Anwendungsdatensicherheit mit parametrisierten sicheren Ansichten von AlloyDB Omni verwalten

Wählen Sie eine Dokumentenversion aus:

Sie können parametrisierte sichere Ansichten in AlloyDB Omni verwenden, um den Datenzugriff basierend auf anwendungsspezifischen benannten Parametern wie Anmeldedaten von Anwendungsnutzern einzuschränken. Parametrisierte sichere Ansichten verbessern die Sicherheit und Zugriffssteuerung, indem sie die Funktionalität von PostgreSQL-Ansichten erweitern. Diese Ansichten mindern auch die Risiken, die mit dem Ausführen nicht vertrauenswürdiger Abfragen aus Anwendungen verbunden sind, indem sie automatisch Einschränkungen für jede ausgeführte Abfrage erzwingen.

Weitere Informationen finden Sie unter Übersicht über parametrisierte sichere Ansichten und Zugriff auf Anwendungsdaten mit parametrisierten sicheren Ansichten sichern und steuern.

Hinweis

Die Unterstützung für parametrisierte Ansichten von AlloyDB AI wird über parameterized_views bereitgestellt, eine AlloyDB for PostgreSQL-Erweiterung.

Auf dieser Seite wird davon ausgegangen, dass Sie AlloyDB Omni installiert haben. Weitere Informationen finden Sie unter Install AlloyDB Omni unter Linux installieren.

Bevor Sie parametrisierte sichere Ansichten verwenden können, müssen Sie die folgenden Schritte einmal in Ihrer Linux-Umgebung ausführen. Jede Einstellung kann mit ALTER SYSTEM angewendet oder direkt in der Datei postgresql.conf bearbeitet werden.

  1. Fügen Sie parameterized_views zu shared_preload_libraries hinzu.
  2. Aktivieren Sie die Funktion, indem Sie parameterized_views.enabled=on festlegen.

  3. Starten Sie den PostgreSQL-Server neu, damit die Änderungen wirksam werden.

    -- See the current shared_preload_libraries
SHOW shared_preload_libraries;
ALTER SYSTEM SET shared_preload_libraries="...,parameterized_views";
ALTER SYSTEM SET parameterized_views.enabled=on;

  4. Verwenden Sie psql, um die parameterized_views Erweiterung in einer beliebigen Datenbank zu erstellen, in der Sie eine parametrisierte Ansicht erstellen möchten:

    -- Requires parameterized_views.enabled set to true
CREATE EXTENSION parameterized_views;

    Wenn die Erweiterung erstellt wird, erstellt das System auch ein Schema mit dem Namen parameterized_views. So sind die APIs im Namespace dieses Schemas enthalten und geraten nicht mit vorhandenen APIs in Konflikt.

Parametrisierte sichere Ansicht erstellen

So erstellen Sie eine parametrisierte sichere Ansicht:

  1. Führen Sie den CREATE VIEW DDL Befehl aus, wie im folgenden Beispiel gezeigt:

    CREATE VIEW secure_checked_items WITH (security_barrier) AS
SELECT bag_id, timestamp, location
FROM checked_items t
WHERE customer_id = $@app_end_userid;

    Im vorherigen Beispiel ermöglicht die parametrisierte sichere Ansicht den Zugriff auf drei Spalten aus einer Tabelle mit dem Namen checked_items. Die Ansicht beschränkt die Ergebnisse auf Zeilen, in denen checked_items.customer_id mit einem erforderlichen Parameter übereinstimmt. Verwenden Sie die folgenden Attribute:

    • Erstellen Sie die Ansicht mit der Option security_barrier.
    • Wenn Sie Anwendungsnutzer einschränken möchten, sodass sie nur die Zeilen sehen können, auf die sie Zugriff haben, fügen Sie in der Ansichtsdefinition mit der Syntax $@PARAMETER_NAME erforderliche Parameter hinzu. Ein häufiger Anwendungsfall ist das Prüfen des Werts einer Spalte in der WHERE Klausel mit COLUMN = $@PARAMETER_NAME.
    • $@PARAMETER_NAME gibt einen benannten Ansichtsparameter an. Der Wert wird angegeben, wenn Sie die execute_parameterized_query-API verwenden. Für benannte Ansichtsparameter gelten die folgenden Anforderungen:
      • Benannte Ansichtsparameter müssen mit einem Buchstaben (a–z) beginnen.
      • Sie können Buchstaben mit diakritischen Zeichen und nicht lateinischen Buchstaben sowie einen Unterstrich (_) verwenden.
      • Nachfolgende Zeichen können Buchstaben, Unterstriche oder Ziffern (0-9) sein.
      • Benannte Ansichtsparameter dürfen kein $ enthalten.
      • Bei benannten Ansichtsparametern wird die Groß-/Kleinschreibung beachtet. So wird $@PARAMETER_NAME anders als $@parameter_name interpretiert.

