行级访问控制

可获得性

本特性自openGauss 1.1.0版本开始引入。

特性简介

行级访问控制特性将数据库访问控制精确到数据表行级别，使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作，读取到的结果是不同的。

客户价值

不同用户执行相同的SQL查询操作，读取到的结果是不同的。

特性描述

用户可以在数据表创建行访问控制（Row Level Security）策略，该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时，若SQL满足数据表特定的Row Level Security策略，在查询优化阶段将满足条件的表达式，按照属性（PERMISSIVE | RESTRICTIVE）类型，通过AND或OR方式拼接，应用到执行计划上。

行级访问控制的目的是控制表中行级数据可见性，通过在数据表上预定义Filter，在查询优化阶段将满足条件的表达式应用到执行计划上，影响最终的执行结果。当前受影响的SQL语句包括SELECT、UPDATE、DELETE。

特性增强

无。

特性约束

• 行级访问控制策略仅可以应用到SELECT、UPDATE和DELETE操作，不支持应用到INSERT和MERGE操作。
• 支持对行存表、行存分区表、列存表、列存分区表、复制表、unlogged表、hash表定义行级访问控制策略，不支持外表、临时表定义行级访问控制策略。
• 不支持对视图定义行级访问控制策略。
• 同一张表上可以创建多个行级访问控制策略，一张表最多允许创建100个行级访问控制策略。
• 初始用户和系统管理员不受行级访问控制策略的影响。
• 对于设置了行级访问控制策略的表，需要谨慎授予其他用户对该表的trigger权限，以免其他用户利用触发器绕过行级访问控制策略。

依赖关系

无。