DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Control de Acceso Basado en Roles (RBAC) en Snowflake

Control de Acceso Basado en Roles (RBAC) en Snowflake

Control de Acceso Basado en Roles (RBAC) en Snowflake

Introducción

A medida que las organizaciones trasladan cada vez más sus datos y análisis a la nube, la seguridad de los datos y el control de acceso se convierten en preocupaciones críticas. Snowflake, una popular plataforma de datos en la nube, proporciona robustas características de seguridad, incluida el Control de Acceso Basado en Roles (RBAC). RBAC le permite controlar el acceso a objetos y capacidades en Snowflake en función de los roles otorgados a los usuarios.

Este artículo discute RBAC en Snowflake. Explica cómo funciona RBAC y proporciona ejemplos para ayudarle a familiarizarse con RBAC en Snowflake.

¿Qué es el Control de Acceso Basado en Roles?

El Control de Acceso Basado en Roles determina quién puede acceder a una computadora o recurso en función de los roles de usuario en una empresa. RBAC es un método de control del acceso a la información.

Este sistema asigna permisos a los usuarios en función de sus roles dentro de la organización. Ayuda a garantizar que solo las personas autorizadas puedan acceder a ciertos datos o recursos.

En RBAC, se asocian roles con permisos y se asignan usuarios a roles adecuados. Esto simplifica la gestión del acceso. En lugar de asignar permisos a cada usuario individualmente, puede asignar permisos a roles. Los usuarios de la base de datos Snowflake pertenecen a esos roles según sea necesario.

RBAC ofrece varios beneficios:

  • Gestión de acceso simplificada: los administradores pueden asignar permisos a roles en lugar de a usuarios individuales
  • Mejora de la seguridad: los usuarios solo tienen acceso a los recursos específicos que permite su rol
  • Reducción de la sobrecarga administrativa: con menos asignaciones directas, RBAC reduce la carga de gestión
  • Cumplimiento normativo: RBAC facilita la implementación y demostración de controles de acceso para cumplir con los requisitos normativos

Cómo Funciona RBAC en Snowflake

Snowflake gestiona todo el control de acceso a través de roles y privilegios. Un rol asigna una colección nombrada de privilegios a los usuarios. Los privilegios otorgan la capacidad de realizar ciertas acciones sobre objetos securitizables como bases de datos, esquemas, tablas, etc.

Aquí están los conceptos clave en el modelo RBAC de Snowflake:

  • Roles: Un rol es una colección de privilegios. Los usuarios u otros roles pueden asignar roles.
  • Privilegios: Un privilegio otorga la capacidad de realizar una determinada acción, como crear una base de datos o consultar una tabla. Los roles asignan un conjunto de privilegios a los usuarios.
  • Objetos securizables: Una entidad como una base de datos, esquema, tabla o vista que tiene acceso controlado. Asignamos privilegios a objetos securizables.
  • Control de acceso: Los roles son grupos que controlan el acceso otorgando permisos y asignándolos a usuarios. Los usuarios administradores asignan permisos de roles y roles a los usuarios.
  • Jerarquía de roles: El administrador de la base de datos puede asignar roles a otros roles, creando una jerarquía. Los roles dependientes heredan los privilegios de sus roles principales.

Configurando RBAC en Snowflake

Para implementar RBAC en Snowflake, seguirá estos pasos de alto nivel:

  1. Crear roles
  2. Conceder privilegios a los roles
  3. Asignar roles a usuarios

Vamos a recorrer un ejemplo. Supongamos que tenemos una base de datos simple con datos de ventas que diferentes usuarios necesitan acceder. Crearemos una configuración de RBAC para controlar el acceso.

Primero, vamos a crear la base de datos y la tabla:

CREATE DATABASE sales_db;
CREATE TABLE sales_db.public.orders (
order_id INT,
amount DECIMAL(10,2)
);

A continuación, crearemos algunos roles:

CREATE ROLE admin;
CREATE ROLE analyst;
CREATE ROLE reporter;

Ahora podemos asignar privilegios a los roles:

-- los administradores pueden gestionar la base de datos
GRANT CREATE DATABASE ON ACCOUNT TO ROLE admin;
GRANT CREATE SCHEMA ON DATABASE sales_db TO ROLE admin;
GRANT CREATE TABLE ON ALL SCHEMAS IN DATABASE sales_db TO ROLE admin;
-- los analistas pueden consultar los datos
GRANT USAGE ON DATABASE sales_db TO ROLE analyst;
GRANT USAGE ON SCHEMA sales_db.public TO ROLE analyst;
GRANT SELECT ON ALL TABLES IN SCHEMA sales_db.public TO ROLE analyst;
-- los reporteros pueden ejecutar consultas SELECT 
GRANT USAGE ON DATABASE sales_db TO ROLE reporter;
GRANT USAGE ON SCHEMA sales_db.public TO ROLE reporter;
GRANT SELECT ON ALL TABLES IN SCHEMA sales_db.public TO ROLE reporter;

Finalmente, asignemos roles a los usuarios:

CREATE USER michelle PASSWORD = 'strong_password';
CREATE USER frank PASSWORD = 'another_strong_password';
CREATE USER lisa PASSWORD = 'yet_another_strong_password';
GRANT ROLE admin TO USER michelle;
GRANT ROLE analyst TO USER frank;
GRANT ROLE reporter TO USER lisa;

Michelle tiene privilegios de administrador, Frank tiene privilegios de analista y Lisa tiene privilegios de reportero según los roles asignados.

