Neste tutorial, descrevemos como usar visualizações seguras parametrizadas no AlloyDB Omni para restringir o acesso do usuário a visualizações parametrizadas usando o AlloyDB Omni Studio ou o psql.
Exemplos são incluídos para ilustrar os recursos das visualizações seguras parametrizadas. Esses exemplos são apenas para fins de demonstração.
Objetivos
- Crie visualizações parametrizadas seguras com parâmetros de visualização nomeados.
- Crie a função de banco de dados usada pelo aplicativo para se conectar ao banco de dados e acessar visualizações seguras parametrizadas.
- Conceda as permissões da nova função às visualizações seguras e revogue o acesso às tabelas de base.
- Conecte-se usando a nova função e verifique se não é possível acessar as tabelas restritas.
- Execute consultas na visualização segura parametrizada usando a função
execute_parameterized_query.
Instalar e se conectar a um banco de dados
- Instale o AlloyDB Omni(para Kubernetes, para contêineres).
- Crie um cluster e a instância principal dele.
- Conecte-se à sua instância (para Kubernetes, para contêineres)
Preparar o ambiente
Para se preparar para executar consultas em uma visualização segura parametrizada, primeiro você precisa
configurar visualizações parametrizadas, o banco de dados e os papéis do banco de dados, a
extensão parameterized_view e o esquema do aplicativo.
Antes de usar visualizações seguras parametrizadas, faça o seguinte uma vez em
cada novo contêiner do Postgres. Cada configuração pode ser aplicada usando ALTER SYSTEM ou editando o postgresql.conf diretamente:
- Adicione "parameterized_views" a
shared_preload_libraries. - Ative o recurso definindo
parameterized_views.enabled=on. - Reinicie o postgres para que as mudanças entrem em vigor.
Configurar o banco de dados
- Crie um banco de dados chamado
databasepara os dados do aplicativo e visualizações parametrizadas. Para mais informações, consulte Criar um banco de dados.
Criar papéis de banco de dados, a extensão e o esquema do aplicativo
Usando o psql, conecte-se ao banco de dados como o usuário
postgresou como um usuário com privilégios de superusuário do AlloyDB Omni.psql database -U postgresPara mais informações, consulte Sobre o gerenciamento de usuários do banco de dados no AlloyDB Omni.
Crie a extensão
parameterized_viewsno banco de dados.-- Requires parameterized_views.enabled set to true CREATE EXTENSION parameterized_views;Quando a extensão é criada, o sistema também cria um esquema chamado
parameterized_viewspara que as APIs sejam contidas no namespace desse esquema e não entrem em conflito com as APIs atuais.Crie a função administrativa do AlloyDB Omni, que é proprietária e gerencia o banco de dados.
CREATE ROLE admin_user WITH LOGIN PASSWORD '...'; GRANT ALL PRIVILEGES ON DATABASE database TO admin_user;Para ver mais informações, consulte
CREATE USER.Crie uma nova função de banco de dados para executar consultas em visualizações seguras parametrizadas. É um papel do AlloyDB Omni que o aplicativo usa para se conectar e fazer login no banco de dados para executar consultas com acesso limitado a funções ou objetos públicos ao conjunto mínimo necessário.
Para ver mais informações, consulte
CREATE USER.Conecte-se como usuário administrativo.
SET role TO admin_user;Crie o esquema que contém as tabelas.
CREATE SCHEMA schema;Crie as tabelas e insira os dados.
CREATE TABLE schema.checked_items(bag_id INT,timestamp TIMESTAMP, loc_code CHAR(3), scan_type CHAR(1), location TEXT, customer_id INT); INSERT INTO schema.checked_items (bag_id, timestamp, loc_code, scan_type, location, customer_id) VALUES (101, '2023-10-26 10:00:00', 'ABC', 'I', 'Warehouse A', 123), (102, '2023-10-26 10:15:30', 'DEF', 'O', 'Loading Dock B', 456), (103, '2023-10-26 10:30:45', 'GHI', 'I', 'Conveyor Belt 1', 789), (104, '2023-10-26 11:00:00', 'JKL', 'O', 'Shipping Area C', 101), (105, '2023-10-26 11:45:15', 'MNO', 'I', 'Sorting Station D', 202), (106, '2023-10-26 12:00:00', 'PQR', 'O', 'Truck Bay E', 303);
Criar visualizações parametrizadas seguras e configurar privilégios de acesso
Para criar visualizações parametrizadas seguras e configurar privilégios de acesso adequados para a tabela e as visualizações de base, siga estas etapas:
Usando psql, conecte-se ao banco de dados como
admin_user.psql database -U admin_userPara fornecer acesso limitado à visualização, crie uma visualização segura parametrizada.
CREATE VIEW schema.secure_checked_items WITH (security_barrier) AS SELECT bag_id, timestamp, location FROM schema.checked_items t WHERE customer_id = $@app_end_userid;Conceda acesso à visualização.
GRANT SELECT ON schema.secure_checked_items TO psv_user;Para acessar a visualização, conceda acesso ao esquema.
GRANT USAGE ON SCHEMA schema TO psv_user;Revogue o acesso direto à tabela de base.
REVOKE ALL PRIVILEGES ON schema.checked_items FROM psv_user;
Verificar segurança de dados
Para verificar se as visualizações seguras parametrizadas estão restringindo o acesso às visualizações designadas, execute os seguintes comandos como psv_user. É uma função do banco de dados do AlloyDB Omni que o aplicativo usa para se conectar e fazer login no banco de dados para executar consultas.
Conecte-se como um usuário de visualizações seguras parametrizadas.
psql database -U psv_userVerifique se não é possível acessar a tabela de base.
SELECT * FROM schema.checked_items; ERROR: permission denied for table checked_itemsAcesse a visualização segura parametrizada usando a função
execute_parameterized_query.SELECT * FROM parameterized_views.execute_parameterized_query( query => 'SELECT * from schema.secure_checked_items', param_names => ARRAY ['app_end_userid'], param_values => ARRAY ['303'] );Para melhorar a segurança das consultas geradas em linguagem natural, integre suas visualizações seguras parametrizadas usando linguagem natural.
Limpar
Para limpar, desinstale a instância do AlloyDB Omni ou mantenha a instância e exclua os objetos individuais.
A seguir
- Saiba mais sobre visualizações seguras parametrizadas.
- Saiba como gerenciar a segurança de dados de aplicativos usando visualizações seguras parametrizadas.