  2. Erteilen Sie allen Datenbanknutzern, die die Ansicht abfragen dürfen, die Berechtigung SELECT für die Ansicht.

  3. Erteilen Sie allen Datenbanknutzern, die die Ansicht abfragen dürfen, die Berechtigung USAGE für das Schema, das die in der Ansicht definierten Tabellen enthält.

Weitere Informationen finden Sie unter Zugriff auf Anwendungsdaten mit parametrisierten sicheren Ansichten sichern und steuern.

Sicherheit für Ihre Anwendung konfigurieren

So konfigurieren Sie die Sicherheit für Ihre Anwendungen mit parametrisierten sicheren Ansichten:

  1. Erstellen Sie die sicheren parametrisierten Ansichten als Nutzer mit Administratorzugriff. Dieser Nutzer ist ein AlloyDB Omni-Datenbanknutzer, der administrative Vorgänge für die Anwendung ausführt, einschließlich der Datenbankeinrichtung und der Sicherheitsverwaltung.
  2. Erstellen Sie eine neue Datenbankrolle zum Ausführen von Abfragen für parametrisierte sichere Ansichten. Dies ist eine AlloyDB Omni-Datenbankrolle, die von der Anwendung verwendet wird. Sie dient dazu, eine Verbindung zur Datenbank herzustellen, sich anzumelden und Abfragen für parametrisierte Ansichten auszuführen.
  3. Erteilen Sie der neuen Rolle Berechtigungen für die sicheren Ansichten, einschließlich in der Regel SELECT-Berechtigungen für die Ansichten und USAGE für die Schemas.
  4. Beschränken Sie die Objekte, auf die diese Rolle zugreifen kann, auf die erforderliche Mindestanzahl öffentlicher Funktionen und Objekte, die die Anwendung benötigt. Vermeiden Sie den Zugriff auf Schemas und Tabellen, die nicht öffentlich sind.
  5. Wenn Sie die Ansichten abfragen, stellt die Anwendung die Werte der erforderlichen Ansichtsparameter bereit, die mit der Identität des Anwendungsnutzers verknüpft sind.

Parametrisierte sichere Ansicht abfragen

Verwenden Sie eine der folgenden Optionen, um eine parametrisierte sichere Ansicht abzufragen, die Ihren Anwendungsfall am besten unterstützt:

  • JSON-basiert: Verwenden Sie diese API, um die Abfrage einmal auszuführen und JSON-Zeilen zurückzugeben.
  • CURSOR-basiert: Verwenden Sie diese API bei längeren Abfragen oder bei großen Abfragen, wenn Sie das Ergebnis in Batches abrufen möchten. Die Funktion execute_parameterized_query der Erweiterung parameterized_views akzeptiert einen Cursornamen.
  • PREPARE EXECUTE -Anweisung: Verwenden Sie diese Anweisung für vorbereitete Anweisungen, die mehrmals mit unterschiedlichen Parameterwerten ausgeführt werden können.

Verwenden Sie die Funktion execute_parameterized_query() der Erweiterung parameterized_views, um parametrisierte sichere Ansichten abzufragen.

JSON API

Diese API hat Einschränkungen, da sie einen Cursor für die angegebene Abfrage deklariert. Daher muss die Abfrage mit PostgreSQL Cursorn kompatibel sein. Die CURSOR API unterstützt beispielsweise keine DO- oder SHOW-Anweisungen.

Diese API beschränkt die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen.