Podemos probarlo:

-- conectar como michelle 
USE ROLE ADMIN;
CREATE TABLE sales_db.public.customers (customer_id INT); -- éxito
-- conectar como frank
USE ROLE ANALYST;
SELECT * FROM sales_db.public.orders; -- éxito
CREATE TABLE sales_db.public.customers (customer_id INT); -- falla, los analistas solo pueden consultar
-- conectar como lisa
USE ROLE REPORTER;
SELECT * FROM sales_db.public.orders; -- éxito 
CREATE TABLE sales_db.public.customers (customer_id INT); -- falla, los reporteros solo pueden consultar
Cada usuario solo puede hacer lo que su rol les permite hacer, siguiendo la regla de menos privilegio."

Jerarquía de Roles

Las organizaciones pueden organizar los roles de Snowflake en jerarquías, donde un rol dependiente hereda los privilegios de su rol principal. Esto le permite definir acceso amplio en niveles superiores y luego ajustar el acceso creando roles dependientes más específicos bajo ellos.

Por ejemplo, supongamos que queremos crear un rol de “solo lectura” que pueda acceder a múltiples bases de datos. Podemos crear un rol principal con privilegios de SELECT amplios, luego crear roles dependientes para acceso específico:

CREATE ROLE read_only;
GRANT USAGE ON DATABASE sales_db TO ROLE read_only;
GRANT USAGE ON SCHEMA sales_db.public TO ROLE read_only;
GRANT SELECT ON ALL TABLES IN SCHEMA sales_db.public TO ROLE read_only;
GRANT USAGE ON DATABASE marketing_db TO ROLE read_only;
GRANT USAGE ON SCHEMA marketing_db.public TO ROLE read_only;
GRANT SELECT ON ALL TABLES IN SCHEMA marketing_db.public TO ROLE read_only;
CREATE ROLE sales_reader;
GRANT ROLE read_only TO ROLE sales_reader;
CREATE ROLE marketing_reader;
GRANT ROLE read_only TO ROLE marketing_reader;
Ahora los roles sales_reader y marketing_reader heredan los privilegios de SELECT del rol principal read_only. Podemos asignarlos a usuarios según sea necesario:

GRANT ROLE sales_reader TO USER frank;
GRANT ROLE marketing_reader TO USER lisa;

Frank puede acceder a la base de datos de ventas para información. Lisa puede acceder a la base de datos de marketing para información. Ambos tienen el rol principal de solo lectura.

Usar jerarquías de roles con juicio puede hacer que las configuraciones de RBAC sean más fáciles de gestionar y entender. Construya su jerarquía comenzando con roles amplios, luego cree roles dependientes para accesos más granulados y específicos.

Centralizando y Simplificando la Gestión de RBAC

Snowflake tiene un buen sistema para gestionar roles y privilegios. Sin embargo, puede ser difícil manejarlos en una organización grande con muchos usuarios y bases de datos. Aquí es donde las herramientas de terceros como DataSunrise pueden ayudar.

DataSunrise ofrece una suite de herramientas para mejorar y simplificar la seguridad de los datos y el cumplimiento en Snowflake. Su interfaz web intuitiva hace que sea fácil gestionar las configuraciones de RBAC en todas sus bases de datos y almacenes de Snowflake. Puede gestionar usuarios, roles y privilegios desde una consola única.

Además de la gestión de RBAC, DataSunrise proporciona otras características de seguridad críticas para Snowflake, incluyendo:

  • Cifrado y tokenización de datos
  • Enmascaramiento dinámico de datos
  • Firewall SQL para monitoreo en tiempo real y cumplimiento de políticas
  • Auditoría y reporte de datos para cumplir con los requisitos normativos

Si busca formas de mejorar la seguridad y el cumplimiento en su entorno de Snowflake, considere explorar herramientas como DataSunrise. Ofrecemos una demostración gratuita para que pueda ver en acción las capacidades de DataSunrise.

Conclusión

El Control de Acceso Basado en Roles es una herramienta poderosa para gestionar el acceso a datos en Snowflake. RBAC le permite controlar el acceso en detalle otorgando privilegios a roles.

Posteriormente, el administrador de la base de datos asigna estos roles a los usuarios. Esto sigue el principio de menor privilegio. La implementación de RBAC de Snowflake es flexible y robusta, apoyando jerarquías de roles para un control aún más granular.

Aunque RBAC en Snowflake es nativamente robusto, las implementaciones a escala empresarial aún pueden volverse complejas de gestionar. Las herramientas de terceros como DataSunrise pueden ayudar a simplificar y centralizar la gestión de RBAC en todas sus instancias de Snowflake.

Esperamos que este artículo haya sido una introducción útil a RBAC en Snowflake. Para aprender más, consulte la documentación de Snowflake.

Siguiente

Tokenización de Datos

Tokenización de Datos

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]