Row Level Security(RLS) bize, bir database altında bulunan tablodaki verilerin row bazlı erişim kontrolünü sağlar.
Örnek verecek olursak; Bir işletme düşünün bu işletmenin Sahibi(Boss), Satış Müdürü(Manager), Üretim Mühendisi(Engineer) ve Güvenlik Görevlisi(Bodyguard) olsun.
Bu işletmede araçlar için ürünlerin üretildiğini ve satıldığını düşünelim.
İşletme Sahibi Üretilen ve Satılan tüm ürünleri görebilsin.
Satış Müdürü sadece satılan tüm ürünleri görebilsin.
Üretim Mühendis sadece üretilen ürünleri görebilsin.
Ve son olarak Güvenlik Görevlisinin uygulamaya erişimi olsun fakat bu konu hakkında hiç bir bilgiye erişemesin.
Yukarıdaki senaryomuza göre adım adım bilgilerimizi tamamlayalım.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
USE AdventureWorks2017 CREATE TABLE Product ( ProductID int identity(1,1), Authorized sysname, ProductCase varchar(20), Product varchar(20), Qty int ); |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
USE AdventureWorks2017 INSERT INTO Product VALUES ('Boss','All', 'Car', 5); INSERT INTO Product VALUES ('Engineer','Production', 'Wheel', 1); INSERT INTO Product VALUES ('Engineer','Production','Jant', 4); INSERT INTO Product VALUES ('Manager','Sales', 'Koltuk', 2); INSERT INTO Product VALUES ('Manager','Sales', 'Paspas', 3); INSERT INTO Product VALUES ('Manager','Sales', 'Cam', 6); |
|
1 2 3 |
USE AdventureWorks2017 SELECT * FROM Product; |
Senaryomuzda okumasını istediğimiz ve istemediğimiz kişileri oluşturup ilgili tabloya okuma yetkilerini veriyoruz.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
USE AdventureWorks2017 CREATE USER Boss WITHOUT LOGIN; GRANT SELECT ON dbo.Product TO Boss; CREATE USER Manager WITHOUT LOGIN; GRANT SELECT ON dbo.Product TO Manager; CREATE USER Engineer WITHOUT LOGIN; GRANT SELECT ON dbo.Product TO Engineer; CREATE USER Bodyguard WITHOUT LOGIN; GRANT SELECT ON dbo.Product TO Bodyguard; |
Yeni bir table value function oluşturuyoruz. Bunu oluşturmadaki amacımız RLS yapacağımız verilerde hangi kolon altındaki değerlere göre bunu yapacağız.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
USE AdventureWorks2017 CREATE FUNCTION dbo.tvf_fn_RLS(@Authorized AS sysname) RETURNS TABLE WITH SCHEMABINDING AS RETURN SELECT 1 AS fn_securitypredicate_result WHERE @Authorized = USER_NAME() OR USER_NAME() = 'Boss'; |
Filtrelenecek kolona güvenlik policy ekliyoruz. Policy durumu kesinlikle ON olmalı yoksa RLS çalışmaz.
|
1 2 3 4 5 6 7 8 9 |
USE AdventureWorks2017 CREATE SECURITY POLICY SalesProdFilter ADD FILTER PREDICATE dbo.tvf_fn_RLS(Authorized) ON dbo.Product WITH (STATE = ON); |
Tüm bu işlemlerden sonra tek tek oluşturduğumuz kullanıcılar için sorgu sonuçlarını aşağıda inceleyebilirsiniz.
|
1 2 3 4 5 6 7 |
USE AdventureWorks2017 EXECUTE AS USER = 'Boss'; SELECT * FROM Product; REVERT; |
|
1 2 3 4 5 |
EXECUTE AS USER = 'Manager'; SELECT * FROM Product; REVERT; |
|
1 2 3 4 5 |
EXECUTE AS USER = 'Engineer'; SELECT * FROM Product; REVERT; |
|
1 2 3 4 5 |
EXECUTE AS USER = 'Bodyguard'; SELECT * FROM Product; REVERT; |
