Esta página foi traduzida pela API Cloud Translation.

Proteger e controlar o acesso aos dados do aplicativo usando visualizações seguras parametrizadas

Neste tutorial, descrevemos como usar visualizações seguras parametrizadas no AlloyDB para PostgreSQL para restringir o acesso do usuário a visualizações parametrizadas usando o AlloyDB Studio ou o psql.

Exemplos são incluídos para ilustrar os recursos das visualizações seguras parametrizadas. Esses exemplos são apenas para fins de demonstração.

Pré-requisitos

Ativar o faturamento e as APIs necessárias

No Google Cloud console, selecione um projeto.

Acessar o seletor de projetos
Verifique se o faturamento está ativado para seu projeto do Google Cloud .
Ative as APIs do Cloud necessárias para criar e se conectar ao AlloyDB para PostgreSQL.

Ativar a API
1. Na etapa Confirmar projeto, clique em Avançar para confirmar o nome do projeto no qual você vai fazer alterações.
2. Na etapa Ativar APIs, clique em Ativar para ativar o seguinte:
  - API AlloyDB

Criar e se conectar a um banco de dados

Preparar o ambiente

Para se preparar para executar consultas em uma visualização segura parametrizada, primeiro você precisa configurar visualizações parametrizadas, o banco de dados e os papéis do banco de dados, a extensão parameterized_view e o esquema do aplicativo.

Ativar a extensão necessária

Ative a flag de banco de dados parameterized_views.enabled, que carrega as bibliotecas de extensão necessárias. Para mais informações, consulte Configurar flags de banco de dados de uma instância.

Configurar o banco de dados

Crie um banco de dados chamado database para os dados do aplicativo e visualizações parametrizadas. Para mais informações, consulte Criar um banco de dados.

Criar papéis de banco de dados, a extensão e o esquema do aplicativo

Usando o AlloyDB Studio ou o psql, conecte-se ao banco de dados como o usuário postgres ou como um usuário com privilégios de superusuário do AlloyDB.
```
psql database -U postgres
```
Para mais informações, consulte Sobre o gerenciamento de usuários de banco de dados no AlloyDB.
Crie a extensão parameterized_views no banco de dados.
```
-- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;
```
Quando a extensão é criada, o sistema também cria um esquema chamado parameterized_views para que as APIs sejam contidas no namespace desse esquema e não entrem em conflito com as APIs atuais.

Observação: é necessário criar uma extensão em todos os bancos de dados em que as visualizações parametrizadas são criadas.
Crie a função administrativa do AlloyDB, que possui e gerencia o banco de dados.
```
CREATE ROLE admin_user WITH LOGIN PASSWORD '...';
 GRANT ALL PRIVILEGES ON DATABASE database TO admin_user;
```
Para ver mais informações, consulte CREATE USER.
Crie uma nova função de banco de dados para executar consultas em visualizações seguras parametrizadas. É uma função do AlloyDB que o aplicativo usa para se conectar e fazer login no banco de dados para executar consultas com acesso limitado a funções ou objetos públicos ao conjunto mínimo necessário.
```
CREATE ROLE psv_user WITH LOGIN PASSWORD '...';
```
Para ver mais informações, consulte CREATE USER.
Conecte-se como usuário administrativo.
```
SET role TO admin_user;
```
Crie o esquema que contém as tabelas.
```
CREATE SCHEMA schema;
```

Crie as tabelas e insira os dados.

CREATE TABLE schema.checked_items(bag_id INT,timestamp TIMESTAMP, loc_code CHAR(3), scan_type CHAR(1), location TEXT, customer_id INT);

INSERT INTO schema.checked_items (bag_id, timestamp, loc_code, scan_type, location, customer_id) VALUES
(101, '2023-10-26 10:00:00', 'ABC', 'I', 'Warehouse A', 123),
(102, '2023-10-26 10:15:30', 'DEF', 'O', 'Loading Dock B', 456),
(103, '2023-10-26 10:30:45', 'GHI', 'I', 'Conveyor Belt 1', 789),
(104, '2023-10-26 11:00:00', 'JKL', 'O', 'Shipping Area C', 101),
(105, '2023-10-26 11:45:15', 'MNO', 'I', 'Sorting Station D', 202),
(106, '2023-10-26 12:00:00', 'PQR', 'O', 'Truck Bay E', 303);

Criar visualizações parametrizadas seguras e configurar privilégios de acesso

Para criar visualizações parametrizadas seguras e configurar privilégios de acesso adequados para a tabela e as visualizações de base, siga estas etapas:

Usando o AlloyDB Studio ou o psql, conecte-se ao banco de dados como admin_user.
```
psql database -U admin_user
```

Para fornecer acesso limitado à visualização, crie uma visualização segura parametrizada:

CREATE VIEW schema.secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM schema.checked_items t
WHERE customer_id = $@app_end_userid;

Conceda acesso à visualização.

GRANT SELECT ON schema.secure_checked_items TO psv_user;

Para acessar a visualização, conceda acesso ao esquema.
```
GRANT USAGE ON SCHEMA schema TO psv_user;
```

Revogue o acesso direto à tabela de base.

REVOKE ALL PRIVILEGES ON schema.checked_items FROM psv_user;

Verificar segurança de dados

Para verificar se as visualizações seguras parametrizadas estão restringindo o acesso às visualizações designadas, execute os seguintes comandos como psv_user. É uma função do banco de dados do AlloyDB que o aplicativo usa para se conectar e fazer login no banco de dados para executar consultas.

Conecte-se como um usuário de visualizações seguras parametrizadas.
```
psql database -U psv_user
```

Verifique se não é possível acessar a tabela de base.

SELECT * FROM schema.checked_items;
ERROR:  permission denied for table checked_items

Acesse a visualização segura parametrizada usando a função execute_parameterized_query:

SELECT * FROM parameterized_views.execute_parameterized_query(
  query => 'SELECT * from schema.secure_checked_items',
  param_names => ARRAY ['app_end_userid'],
  param_values => ARRAY ['303']
);

Para melhorar a segurança das consultas geradas em linguagem natural, integre suas visualizações seguras parametrizadas usando a linguagem natural da IA do AlloyDB.