Führen Sie die Funktion execute_parameterized_query() mit der folgenden Syntax aus:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Ersetzen Sie Folgendes:

  • SQL_QUERY: Eine SQL-Abfrage, deren FROM-Klausel auf eine oder mehrere parametrisierte sichere Ansichten verweist.
  • PARAMETER_NAMES: Eine Liste von Parameternamen, die als Strings übergeben werden sollen.
  • PARAMETER_VALUES: Eine Liste von Parameterwerten, die übergeben werden sollen.
    • Diese Liste muss dieselbe Größe wie die Liste param_names haben, wobei die Reihenfolge der Werte der Reihenfolge der Namen entspricht.
    • Der genaue Typ der Werte wird aus der Abfrage- und der parametrisierten Ansichtsdefinition abgeleitet. Typkonvertierungen werden bei Bedarf und nach Möglichkeit für den angegebenen Parameterwert durchgeführt. Bei einem Typkonflikt wird ein Fehler ausgegeben.

Die Funktion gibt eine Tabelle mit JSON-Objekten zurück. Jede Zeile in der Tabelle entspricht dem ROW_TO_JSON()-Wert der ursprünglichen Abfrageergebniszeile.

Verwenden Sie das folgende Beispiel, um eine parametrisierte sichere Ansicht abzufragen:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

Mit dieser API wird die Größe des Ergebnissatzes nach Größe in Kilobyte (kB) der Ergebnisse und nach Anzahl der Zeilen begrenzt. Sie können diese Limits mit parameterized_views.json_results_max_size und parameterized_views.json_results_max_rows konfigurieren.

Diese API hat Einschränkungen, da sie einen Cursor für die angegebene Abfrage deklariert. Daher muss die Abfrage mit PostgreSQL Cursorn kompatibel sein. Die CURSOR API unterstützt beispielsweise keine DO- oder SHOW-Anweisungen.

Diese API beschränkt die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen.

Führen Sie die Funktion execute_parameterized_query() mit der folgenden Syntax aus:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Ersetzen Sie Folgendes:

  • SQL_QUERY: Eine SQL-Abfrage, deren FROM-Klausel auf eine oder mehrere parametrisierte sichere Ansichten verweist.
  • PARAMETER_NAMES: Eine Liste von Parameternamen, die als Strings übergeben werden sollen.
  • PARAMETER_VALUES: Eine Liste von Parameterwerten, die übergeben werden sollen.
  • Diese Liste muss dieselbe Größe wie die Liste param_names haben, wobei die Reihenfolge der Werte der Reihenfolge der Namen entspricht.
  • Der genaue Typ der Werte wird aus der Abfrage- und der parametrisierten Ansichtsdefinition abgeleitet. Typkonvertierungen werden bei Bedarf und nach Möglichkeit für den angegebenen Parameterwert durchgeführt. Bei einem Typkonflikt wird ein Fehler ausgegeben.

Die Funktion gibt eine Tabelle mit JSON-Objekten zurück. Jede Zeile in der Tabelle entspricht dem ROW_TO_JSON()-Wert der ursprünglichen Abfrageergebniszeile.

Verwenden Sie das folgende Beispiel, um eine parametrisierte sichere Ansicht abzufragen:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

Mit dieser API wird die Größe des Ergebnissatzes nach Größe in Kilobyte (kB) der Ergebnisse und nach Anzahl der Zeilen begrenzt. Sie können diese Limits mit parameterized_views.json_results_max_size und parameterized_views.json_results_max_rows konfigurieren.

CURSOR API

Diese API hat Einschränkungen, da sie einen Cursor für die angegebene Abfrage deklariert. Daher muss die Abfrage mit PostgreSQL Cursorn kompatibel sein. Die CURSOR API unterstützt beispielsweise keine DO- oder SHOW-Anweisungen.

Diese API beschränkt die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen.

Führen Sie die Funktion execute_parameterized_query() mit der folgenden Syntax aus:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => SQL_QUERY,
    param_names => ARRAY [PARAMETER_NAMES],
    param_values => ARRAY [PARAMETER_VALUES]
)

Ersetzen Sie Folgendes:

  • SQL_QUERY: Eine SQL-Abfrage, deren FROM-Klausel auf eine oder mehrere parametrisierte sichere Ansichten verweist.
  • PARAMETER_NAMES: Eine Liste von Parameternamen, die als Strings übergeben werden sollen.
  • PARAMETER_VALUES: Eine Liste von Parameterwerten, die übergeben werden sollen.
    • Diese Liste muss dieselbe Größe wie die Liste param_names haben, wobei die Reihenfolge der Werte der Reihenfolge der Namen entspricht.
    • Der genaue Typ der Werte wird aus der Abfrage- und der parametrisierten Ansichtsdefinition abgeleitet. Typkonvertierungen werden bei Bedarf und nach Möglichkeit für den angegebenen Parameterwert durchgeführt. Bei einem Typkonflikt wird ein Fehler ausgegeben.

