MEMBUAT KEBIJAKAN KEAMANAN (Transact-SQL)
Berlaku untuk: SQL Server 2016 (13.x) dan versi yang lebih baru Azure SQL Database Azure SQL Managed Instance titik akhir analitik SQL di Microsoft Fabric Warehouse di Microsoft Fabric
Membuat kebijakan keamanan untuk keamanan tingkat baris.
Sintaks
CREATE SECURITY POLICY [schema_name. ] security_policy_name
{ ADD [ FILTER | BLOCK ] } PREDICATE tvf_schema_name.security_predicate_function_name
( { column_name | expression } [ , ...n] ) ON table_schema_name. table_name
[ <block_dml_operation> ] , [ , ...n]
[ WITH ( STATE = { ON | OFF } [,] [ SCHEMABINDING = { ON | OFF } ] ) ]
[ NOT FOR REPLICATION ]
[;]
<block_dml_operation>
[ { AFTER { INSERT | UPDATE } }
| { BEFORE { UPDATE | DELETE } } ]
Argumen
security_policy_name
Nama kebijakan keamanan. Nama kebijakan keamanan harus mematuhi aturan untuk pengidentifikasi dan harus unik dalam database dan skemanya.
schema_name
Adalah nama skema tempat kebijakan keamanan berada. schema_name diperlukan karena pengikatan skema.
[ FILTER | BLOKIR ]
Jenis predikat keamanan untuk fungsi yang terikat ke tabel target. FILTER
predikat memfilter baris yang tersedia untuk membaca operasi secara diam-diam. BLOCK
predikat secara eksplisit memblokir operasi penulisan yang melanggar fungsi predikat.
tvf_schema_name.security_predicate_function_name
Adalah fungsi nilai tabel sebaris yang akan digunakan sebagai predikat dan yang akan diberlakukan pada kueri terhadap tabel target. Paling banyak satu predikat keamanan dapat didefinisikan untuk operasi DML tertentu terhadap tabel tertentu. Fungsi nilai tabel sebaris harus dibuat menggunakan SCHEMABINDING
opsi .
{ column_name | ekspresi }
Nama kolom atau ekspresi yang digunakan sebagai parameter untuk fungsi predikat keamanan. Kolom apa pun pada tabel target dapat digunakan. Ekspresi hanya dapat menyertakan konstanta, fungsi skalar bawaan, operator, dan kolom dari tabel target. Nama kolom atau ekspresi perlu ditentukan untuk setiap parameter fungsi.
table_schema_name.table_name
Adalah tabel target tempat predikat keamanan akan diterapkan. Beberapa kebijakan keamanan yang dinonaktifkan dapat menargetkan satu tabel untuk operasi DML tertentu, tetapi hanya satu yang dapat diaktifkan pada waktu tertentu.
block_dml_operation
Operasi DML tertentu yang predikat bloknya akan diterapkan. AFTER
menentukan bahwa predikat akan dievaluasi pada nilai baris setelah operasi DML dilakukan (INSERT
atau UPDATE
). BEFORE
menentukan bahwa predikat akan dievaluasi pada nilai baris sebelum operasi DML dilakukan (UPDATE
atau DELETE
). Jika tidak ada operasi yang ditentukan, predikat akan berlaku untuk semua operasi.
[ STATE = { ON | NONAKTIF } ]
Mengaktifkan atau menonaktifkan kebijakan keamanan agar tidak menegakkan predikat keamanannya terhadap tabel target. Jika tidak ditentukan, kebijakan keamanan yang dibuat diaktifkan.
[ SCHEMABINDING = { ON | NONAKTIF } ]
Menunjukkan apakah semua fungsi predikat dalam kebijakan harus dibuat dengan SCHEMABINDING
opsi . Secara default pengaturan ini adalah ON
dan semua fungsi harus dibuat dengan SCHEMABINDING
.
BUKAN UNTUK REPLIKASI
Menunjukkan bahwa kebijakan keamanan tidak boleh dijalankan ketika agen replikasi memodifikasi objek target. Untuk informasi selengkapnya, lihat Mengontrol Perilaku Pemicu dan Batasan Selama Sinkronisasi (Pemrograman Transact-SQL Replikasi).
[ table_schema_name . ] table_name
Adalah tabel target tempat predikat keamanan akan diterapkan. Beberapa kebijakan keamanan yang dinonaktifkan dapat menargetkan satu tabel, tetapi hanya satu yang dapat diaktifkan pada waktu tertentu.
Keterangan
Saat menggunakan fungsi predikat dengan tabel yang dioptimalkan memori, Anda harus menyertakan SCHEMABINDING
dan menggunakan WITH NATIVE_COMPILATION
petunjuk kompilasi.
Predikat blok dievaluasi setelah operasi DML yang sesuai dijalankan. Oleh karena itu, ada bahaya bahwa kueri READ UNCOMMITTED dapat melihat nilai sementara yang akan digulung balik.
Izin
Memerlukan izin UBAH KEBIJAKAN KEAMANAN APA PUN dan UBAH izin pada skema.
Selain itu, izin berikut diperlukan untuk setiap predikat yang ditambahkan:
Izin SELECT dan REFERENCES pada fungsi yang digunakan sebagai predikat.
Izin REFERENSI pada tabel target terikat ke kebijakan.
Izin REFERENSI pada setiap kolom dari tabel target yang digunakan sebagai argumen.
Contoh
Contoh berikut menunjukkan penggunaan CREATE SECURITY POLICY
sintaksis. Untuk contoh skenario kebijakan keamanan lengkap, lihat Keamanan tingkat baris.
J. Membuat kebijakan keamanan
Sintaks berikut membuat kebijakan keamanan dengan predikat filter untuk dbo.Customer
tabel, dan membiarkan kebijakan keamanan dinonaktifkan.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate]([CustomerId])
ON [dbo].[Customer];
B. Membuat kebijakan yang memengaruhi beberapa tabel
Sintaks berikut membuat kebijakan keamanan dengan tiga predikat filter pada tiga tabel yang berbeda, dan mengaktifkan kebijakan keamanan.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([CustomerId])
ON [dbo].[Customer],
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([VendorId])
ON [dbo].[ Vendor],
ADD FILTER PREDICATE [rls].[fn_securitypredicate2]([WingId])
ON [dbo].[Patient]
WITH (STATE = ON);
C. Membuat kebijakan dengan beberapa jenis predikat keamanan
Menambahkan predikat filter dan predikat blok ke dbo.Sales
tabel.
CREATE SECURITY POLICY rls.SecPol
ADD FILTER PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales,
ADD BLOCK PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales AFTER INSERT;