USER MANUALS


グローバルセキュリティポリシー

グローバルセキュリティポリシーでは、特定の条件を確認するすべてのビューと列に適用されるセキュリティ制限を定義できます。この詳細については、管理ガイドの「 グローバルセキュリティポリシー 」ページを参照してください。

グローバルセキュリティポリシーを管理するためのコマンドは以下のとおりです。

  • CREATE GLOBAL_SECURITY_POLICY: 新しいグローバルセキュリティポリシーを作成します。以下の構文を参照してください。管理者またはローカル管理者だけがこのコマンドを実行できます。

  • ALTER GLOBAL_SECURITY_POLICIES: グローバルセキュリティポリシーを編集します。以下の構文を参照してください。管理者またはローカル管理者だけがこのコマンドを実行できます。

  • DESC VQL GLOBAL_SECURITY_POLICY: グローバルセキュリティポリシーの VQL ステートメントを取得します。管理者またはローカル管理者だけがこのコマンドを実行できます。

  • LIST GLOBAL_SECURITY_POLICIES: Virtual DataPort のすべてのグローバルセキュリティポリシーの名前を返します。管理者またはローカル管理者だけがこのコマンドを実行できます。ローカル管理者の場合、このコマンドはそれらの管理者が表示できるグローバルセキュリティポリシーのみを返します。

  • DROP GLOBAL_SECURITY_POLICY: グローバルセキュリティポリシーを削除します。管理者またはローカル管理者だけがこのコマンドを実行できます。

CREATE GLOBAL_SECURITY_POLICY ステートメントの構文
CREATE [ OR REPLACE ] GLOBAL_SECURITY_POLICY <name:identifier>
    [ DESCRIPTION = <description:literal> ]
    ENABLED =  { TRUE | FALSE }
    AUDIENCE <audience>
    ELEMENTS <elements>
    RESTRICTION <restriction>

<audience> ::= (
     ALL
     | <application_type> ROLES ( <identifier_list:roles> )
     | { ANY | NOT_IN } USERS ( <identifier_list:users> )
     | <application_type> ABAC ( <abac_values_list:abac_attrs> )
    )

<elements> ::=
    [ <by_databases:databases> ] ALL VIEWS
    | [ <by_databases:databases> ] VIEWS TAGGED { ANY | ALL } ( <identifier_list:tags> )
    | [ <by_databases:databases> ] VIEWS NOT TAGGED ( <identifier_list:tags> )
    | [ <by_databases:databases> ] COLUMNS TAGGED { ANY | ALL } ( <identifier_list:tags> )
    | [ <by_databases:databases> ] COLUMNS NOT TAGGED ( <identifier_list:tags> )

<restriction> ::=
    DENY
    | DENY [ {ANY | ALL } ( <identifier_list:tags> ) ]
    | CUSTOM <name:identifier> [ <parameters:custom_policy_parameters> ]
    | <filter_condition:filter> REJECT
    | <filter_condition:filter> REJECT { ANY | ALL } ( <identifier_list:tags> )
    | <filter_condition:filter> MASKING { ANY | ALL } ( <identifier_list:tags> )

<application_type> ::=
    ALL
    | ANY
    | NOT_IN

<parameters> ::= PARAMETERS <name:literal> <value> [, <name:literal> <value> ]*

<by_databases> ::= VIEW_DATABASES ( <identifier_list:databases> )

<filter_condition> ::= FILTER = <literal:condition>

<identifier_list> ::= <id:identifier> [, <id:identifier> ]*

<abac_values_list> ::= <name:literal> <abac_operator:operator> <value:literal> [, <name:literal> <abac_operator:operator> <value:literal> ]*

<abac_operator> ::=
    =
    | CONTAINS
    | IN
    | LIKE

CREATE GLOBAL_SECURITY_POLICY の主なパラメータについて以下で説明します。

  • ENABLED: 実行時に適用可能かどうかを示します。

  • AUDIENCE: グローバルセキュリティポリシーが適用される人を示します。

  • ELEMENTS: グローバルセキュリティポリシーが適用されるエレメントを示します。エレメントは、個別ではなくタグで参照します。

  • RESTRICTION: グローバルセキュリティポリシーがトリガーされるときに実行される制限です。

ALTER GLOBAL_SECURITY_POLICIES ステートメントの構文
ALTER GLOBAL_SECURITY_POLICIES ( <global_security_policies_status> );

<global_security_policies_status> ::= <global_security_policy_status> [, <global_security_policy_status> ]

<global_security_policy_status> ::= <name:identifier> ENABLED =  { TRUE | FALSE }

このコマンドを使用して、いくつかのグローバルセキュリティポリシーを有効または無効にすることができます。

グローバルセキュリティポリシー FILTER_ROWS_TO_DEVS_POLICY および MASK_ROWS_TO_DEVS_POLICY を無効にします。
ALTER GLOBAL_SECURITY_POLICIES
   ("FILTER_ROWS_TO_DEVS_POLICY" ENABLED = false, "MASK_ROWS_TO_DEVS_POLICY" ENABLED = false);
Add feedback