Início / dba / Perguntas / 344695
Accepted
folow
Asked: 2025-01-14 18:55:01 +0800 CST

Como atribuir SELECT no esquema, mas DENY em uma tabela específica no esquema?

  • 772

No Db2 v11.5 no Linux, tenho vários bancos de dados com centenas de tabelas no esquema MYSCHEMA.

EXIGÊNCIA

a) Preciso atribuir permissão SELECT a todas as tabelas no esquema MYSCHEMA, exceto para uma tabela específica MYSCHEMA.NO_ACCESS à qual os usuários não devem ter acesso.

b) Se uma nova tabela for criada no esquema MYSCHEMA, preciso adicionar manualmente GRANT SELECT na nova tabela. Gostaria de evitar qualquer tipo de administração de segurança quando uma nova tabela for criada.

c) Quando temos auditoria de uma empresa de auditoria, precisa ser simples fornecer informações sobre qual acesso algum usuário tem e qual não tem. Ter centenas de concessões é difícil de mostrar que os usuários realmente têm apenas o acesso de que precisam.

SOLUÇÃO ATUAL

Atualmente, concedemos seleção em todas as tabelas, exceto na tabela MYCHEMA.NO_ACCESS, assim:

GRANT SELECT ON TABLE MYSCHEMA.TAB1 TO GROUP GROUP1
GRANT SELECT ON TABLE MYSCHEMA.TAB2 TO GROUP GROUP1
...
GRANT SELECT ON TABLE MYSCHEMA.TAB5000 TO GROUP GROUP1 
(make sure there is no MYSCHEMA.NO_ACCESS on grant list)

A abordagem acima tem limitações: sempre que uma nova tabela é criada no esquema MYSCHEMA, preciso definir GRANT SELECT na nova tabela.

Além disso, na auditoria, devido às inúmeras permissões, é difícil provar que os usuários realmente têm apenas as permissões que deveriam ter.

NOVA ABORDAGEM, SE POSSÍVEL

O Db2 v11.5 tem o privilégio GRANT SELECTIN no esquema.

Existe algo parecido como:

GRANT SELECTIN ON SCHEMA MYSCHEMA TO GROUP GRUP1
DENY SELECT ON TABLE MYSCHEMA.NO_ACCESS TO GROUP GROUP1

Onde negar tem maior importância que conceder.

Ou existe alguma outra abordagem?

permissions

2 respostas

  1. Best Answer

    Você pode criar uma Permissão de Linha nesta tabela.

    Você deve criar uma função segura com base na função padrão que gera uma exceção:

    CREATE OR REPLACE FUNCTION RAISE_ERROR_MY(P_SQLSTATE CHAR(5), P_MSG VARCHAR(70))
RETURNS INT
CONTAINS SQL
DETERMINISTIC
NO EXTERNAL ACTION
SECURED
RETURN RAISE_ERROR(P_SQLSTATE, P_MSG)::INT

    Usando esta função:

    CREATE PERMISSION DENY_ALL_ON_NO_ACCESS_TO_GROUP1 ON MYSCHEMA.NO_ACCESS
FOR ROWS WHERE
CASE 
  WHEN VERIFY_GROUP_FOR_USER(SESSION_USER, 'GROUP1') = 0 THEN 1
  ELSE RAISE_ERROR_MY('75000', 'Not allowed')
END = 1
ENFORCED FOR ALL ACCESS
ENABLE;

ALTER TABLE MYSCHEMA.NO_ACCESS ACTIVATE ROW ACCESS CONTROL;

    Se o usuário atual for um membro de GROUP1, então o DB2 gera uma exceção com SQLCODE = -438 e SQLSTATE = '75000' em qualquer tentativa de acessar esta tabela. A expressão é avaliada como TRUE, permitindo o acesso à tabela correspondente para não um membro de GROUP1.
    Você não obtém o SQLCODE padrão = -551 em uma tentativa de acesso "errônea", mas não deve ser importante, eu acredito...

