グローバルセキュリティポリシー¶
グローバルセキュリティポリシーでは、特定の条件を確認するすべてのビューと列に適用されるセキュリティ制限を定義できます。この詳細については、管理ガイドの「 グローバルセキュリティポリシー 」ページを参照してください。
グローバルセキュリティポリシーを管理するためのコマンドは以下のとおりです。
CREATE GLOBAL_SECURITY_POLICY
: 新しいグローバルセキュリティポリシーを作成します。以下の構文を参照してください。管理者またはローカル管理者だけがこのコマンドを実行できます。ALTER GLOBAL_SECURITY_POLICIES
: グローバルセキュリティポリシーを編集します。以下の構文を参照してください。管理者またはローカル管理者だけがこのコマンドを実行できます。DESC VQL GLOBAL_SECURITY_POLICY
: グローバルセキュリティポリシーの VQL ステートメントを取得します。管理者またはローカル管理者だけがこのコマンドを実行できます。LIST GLOBAL_SECURITY_POLICIES
: Virtual DataPort のすべてのグローバルセキュリティポリシーの名前を返します。管理者またはローカル管理者だけがこのコマンドを実行できます。ローカル管理者の場合、このコマンドはそれらの管理者が表示できるグローバルセキュリティポリシーのみを返します。DROP GLOBAL_SECURITY_POLICY
: グローバルセキュリティポリシーを削除します。管理者またはローカル管理者だけがこのコマンドを実行できます。
CREATE [ OR REPLACE ] GLOBAL_SECURITY_POLICY <name:identifier>
[ DESCRIPTION = <description:literal> ]
ENABLED = { TRUE | FALSE }
AUDIENCE <audience>
ELEMENTS <elements>
RESTRICTION <restriction>
<audience> ::= (
ALL
| <application_type> ROLES ( <identifier_list:roles> )
| { ANY | NOT_IN } USERS ( <identifier_list:users> )
| <application_type> ABAC ( <abac_values_list:abac_attrs> )
)
<elements> ::=
[ <by_databases:databases> ] ALL VIEWS
| [ <by_databases:databases> ] VIEWS TAGGED { ANY | ALL } ( <identifier_list:tags> )
| [ <by_databases:databases> ] VIEWS NOT TAGGED ( <identifier_list:tags> )
| [ <by_databases:databases> ] COLUMNS TAGGED { ANY | ALL } ( <identifier_list:tags> )
| [ <by_databases:databases> ] COLUMNS NOT TAGGED ( <identifier_list:tags> )
<restriction> ::=
DENY
| DENY [ {ANY | ALL } ( <identifier_list:tags> ) ]
| CUSTOM <name:identifier> [ <parameters:custom_policy_parameters> ]
| <filter_condition:filter> REJECT
| <filter_condition:filter> REJECT { ANY | ALL } ( <identifier_list:tags> )
| <filter_condition:filter> MASKING { ANY | ALL } ( <identifier_list:tags> )
<application_type> ::=
ALL
| ANY
| NOT_IN
<parameters> ::= PARAMETERS <name:literal> <value> [, <name:literal> <value> ]*
<by_databases> ::= VIEW_DATABASES ( <identifier_list:databases> )
<filter_condition> ::= FILTER = <literal:condition>
<identifier_list> ::= <id:identifier> [, <id:identifier> ]*
<abac_values_list> ::= <name:literal> <abac_operator:operator> <value:literal> [, <name:literal> <abac_operator:operator> <value:literal> ]*
<abac_operator> ::=
=
| CONTAINS
| IN
| LIKE
CREATE GLOBAL_SECURITY_POLICY
の主なパラメータについて以下で説明します。
ENABLED
: 実行時に適用可能かどうかを示します。AUDIENCE
: グローバルセキュリティポリシーが適用される人を示します。ELEMENTS
: グローバルセキュリティポリシーが適用されるエレメントを示します。エレメントは、個別ではなくタグで参照します。RESTRICTION
: グローバルセキュリティポリシーがトリガーされるときに実行される制限です。
ALTER GLOBAL_SECURITY_POLICIES ( <global_security_policies_status> );
<global_security_policies_status> ::= <global_security_policy_status> [, <global_security_policy_status> ]
<global_security_policy_status> ::= <name:identifier> ENABLED = { TRUE | FALSE }
このコマンドを使用して、いくつかのグローバルセキュリティポリシーを有効または無効にすることができます。
例
ALTER GLOBAL_SECURITY_POLICIES
("FILTER_ROWS_TO_DEVS_POLICY" ENABLED = false, "MASK_ROWS_TO_DEVS_POLICY" ENABLED = false);