétrée. Les conversions de type sont effectuées si nécessaire et si possible pour la valeur de paramètre donnée. En cas de non-concordance de type, une erreur est générée.

La fonction renvoie une table d'objets JSON. Chaque ligne du tableau est équivalente à la valeur ROW_TO_JSON() de la ligne de résultat de la requête d'origine.

Utilisez l'exemple suivant pour interroger une vue sécurisée paramétrée :

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

L'utilisation de cette API limite la taille de l'ensemble de résultats par taille exprimée en kilo-octets (Ko) des résultats et par nombre de lignes. Vous pouvez configurer ces limites à l'aide de parameterized_views.json_results_max_size et parameterized_views.json_results_max_rows.

API CURSOR

Exécutez la fonction execute_parameterized_query(), qui crée et renvoie un CURSOR à portée de transaction que vous utilisez pour récupérer les résultats de la requête :

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    cursor_name => CURSOR_NAME,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Remplacez les éléments suivants :

  • SQL_QUERY: requête SQL dont la clause FROM fait référence à une ou plusieurs vues sécurisées paramétrées.
  • CURSOR_NAME : nom du curseur à déclarer.
  • PARAMETER_NAMES: liste de noms de paramètres à transmettre sous forme de chaînes.
  • PARAMETER_VALUES : liste de valeurs de paramètres à transmettre. Cette liste doit avoir la même taille que la liste param_names, où l'ordre des valeurs correspond à l'ordre des noms. Le type exact des valeurs est déduit de la requête et de la définition de la vue paramétrée. Les conversions de type sont effectuées si nécessaire et si possible pour la valeur de paramètre donnée. En cas de non-concordance de type, une erreur est générée.

Utilisez l'exemple suivant pour interroger une vue sécurisée paramétrée :

  -- start a transaction as the that is the default lifetime of a CURSOR
  BEGIN;
  -- create a cursor called 'mycursor'
  SELECT * FROM parameterized_views.execute_parameterized_query(
   query => 'SELECT * FROM secure_checked_items',
   cursor_name => 'mycursor'
   param_names => ARRAY ['app_end_userid'],
   param_values => ARRAY ['40']
  );

  -- then, to actually fetch the results
  FETCH ALL FROM mycursor;
  -- end the transaction, which will clean up the cursor
  END;

Le curseur renvoyé est un curseur NO SCROLL WITHOUT HOLD. Vous ne pouvez pas utiliser le curseur pour récupérer des lignes de manière non séquentielle, par exemple dans le sens inverse. Vous ne pouvez pas utiliser le curseur en dehors de la transaction qui l'a créé.

Instruction PREPARE

Utilisez la commande PREPARE .. AS RESTRICTED pour créer une instruction préparée qui fait référence à des vues paramétrées. Ces instructions préparées sont compatibles avec les paramètres positionnels et appliquent diverses restrictions lorsque vous les exécutez. Pour en savoir plus, consultez la section Mécanisme de sécurité.

Cette fonctionnalité étend les PREPARE et EXECUTE commands pour prendre en charge les paramètres de vue nommés. Utilisez des instructions préparées pour éviter la surcharge liée à l'analyse, à l'analyse et à la réécriture chaque fois que l'instruction est exécutée, ce qui peut entraîner des gains de performances significatifs, en particulier pour les requêtes fréquemment exécutées ou complexes. Une instruction préparée est un objet côté serveur qui peut optimiser les performances en précompilant et en stockant une instruction SQL paramétrée pour une exécution ultérieure.

Cette API présente des limites, car l'instruction doit être autorisée dans une instruction PREPARE, ce qui signifie que seules les instructions SELECT et VALUES sont compatibles.

Cette API ne limite pas non plus les résultats par taille ni par nombre de lignes renvoyées.

Pour créer une instruction préparée qui fait référence à des vues paramétrées, exécutez la commande PREPARE .. AS RESTRICTED :

PREPARE pquery (/POSITIONAL_PARAM_TYPES/)
        AS RESTRICTED query % a query that may refer to parameterized views
EXECUTE pquery (/POSITIONAL_PARAM_VALUES/)
      WITH VIEW PARAMETERS (VIEW_PARAM_NAME1 = VIEW_PARAM_VALUE1[, ...]);

Remplacez les éléments suivants :

  • POSITIONAL_PARAM_TYPES: un ou plusieurs paramètres positionnels utilisés dans la requête RESTRICTED.
  • POSITIONAL_PARAM_VALUES: valeurs réelles qui sont substituées aux paramètres positionnels définis dans l'instruction PREPARE.
  • VIEW_PARAM_NAME: nom du paramètre attendu par les vues paramétrées référencées dans la requête RESTRICTED.
  • VIEW_PARAM_VALUE: valeurs réelles transmises aux paramètres viewParamName correspondants des vues paramétrées.

