Sono inclusi esempi per illustrare le funzionalità delle visualizzazioni sicure con parametri. Questi esempi sono solo a scopo dimostrativo.
Obiettivi
- Crea visualizzazioni sicure con parametri con parametri di visualizzazione denominati.
- Crea il ruolo del database utilizzato dall'applicazione per connettersi al database e accedere alle visualizzazioni sicure con parametri.
- Concedi le autorizzazioni del nuovo ruolo alle visualizzazioni sicure e revoca l'accesso alle tabelle di base.
- Connettiti utilizzando il nuovo ruolo e verifica che non sia possibile accedere alle tabelle con limitazioni.
- Esegui query sulla visualizzazione sicura con parametri utilizzando la funzione
execute_parameterized_query.
Installare e connettersi a un database
Installa AlloyDB Omni utilizzando i container.
Connettiti all'istanza utilizzando i container.
Prepara l'ambiente
Per prepararti a eseguire query su una visualizzazione sicura con parametri, devi prima configurare le visualizzazioni con parametri, il database e i ruoli del database, l'estensione parameterized_view e lo schema dell'applicazione.
Prima di utilizzare le visualizzazioni sicure con parametri, devi eseguire le seguenti operazioni una volta in
ogni nuovo container postgres.
Ogni impostazione può essere applicata utilizzando ALTER SYSTEM o modificando direttamente postgresql.conf:
- Aggiungi "parameterized_views" a
shared_preload_libraries. - Attiva la funzionalità impostando
parameterized_views.enabled=on. - Riavvia postgres per applicare le modifiche.
Configura il database
- Crea un database denominato
databaseper i dati dell'applicazione e le visualizzazioni con parametri.
Crea ruoli del database, l'estensione e lo schema dell'applicazione
Utilizzando psql, connettiti al database come utente
postgreso come utente con privilegi di super userdi AlloyDB Omni.psql database -U postgresCrea l'estensione
parameterized_viewsnel database.-- Requires parameterized_views.enabled set to true CREATE EXTENSION parameterized_views;Quando viene creata l'estensione, il sistema crea anche uno schema denominato
parameterized_viewsin modo che le API siano contenute nello spazio dei nomi dello schema e non siano in conflitto con le API esistenti.Crea il ruolo amministrativo di AlloyDB Omni, che possiede e gestisce il database.
CREATE ROLE admin_user WITH LOGIN PASSWORD '...'; GRANT ALL PRIVILEGES ON DATABASE database TO admin_user;Per ulteriori informazioni, consulta
CREATE USER.Crea un nuovo ruolo del database per l'esecuzione di query sulle visualizzazioni sicure con parametri. Si tratta di un ruolo di AlloyDB Omni che l'applicazione utilizza per connettersi e accedere al database per eseguire query con accesso limitato alle funzioni o agli oggetti pubblici al set minimo richiesto.
Per ulteriori informazioni, consulta
CREATE USER.Connettiti come utente amministratore.
SET role TO admin_user;Crea lo schema contenente le tabelle.
CREATE SCHEMA schema;Crea le tabelle e inserisci i dati.
CREATE TABLE schema.checked_items(bag_id INT,timestamp TIMESTAMP, loc_code CHAR(3), scan_type CHAR(1), location TEXT, customer_id INT); INSERT INTO schema.checked_items (bag_id, timestamp, loc_code, scan_type, location, customer_id) VALUES (101, '2023-10-26 10:00:00', 'ABC', 'I', 'Warehouse A', 123), (102, '2023-10-26 10:15:30', 'DEF', 'O', 'Loading Dock B', 456), (103, '2023-10-26 10:30:45', 'GHI', 'I', 'Conveyor Belt 1', 789), (104, '2023-10-26 11:00:00', 'JKL', 'O', 'Shipping Area C', 101), (105, '2023-10-26 11:45:15', 'MNO', 'I', 'Sorting Station D', 202), (106, '2023-10-26 12:00:00', 'PQR', 'O', 'Truck Bay E', 303);
Crea visualizzazioni sicure con parametri e configura i privilegi di accesso
Per creare visualizzazioni sicure con parametri e configurare i privilegi di accesso appropriati per la tabella e le visualizzazioni di base:
Utilizzando psql, connettiti al database come
admin_user.psql database -U admin_userPer fornire un accesso limitato alla visualizzazione, crea una visualizzazione sicura con parametri.
CREATE VIEW schema.secure_checked_items WITH (security_barrier) AS SELECT bag_id, timestamp, location FROM schema.checked_items t WHERE customer_id = $@app_end_userid;Concedi l'accesso alla visualizzazione.
GRANT SELECT ON schema.secure_checked_items TO psv_user;Per accedere alla visualizzazione, concedi l'accesso allo schema.
GRANT USAGE ON SCHEMA schema TO psv_user;Revoca l'accesso diretto alla tabella di base.
REVOKE ALL PRIVILEGES ON schema.checked_items FROM psv_user;
Verifica la sicurezza dei dati
Per verificare che le visualizzazioni sicure con parametri limitino l'accesso alle visualizzazioni designate, esegui i seguenti comandi come psv_user. Si tratta di un ruolo del database AlloyDB Omni che l'applicazione utilizza per connettersi e accedere al database per eseguire query.
Connettiti come utente delle visualizzazioni sicure con parametri.
sql psql database -U psv_userVerifica che non sia possibile accedere alla tabella di base.
SELECT * FROM schema.checked_items; ERROR: permission denied for table checked_itemsAccedi alla visualizzazione sicura con parametri utilizzando la funzione
execute_parameterized_query.SELECT * FROM parameterized_views.execute_parameterized_query( query => 'SELECT * from schema.secure_checked_items', param_names => ARRAY ['app_end_userid'], param_values => ARRAY ['303'] );Per migliorare la sicurezza delle query generate in linguaggio naturale, integra le visualizzazioni sicure con parametri utilizzando il linguaggio naturale.
Libera spazio
Per eseguire la pulizia, puoi disinstallare l'istanza AlloyDB Omni o conservare l'istanza ed eliminare i singoli oggetti.
Passaggi successivi
- Scopri di più sulle visualizzazioni sicure con parametri.
- Scopri come gestire la sicurezza dei dati delle applicazioni utilizzando le visualizzazioni sicure con parametri views.