产品指南
安全合规
行级安全策略

行级安全策略

为什么需要行级安全策略?

行级安全策略(Row Level Security,RLS)是实现数据访问控制的重要机制,它允许在表级别对数据行的访问权限进行精细化控制。使用行级安全策略的好处包括:

  • 数据隔离:确保用户只能访问其有权查看的数据行
  • 多租户支持:在共享数据库环境中实现租户数据隔离
  • 合规要求:满足数据隐私保护和访问控制的合规要求
  • 灵活控制:可以根据用户角色、部门或其他属性动态控制数据访问

行级安全策略(Row Level Security,以下简称RLS),允许在表级别对数据行的访问权限进行控制,支持细粒度的访问隔离。它通过管理员对表的行创建访问规则,控制用户可以查看或者修改的行。

RLS应用范围

支持的命令

行级安全策略支持以下命令:ALLSELECTINSERTUPDATEDELETE

适用对象

行级安全策略可以授予多个角色。

行级安全策略可以同时赋予在命令和角色上。

限制说明

全表操作命令,如TRUNCATE、REFERENCES命令由于其特殊的操作方式,不适用于行级权限。

RLS创建语法

CREATE POLICY policy_name ON table_name 
[ FOR { ALL | SELECT | INSERT | UPDATE | DELETE } ] 
[ TO { role_name | PUBLIC | CURRENT_USER | SESSION_USER } [, ...] ] 
[ USING ( using_expression ) ] 
[ WITH CHECK ( check_expression ) ]

参数说明

  • policy_name: 策略名,每个策略都有一个名字,每个表可以定义多个策略,表的范围内策略名字唯一,不同的表可以有同名的策略,当表有多个策略时,多个策略之间是OR的关系。

  • USING: 针对已经存在的记录的校验,可实施在SELECT,INSERT,UPDATE,DELETE,或者ALL上。

  • WITH CHECK: 针对将要新增或变更的记录上的校验,可实施在SELECT,INSERT,UPDATE,DELETE,或者ALL上。

可以使用 CREATE POLICYALTER POLICYDROP POLICY命令来管理策略(创建、修改和删除)。

-- 查询当前策略
SELECT * FROM pg_policies WHERE tablename='table_name';

管理RLS

启用RLS

在目标表启用RLS

ALTER TABLE table_name ENABLE ROW LEVEL SECURITY;

关闭RLS

关闭RLS

ALTER TABLE table_name DISABLE ROW LEVEL SECURITY;

实际应用示例

多租户数据隔离

 
-- 订单数据按照租户分组
CREATE TABLE order_details (order_id text, tenant_name text, order_detail text);
 
ALTER TABLE order_details ENABLE ROW LEVEL SECURITY;
 
-- 控制只能访问自己租户的数据
CREATE POLICY order_multi_tenant ON order_details 
USING (tenant_name = current_user);
 
-- 创建多个策略,它们会被结合应用,多个策略为OR的关系:
CREATE POLICY order_update ON order_details
FOR UPDATE
USING (tenant_name = current_user)
WITH CHECK (order_id IS NOT NULL);
protonbase=> \d order_details
             Table "public.order_details"
    Column    | Type | Collation | Nullable | Default 
--------------+------+-----------+----------+---------
 order_id     | text |           |          | 
 tenant_name  | text |           |          | 
 order_detail | text |           |          | 
Policies:
    POLICY "order_multi_tenant"
      USING ((tenant_name = current_user))
    POLICY "order_update" FOR UPDATE
      USING ((tenant_name = current_user))
      WITH CHECK ((order_id IS NOT NULL))

部门数据访问控制

-- 员工信息表,按部门控制访问
CREATE TABLE employees (
    id SERIAL PRIMARY KEY,
    name VARCHAR(50),
    department VARCHAR(20),
    salary NUMERIC
);
 
ALTER TABLE employees ENABLE ROW LEVEL SECURITY;
 
-- 每个用户只能查看自己部门的员工信息
CREATE POLICY emp_dept_policy ON employees
FOR ALL
TO PUBLIC
USING (department = current_user);
 
-- 管理员可以查看所有部门的数据
CREATE POLICY emp_admin_policy ON employees
FOR ALL
TO admin
USING (true);

最佳实践

策略设计原则

  1. 明确需求:在设计RLS策略前,明确业务需求和数据访问规则
  2. 简单有效:尽量使用简单的表达式,避免复杂的计算影响性能
  3. 性能考虑:RLS会增加查询的复杂度,需要考虑对性能的影响
  4. 测试验证:在生产环境应用前,充分测试RLS策略的正确性

安全建议

  1. 定期审查:定期审查RLS策略,确保其符合当前业务需求
  2. 权限最小化:只授予用户必要的数据访问权限
  3. 监控审计:监控RLS策略的使用情况,记录异常访问
  4. 备份策略:备份重要的RLS策略配置,便于恢复

性能优化

  1. 索引优化:为RLS策略中使用的列创建适当的索引
  2. 表达式简化:尽量简化RLS表达式,减少计算开销
  3. 分区表:对于大数据量的表,考虑使用分区表配合RLS
  4. 缓存策略:对于频繁访问的数据,考虑使用缓存减少RLS检查次数

故障排除

常见问题

  1. 策略不生效

    • 检查是否已启用RLS
    • 验证策略表达式是否正确
    • 确认用户是否具有相应角色

  2. 性能下降

    • 检查RLS表达式的复杂度
    • 验证相关列是否有适当的索引
    • 分析查询执行计划

  3. 权限错误

    • 检查用户角色分配
    • 验证策略中的角色是否正确
    • 确认策略条件是否满足

调试技巧

  1. 使用EXPLAIN命令分析查询计划,查看RLS的影响
  2. 通过SELECT * FROM pg_policies查看当前策略
  3. 使用测试用户验证策略效果
  4. 检查数据库日志获取详细错误信息

更多有关RLS的使用,请参考Row Security Policies

系统授权列级权限控制