Geschäftskontext
Ein HR-Analyst benötigt Lesezugriff auf eine Tabelle mit Mitarbeitergehältern, die standardmäßig gesperrt ist. Ein Datenadministrator muss vorübergehend die DATA-Rolle (nicht die allmächtige SUPERUSER-Rolle) übernehmen, um gezielt die Leseberechtigung für die Gruppe der HR-Analysten zu erteilen und so das Prinzip der geringsten Rechte zu wahren.
Über das Set : accessControl
Verwaltung von Zugriffsrechten und Datensicherheit.
Entdecken Sie alle Aktionen von accessControl Datenaufbereitung
Erstellung einer sensiblen HR-Tabelle und einer öffentlichen Tabelle in einer geschützten Caslib.
Kopiert!
| 1 | cas mySession sessopts=(caslib=casuser); |
| 2 | LIBNAME mycas cas sessref=mySession; |
| 3 | |
| 4 | DATA mycas.hr_salaries; |
| 5 | LENGTH employee_id $10 name $50; |
| 6 | employee_id = 'E1001'; name='Schmidt'; salary=75000; OUTPUT; |
| 7 | employee_id = 'E1002'; name='Meyer'; salary=82000; OUTPUT; |
| 8 | RUN; |
| 9 | |
| 10 | /* Annahme: Standardmäßig hat niemand außer dem Ersteller Zugriff auf mycas.hr_salaries */ |
Étapes de réalisation
1
Ein Administrator übernimmt die DATA-Rolle, um Datenberechtigungen zu verwalten, ohne Aktionsberechtigungen zu erhalten.
Kopiert!
| 1 | |
| 2 | PROC CAS; |
| 3 | |
| 4 | SESSION cas_admin; |
| 5 | ACCESSCONTROL.assumeRole / adminRole=" |
| 6 | DATA"; |
| 7 | RUN; |
| 8 |
2
Der Administrator gewährt der Gruppe 'HR_Analysts' die SELECT-Berechtigung (Lesen) für die sensible Tabelle.
Kopiert!
| 1 | |
| 2 | PROC CAS; |
| 3 | |
| 4 | SESSION cas_admin; |
| 5 | ACCESSCONTROL.addControl / TABLE={name="hr_salaries", caslib="casuser"}, grant="SELECT", identityType="GROUP", identity="HR_Analysts"; |
| 6 | RUN; |
| 7 |
3
Simulation: Ein Benutzer in der Gruppe 'HR_Analysts' versucht nun, die Tabelle zu lesen. Dieser Schritt sollte erfolgreich sein.
Kopiert!
| 1 | /* Dieser Schritt würde in einer separaten Sitzung als HR-Analyst ausgeführt werden */ |
| 2 | PROC CAS; SESSION cas_analyst; |
| 3 | TABLE.fetch / TABLE={name="hr_salaries", caslib="casuser"}; |
| 4 | RUN; |
Erwartetes Ergebnis
Der Administrator kann die DATA-Rolle erfolgreich übernehmen und die Zugriffskontrolle für die Tabelle 'hr_salaries' ändern. Ein anschließender Leseversuch durch einen Benutzer der Gruppe 'HR_Analysts' (simuliert) sollte erfolgreich sein und die Daten zurückgeben. Dies validiert die spezifische Wirksamkeit der DATA-Rolle für datenbezogene administrative Aufgaben.