Pour inclure des paramètres dans une instruction préparée, fournissez une liste de types de données dans l'instruction PREPARE. Dans l'instruction que vous préparez, vous faites référence aux paramètres par position à l'aide de $1 et $2, par exemple.

Utilisez la commande EXECUTE .. WITH VIEW PARAMETERS pour exécuter une instruction préparée précédemment que vous avez créée à l'aide de la commande PREPARE .. AS RESTRICTED. Si l'instruction PREPARE qui a créé l'instruction a spécifié des paramètres positionnels, vous devez transmettre un ensemble de paramètres compatibles à l'instruction EXECUTE. Vous devez transmettre tous les paramètres de vue nommés requis par les vues paramétrées dans la clause WITH VIEW PARAMETERS.

Utilisez l'exemple suivant pour interroger une vue sécurisée paramétrée :

PREPARE pquery (timestamp) AS RESTRICTED SELECT * FROM secure_checked_items WHERE timestamp > $1;

EXECUTE pquery (current_date - 1) WITH VIEW PARAMETERS (app_end_userid = 40);
EXECUTE pquery (current_date - 30) WITH VIEW PARAMETERS (app_end_userid = 40);

Restrictions appliquées aux requêtes

La liste suivante répertorie l'ensemble des opérations restreintes pour les requêtes que vous exécutez à l'aide des options décrites dans la section Interroger une vue sécurisée paramétrée :

  • Toute invocation récursive d'une API (execute_parameterized_query ou à l'aide de EXECUTE .. WITH VIEW PARAMETERS) est interdite, de sorte que seules les valeurs spécifiées par l'application sont utilisées. Cette restriction empêche également l'utilisation de la requête pour contourner l'enveloppe de sécurité de l'ensemble de valeurs de paramètres donné.
  • Certaines extensions qui démarrent une nouvelle session en arrière-plan ne sont pas autorisées, y compris les extensions dblink, pg_cron et pg_background.
  • La liste suivante répertorie l'ensemble des constructions de requêtes autorisées qui sont restreintes :
    • Les instructions SELECT en lecture seule sont autorisées.
    • Les instructions SHOW, CALL et DO en lecture seule sont autorisées.
    • Les instructions LMD telles que INSERT, UPDATE et DELETE ne sont pas autorisées.
    • Les instructions LDD telles que CREATE TABLE et ALTER TABLE ne sont pas autorisées.
    • Les autres types d'instructions tels que LOAD, SET, CLUSTER, LOCK, CHECKPOINT et EXPLAIN ne sont pas autorisés.
  • Les instructions EXPLAIN sont interdites par défaut pour éviter la possibilité d' attaques de canal caché à l'aide de plans de requête. Pour en savoir plus, consultez la section Canal caché. Toutefois, pour exécuter des instructions EXPLAIN, tout utilisateur de base de données disposant de droits de super-utilisateur AlloyDB peut définir le GUC au niveau de la session parameterized_views.enable_explain sur on.
  • Les vues sécurisées paramétrées fournissent des paramètres pour vous aider à gérer les ressources utilisées par les API pour interroger les vues paramétrées, telles que parameterized_views.statement_timeout. Pour en savoir plus, consultez la section Options de base de données compatibles.

Répertorier toutes les vues paramétrées

Utilisez l'extension parameterized_views pour répertorier toutes les vues paramétrées de la base de données à l'aide de la vue all_parameterized_views. Le résultat de cette vue est identique à celui de la pg_views vue de catalogue, mais all_parameterized_views ne répertorie que les vues avec des paramètres de vue nommés.

Pour répertorier les vues paramétrées, utilisez l'exemple suivant :

postgres=# select * from parameterized_views.all_parameterized_views ;
schemaname |      viewname      | viewowner |                       definition
-----------+--------------------+-----------+---------------------------------------------------------
public     | checked_items_view | postgres  |  SELECT checked_items.bag_id,                          +
           |                    |           |     checked_items."timestamp",                         +
           |                    |           |     checked_items.location                             +
           |                    |           |    FROM checked_items                                  +
           |                    |           |   WHERE (checked_items.customer_id = $@app_end_userid);

Pour répertorier une vue paramétrée dans all_parameterized_views, assurez-vous qu'elle contient au moins un paramètre de vue nommé dans sa définition.

Étape suivante