    Atualização
    Além disso, você pode até fazer o DB2 levantar uma exceção com SQLCODE = -551 em tal acesso.
    Você precisa usar uma rotina não documentada SYSIBMINTERNAL.SQLEML_RAISE_ERRORpara isso.
    Envolva-a em uma função escalar:

    CREATE OR REPLACE FUNCTION RAISE_ERROR_MY(P_SQLCODE INT, P_MSG VARCHAR(4000))
RETURNS INT
CONTAINS SQL
DETERMINISTIC
NO EXTERNAL ACTION
SECURED
BEGIN --ATOMIC
  CALL SYSIBMINTERNAL.SQLEML_RAISE_ERROR(P_SQLCODE, P_MSG);
  RETURN 0;
END

    e use-o em uma expressão de permissão de linha como abaixo:

    RAISE_ERROR_MY(-551, USER || x'ff' || 'ANY ACCESS' || x'ff' || 'MYSCHEMA.NO_ACCESS')

    Você obtém uma exceção com o SQLCODE/SQLSTATE padrão então.
    Note que você deve usar a função compilada RAISE_ERROR_MY(sem a cláusula ATOMIC). Ela é chamada internamente de qualquer forma CASEna expressão de permissão de linha, lançando uma exceção inesperada caso contrário.

    • 2

  2. Você está certo, é claro, só é possível revogar privs que são concedidos. Embora não seja uma resposta exata para sua pergunta, você pode usar uma solução alternativa como (adicionei revoke e um manipulador para quando o usuário não tem select auth):

    CREATE OR REPLACE PROCEDURE GRANT_ALL_BUT(s VARCHAR(128), t VARCHAR(128), u VARCHAR(128))
LANGUAGE SQL
DYNAMIC RESULT SETS 0
BEGIN
    DECLARE CONTINUE HANDLER FOR SQLSTATE '42504' BEGIN END;
    FOR v AS c1 CURSOR FOR SELECT TABSCHEMA, TABNAME FROM SYSCAT.TABLES WHERE TABSCHEMA = s AND TABNAME <> t
    DO
        EXECUTE IMMEDIATE 'GRANT SELECT ON TABLE ' || v.TABSCHEMA || '.' || v.TABNAME || ' TO USER ' || u;
    END FOR;
    EXECUTE IMMEDIATE 'REVOKE SELECT ON TABLE ' || s || '.' || t || ' FROM USER ' || u;
END @

db2 "create table tmp.t1 (x int)"
db2 "create table tmp.t2 (x int)"

db2 "call GRANT_ALL_BUT('TMP','T1','DB2FENC1')"

    Como db2fenc1:

    db2 "select * from tmp.t2"

X          
-----------

  0 record(s) selected.

db2 "select * from tmp.t1"
SQL0551N  The statement failed because the authorization ID does not have the 
required authorization or privilege to perform the operation.  
Authorization ID: "DB2FENC1".  Operation: "SELECT". Object: "TMP.T1".  SQLSTATE=42501

    Agora vejo que era um grupo, não um usuário, mas fica como exercício para o leitor;-)

    Se isso não for o caso, você pode dar uma olhada no controle de acesso de linha, o usuário (no meu caso db2fenc1), pode selecionar da tabela, mas não pode ver nenhuma linha. Você pode encontrar mais informações em Visão geral do controle de acesso de linha e coluna (RCAC)

    Este é apenas um exemplo bobo:

    DROP TABLE TMP.t1;
DROP TABLE TMP.t2;

CREATE TABLE tmp.t1 (x int);
CREATE TABLE tmp.t2 (x int);

insert into tmp.t1 values (1),(2);
insert into tmp.t2 values (2),(3);

grant selectin on schema tmp to user DB2FENC1;

CREATE PERMISSION ROW_ACCESS ON tmp.t1
FOR ROWS WHERE (SESSION_USER <> 'DB2FENC1')
enforced for all access
enable;

ALTER TABLE tmp.t1 ACTIVATE ROW ACCESS CONTROL;

    O que db2fenc1 vê

    [db2fenc1@db2host ~]$ db2 "select * from tmp.t2"

X          
-----------
          2
          3

  2 record(s) selected.

[db2fenc1@db2host ~]$ db2 "select * from tmp.t1"

X          
-----------

  0 record(s) selected.
    • 1

relate perguntas