跳到主要内容

CREATE-POLICY

CREATE-POLICY

Name

CREATE POLICY

Description

创建策略,包含以下几种:

  1. 创建安全策略 (ROW POLICY),explain 可以查看改写后的 SQL。
  2. 创建数据迁移策略 (STORAGE POLICY),用于冷热数据转换。

语法:

  1. ROW POLICY
CREATE ROW POLICY test_row_policy_1 ON test.table1 
AS {RESTRICTIVE|PERMISSIVE} TO test USING (id in (1, 2));

参数说明:

  • filterType:RESTRICTIVE 将一组策略通过 AND 连接,PERMISSIVE 将一组策略通过 OR 连接
  • 配置多个策略首先合并 RESTRICTIVE 的策略,再添加 PERMISSIVE 的策略
  • RESTRICTIVE 和 PERMISSIVE 之间通过 AND 连接的
  • 不允许对 root 和 admin 用户创建
  1. STORAGE POLICY
CREATE STORAGE POLICY test_storage_policy_1
PROPERTIES ("key"="value", ...);

参数说明:

  • PROPERTIES 中需要指定资源的类型:
    1. storage_resource:指定策略使用的 storage resource 名称。
    2. cooldown_datetime:热数据转为冷数据时间,不能与 cooldown_ttl 同时存在。
    3. cooldown_ttl:热数据持续时间。从数据分片生成时开始计算,经过指定时间后转为冷数据。支持的格式: 1d:1 天 1h:1 小时 50000: 50000 秒

Example

  1. 创建一组行安全策略

    CREATE ROW POLICY test_row_policy_1 ON test.table1 
    AS RESTRICTIVE TO test USING (c1 = 'a');
    CREATE ROW POLICY test_row_policy_2 ON test.table1 
    AS RESTRICTIVE TO test USING (c2 = 'b');
    CREATE ROW POLICY test_row_policy_3 ON test.table1 
    AS PERMISSIVE TO test USING (c3 = 'c');
    CREATE ROW POLICY test_row_policy_3 ON test.table1 
    AS PERMISSIVE TO test USING (c4 = 'd');

    当我们执行对 table1 的查询时被改写后的 sql 为

    select * from (select * from table1 where c1 = 'a' and c2 = 'b' or c3 = 'c' or c4 = 'd')
  2. 创建数据迁移策略

    1. 说明
      • 冷热分层创建策略,必须先创建 resource,然后创建迁移策略时候关联创建的 resource 名
      • 当前不支持删除 drop 数据迁移策略,防止数据被迁移后。策略被删除了,系统无法找回数据
    2. 指定数据冷却时间创建数据迁移策略
    CREATE STORAGE POLICY testPolicy
    PROPERTIES(
    "storage_resource" = "s3",
    "cooldown_datetime" = "2022-06-08 00:00:00"
    );
    1. 指定热数据持续时间创建数据迁移策略
    CREATE STORAGE POLICY testPolicy
    PROPERTIES(
    "storage_resource" = "s3",
    "cooldown_ttl" = "1d"
    );

    相关参数如下:

    • storage_resource:创建的storage resource名称
    • cooldown_datetime:迁移数据的时间点
    • cooldown_ttl:迁移数据距离当前时间的倒计时,单位s。与cooldown_datetime二选一即可

Keywords

CREATE, POLICY

Best Practice