Die Funktion gibt eine Tabelle mit JSON-Objekten zurück. Jede Zeile in der Tabelle entspricht dem ROW_TO_JSON()-Wert der ursprünglichen Abfrageergebniszeile.

Verwenden Sie das folgende Beispiel, um eine parametrisierte sichere Ansicht abzufragen:

SELECT * FROM
parameterized_views.execute_parameterized_query(
    query => 'SELECT * FROM secure_checked_items',
    param_names => ARRAY ['app_end_userid'],
    param_values => ARRAY ['40']
)

Mit dieser API wird die Größe des Ergebnissatzes nach Größe in Kilobyte (kB) der Ergebnisse und nach Anzahl der Zeilen begrenzt. Sie können diese Limits mit parameterized_views.json_results_max_size und parameterized_views.json_results_max_rows konfigurieren.

`PREPARE`-Anweisung

Verwenden Sie den Befehl PREPARE .. AS RESTRICTED, um eine vorbereitete Anweisung zu erstellen, die auf parametrisierte Ansichten verweist. Diese vorbereiteten Anweisungen unterstützen Positionsparameter und erzwingen bei der Ausführung verschiedene Einschränkungen. Weitere Informationen finden Sie unter Sicherheitsmechanismus.

Mit dieser Funktion werden die Befehle PREPARE und EXECUTE erweitert, um benannte Ansichtsparameter zu unterstützen. Verwenden Sie vorbereitete Anweisungen, um den Aufwand für das Parsen, Analysieren und Umschreiben bei jeder Ausführung der Anweisung zu vermeiden. Dies kann zu erheblichen Leistungssteigerungen führen, insbesondere bei häufig ausgeführten oder komplexen Abfragen. Eine vorbereitete Anweisung ist ein serverseitiges Objekt, das die Leistung optimieren kann, indem es eine parametrisierte SQL-Anweisung vorkompiliert und für die spätere Ausführung speichert.

Diese API hat Einschränkungen, da die Anweisung in einer PREPARE-Anweisung zulässig sein muss. Das bedeutet, dass nur SELECT- und VALUES-Anweisungen unterstützt werden.

Diese API beschränkt die Ergebnisse auch nicht nach Größe oder Anzahl der zurückgegebenen Zeilen.

Führen Sie den Befehl PREPARE .. AS RESTRICTED aus, um eine vorbereitete Anweisung zu erstellen, die auf parametrisierte Ansichten verweist:

PREPARE pquery (/POSITIONAL_PARAM_TYPES/)
        AS RESTRICTED query % a query that may refer to parameterized views
EXECUTE pquery (/POSITIONAL_PARAM_VALUES/)
      WITH VIEW PARAMETERS (VIEW_PARAM_NAME1 = VIEW_PARAM_VALUE1[, ...]);

Ersetzen Sie Folgendes:

  • POSITIONAL_PARAM_TYPES: Ein oder mehrere Positionsparameter, die in der RESTRICTED-Abfrage verwendet werden.
  • POSITIONAL_PARAM_VALUES: Die tatsächlichen Werte, die für die in der PREPARE-Anweisung definierten Positionsparameter eingesetzt werden.
  • VIEW_PARAM_NAME: Der Name des Parameters, der von den in der RESTRICTED-Abfrage referenzierten parametrisierten Ansichten erwartet wird.
  • VIEW_PARAM_VALUE: Die tatsächlichen Werte, die an die entsprechenden viewParamName-Parameter der parametrisierten Ansichten übergeben werden.

Wenn Sie Parameter in eine vorbereitete Anweisung einfügen möchten, geben Sie in der PREPARE-Anweisung eine Liste von Datentypen an. In der Anweisung, die Sie vorbereiten, verweisen Sie mit beispielsweise $1 und $2 auf die Parameter nach Position.

