CREATE SECURITY POLICY (Transact-SQL)
S’applique à : 
point de terminaison d’analytique SQL Server 2016 (13.x) et versions ultérieures d’Azure SQL Database Azure SQL Managed Instance SQL dans Microsoft Fabric Warehouse
Crée une stratégie de sécurité pour la sécurité au niveau des lignes.
Conventions de la syntaxe Transact-SQL
Syntaxe
CREATE SECURITY POLICY [schema_name. ] security_policy_name
{ ADD [ FILTER | BLOCK ] } PREDICATE tvf_schema_name.security_predicate_function_name
( { column_name | expression } [ , ...n] ) ON table_schema_name. table_name
[ <block_dml_operation> ] , [ , ...n]
[ WITH ( STATE = { ON | OFF } [,] [ SCHEMABINDING = { ON | OFF } ] ) ]
[ NOT FOR REPLICATION ]
[;]
<block_dml_operation>
[ { AFTER { INSERT | UPDATE } }
| { BEFORE { UPDATE | DELETE } } ]
Arguments
security_policy_name
Nom de la stratégie de sécurité. Les noms de stratégie de sécurité doivent respecter les règles applicables aux identificateurs et doivent être uniques dans la base de données et pour son schéma.
schema_name
Nom du schéma auquel appartient la stratégie de sécurité. schema_name est obligatoire en raison de la liaison de schéma.
[ FILTER | BLOCK ]
Type de prédicat de sécurité pour la fonction liée à la table cible. Les prédicats FILTER filtrent de manière silencieuse les lignes disponibles pour les opérations de lecture. Les prédicats BLOCK bloquent de façon explicite les opérations d’écriture qui violent la fonction de prédicat.
tvf_schema_name.security_predicate_function_name
Fonction de valeur de table inline à utiliser comme prédicat et à appliquer dans les requêtes portant sur une table cible. Au plus un prédicat de sécurité peut être défini pour une opération DML particulière sur une table donnée. La fonction de valeur de table inline doit avoir été créée à l'aide de l'option SCHEMABINDING.
{ column_name | expression }
Nom de la colonne ou expression servant de paramètre dans la fonction de prédicat de sécurité. N’importe quelle colonne de la table cible peut être utilisée. Une expression peut uniquement contenir des constantes, des fonctions scalaires intégrées, des opérateurs et des colonnes provenant de la table cible. Vous devez spécifier un nom de colonne ou une expression pour chaque paramètre de la fonction.
table_schema_name.table_name
Table cible à laquelle sera appliqué le prédicat de sécurité. Plusieurs stratégies de sécurité désactivées peuvent cibler une même table pour une opération DML particulière, mais une seule peut être activée à un moment donné.
block_dml_operation
Opération DML particulière pour laquelle le prédicat BLOCK est appliqué. AFTER spécifie que le prédicat est évalué sur les valeurs des lignes après l’exécution de l’opération DML (INSERT ou UPDATE). BEFORE spécifie que le prédicat est évalué sur les valeurs des lignes avant l’exécution de l’opération DML (UPDATE ou DELETE). Si aucune opération n’est spécifiée, le prédicat s’applique à toutes les opérations.
[ STATE = { ON | OFF } ]
Permet à la stratégie de sécurité d'appliquer ses prédicats de sécurité sur les tables cibles, ou l'empêche d'effectuer cette opération. Sauf indication contraire, la stratégie de sécurité en cours de création est activée.
[ SCHEMABINDING = { ON | OFF } ]
Indique si toutes les fonctions de prédicat de la stratégie doivent être créées avec l’option SCHEMABINDING. Par défaut, ce paramètre est défini sur ON et toutes les fonctions doivent être créées avec SCHEMABINDING.
NOT FOR REPLICATION
Indique que la stratégie de sécurité ne doit pas être exécutée quand un agent de réplication modifie l'objet cible. Pour plus d’informations, consultez Contrôler le comportement de déclencheurs et de contraintes au cours de la synchronisation (programmation Transact-SQL de la réplication).
[ table_schema_name. ] table_name
Table cible à laquelle sera appliqué le prédicat de sécurité. Plusieurs stratégies de sécurité désactivées peuvent cibler une même table, mais une seule peut être activée à un moment donné.
Notes
Quand vous utilisez des fonctions de prédicat avec des tables optimisées en mémoire, vous devez inclure SCHEMABINDING et utiliser l’indicateur de compilation WITH NATIVE_COMPILATION.
Les prédicats BLOCK sont évalués après l’exécution de l’opération DML correspondante. Par conséquent, une requête READ UNCOMMITTED risque de voir les valeurs temporaires qui seront restaurées.
autorisations
Nécessite l'autorisation ALTER ANY SECURITY POLICY et l'autorisation ALTER sur le schéma.
En outre, les autorisations suivantes sont requises pour chaque prédicat ajouté :
Les autorisations SELECT et REFERENCES sur la fonction utilisée en tant que prédicat
L'autorisation REFERENCES sur la table cible liée à la stratégie
L'autorisation REFERENCES sur chaque colonne de la table cible utilisée comme arguments
Exemples
Les exemples suivants illustrent l’utilisation de la syntaxe CREATE SECURITY POLICY. Pour obtenir un exemple de scénario de stratégie de sécurité complet, reportez-vous à Sécurité au niveau des lignes.
A. Créer une stratégie de sécurité
La syntaxe suivante crée une stratégie de sécurité avec un prédicat de filtre pour la table dbo.Customer et laisse la stratégie de sécurité désactivée.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate]([CustomerId])
ON [dbo].[Customer];
B. Créer une stratégie qui affecte plusieurs tables
La syntaxe suivante crée une stratégie de sécurité avec trois prédicats de filtre sur trois tables différentes et active la stratégie de sécurité.
CREATE SECURITY POLICY [FederatedSecurityPolicy]
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([CustomerId])
ON [dbo].[Customer],
ADD FILTER PREDICATE [rls].[fn_securitypredicate1]([VendorId])
ON [dbo].[ Vendor],
ADD FILTER PREDICATE [rls].[fn_securitypredicate2]([WingId])
ON [dbo].[Patient]
WITH (STATE = ON);
C. Créer une stratégie avec plusieurs types de prédicats de sécurité
Ajout d’un prédicat FILTER et d’un prédicat BLOCK à la table dbo.Sales.
CREATE SECURITY POLICY rls.SecPol
ADD FILTER PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales,
ADD BLOCK PREDICATE rls.tenantAccessPredicate(TenantId) ON dbo.Sales AFTER INSERT;