特性约束
-
动态数据脱敏策略需要由具备POLADMIN或SYSADMIN属性的用户或初始用户创建,普通用户没有访问安全策略系统表和系统视图的权限。
-
动态数据脱敏只在配置了脱敏策略的数据表上生效,而审计日志不在脱敏策略的生效范围内。
-
在一个脱敏策略中,对于同一个资源标签仅可指定一种脱敏方式,不可重复指定。
-
不允许多个脱敏策略对同一个资源标签进行脱敏,除以下脱敏场景外:使用FILTER指定策略生效的用户场景,包含相同资源标签的脱敏策略间FILTER生效场景无交集,此时可以根据用户场景明确辨别资源标签被哪种策略脱敏。
-
Filter中的APP项建议仅在同一信任域内使用,由于客户端不可避免的可能出现伪造名称的情况,该选项使用时需要与客户端联合形成一套安全机制,减少误用风险。一般情况下不建议使用,使用时需要注意客户端仿冒的风险。
-
对于带有query子句的INSERT或MERGE INTO操作,如果源表中包含脱敏列,则上述两种操作中插入或更新的结果为脱敏后的值,且不可还原。
-
在内置安全策略开关开启的情况下,执行ALTER TABLE EXCHANGE PARTITION操作的源表若在脱敏列则执行失败。
-
对于设置了动态数据脱敏策略的表,需要谨慎授予其他用户对该表的trigger权限,以免其他用户利用触发器绕过脱敏策略。
-
最多支持创建98个动态数据脱敏策略。
-
仅支持使用上述七种预置脱敏策略。
-
仅支持对只包含COLUMN属性的资源标签做脱敏。
-
仅支持对基本表的列进行数据脱敏。
-
仅支持对SELECT查询到的数据进行脱敏。
-
FILTER中的IP地址以ipv4为例支持如下格式。
ip地址格式 示例 单ip 127.0.0.1 掩码表示ip 127.0.0.1 255.255.255.0 cidr表示ip 127.0.0.1/24 ip区间 127.0.0.1-127.0.0.5 详情查看:opengauss.org 详情查看:docs-opengauss.osinfra.cn