Verwenden Sie den Befehl EXECUTE .. WITH VIEW PARAMETERS, um eine zuvor vorbereitete Anweisung auszuführen, die Sie mit dem Befehl PREPARE .. AS RESTRICTED erstellt haben. Wenn die PREPARE-Anweisung, mit der die Anweisung erstellt wurde, Positionsparameter angegeben hat, müssen Sie eine kompatible Gruppe von Parametern an die EXECUTE-Anweisung übergeben. Sie müssen alle benannten Ansichtsparameter, die von parametrisierten Ansichten benötigt werden, in der Klausel WITH VIEW PARAMETERS übergeben.

Verwenden Sie das folgende Beispiel, um eine parametrisierte sichere Ansicht abzufragen:

PREPARE pquery (timestamp) AS RESTRICTED SELECT * FROM secure_checked_items WHERE timestamp > $1;

EXECUTE pquery (current_date - 1) WITH VIEW PARAMETERS (app_end_userid = 40);
EXECUTE pquery (current_date - 30) WITH VIEW PARAMETERS (app_end_userid = 40);

Erzwungene Einschränkungen für Abfragen

Die folgende Liste enthält die eingeschränkten Vorgänge für Abfragen, die Sie mit den unter Parametrisierte sichere Ansicht abfragen beschriebenen Optionen ausführen:

  • Jeder rekursive Aufruf von APIs (execute_parameterized_query oder mit EXECUTE .. WITH VIEW PARAMETERS) ist verboten, sodass nur die von der Anwendung angegebenen Werte verwendet werden. Diese Einschränkung verhindert auch, dass die Abfrage verwendet wird, um die Sicherheitsumgebung der angegebenen Gruppe von Parameterwerten zu umgehen.
  • Einige Erweiterungen, die eine neue Hintergrundsitzung starten, sind nicht zulässig, darunter die Erweiterungen dblink, pg_cron und pg_background.

  • Die folgende Liste enthält die zulässigen Abfragekonstrukte, die eingeschränkt sind:

    • SELECT-Anweisungen mit Lesezugriff sind zulässig.
    • SHOW-Anweisungen, CALL-Anweisungen und DO-Anweisungen mit Lesezugriff sind zulässig.
    • DML-Anweisungen wie INSERT, UPDATE und DELETE sind nicht zulässig.
    • DDL-Anweisungen wie CREATE TABLE und ALTER TABLE sind nicht zulässig.
    • Andere Anweisungstypen wie LOAD, SET, CLUSTER, LOCK, CHECKPOINT und EXPLAIN sind nicht zulässig.

  • EXPLAIN-Anweisungen sind nicht zulässig, um die Möglichkeit von Angriffen über verdeckte Kanäle mit Abfrageplänen zu vermeiden. Weitere Informationen finden Sie unter Verdeckter Kanal.

  • Parametrisierte sichere Ansichten bieten Einstellungen, mit denen Sie Ressourcen verwalten können, die von den APIs zum Abfragen parametrisierter Ansichten verwendet werden, z. B. parameterized_views.statement_timeout. Weitere Informationen finden Sie unter AlloyDB for PostgreSQL-Flags.

Alle parametrisierten Ansichten auflisten

Verwenden Sie die Erweiterung parameterized_views, um alle parametrisierten Ansichten in der Datenbank mit der Ansicht all_parameterized_views aufzulisten. Die Ausgabe dieser Ansicht entspricht der pg_views Katalog Ansicht, aber all_parameterized_views listet nur Ansichten mit benannten Ansichtsparametern auf.

Verwenden Sie das folgende Beispiel, um parametrisierte Ansichten aufzulisten:

postgres=# select * from parameterized_views.all_parameterized_views ;
schemaname |      viewname      | viewowner |                       definition
-----------+--------------------+-----------+---------------------------------------------------------
public     | checked_items_view | postgres  |  SELECT checked_items.bag_id,                          +
           |                    |           |     checked_items."timestamp",                         +
           |                    |           |     checked_items.location                             +
           |                    |           |    FROM checked_items                                  +
           |                    |           |   WHERE (checked_items.customer_id = $@app_end_userid);

Wenn Sie eine parametrisierte Ansicht in all_parameterized_views auflisten möchten, muss die parametrisierte Ansicht in ihrer Definition mindestens einen benannten Ansichtsparameter enthalten.

Nächste Schritte