我正在屏蔽SQL Server 2017数据库中的某些数据。我用这句话掩盖了一个专栏:
ALTER TABLE lEmployee
ALTER COLUMN FirstName nvarchar(160)
MASKED WITH (FUNCTION = 'partial(2,"xxx",2)')
我可以在sys.columns看到现在已经掩盖了这个。
现在在应用程序中,数据未显示为已屏蔽(当以该用户身份登录时,数据也不显示在数据库中)。我还运行以下内容以确保用户没有此权限。
REVOKE UNMASK TO testuser
任何人都可以告知需要什么样的最小权限,以便数据屏蔽按预期工作。
提前谢谢
答案 0 :(得分:4)
您无法DENY UNMASK和sysadmin db_owner。这是内置限制。
此外,如文档中所述,如果用户可以查询表格,则这不是security功能。
正如文档示例中所示,您不需要授予REVOKE UNMASK,因为它是默认设置的:
DROP TABLE IF EXISTS [dbo].[StackOverflow];
CREATE TABLE [dbo].[StackOverflow]
(MemberID int IDENTITY PRIMARY KEY,
FirstName varchar(100) MASKED WITH (FUNCTION = 'partial(1,"XXXXXXX",0)') NULL,
LastName varchar(100) NOT NULL,
Phone# varchar(12) MASKED WITH (FUNCTION = 'default()') NULL,
Email varchar(100) MASKED WITH (FUNCTION = 'email()') NULL);
INSERT [dbo].[StackOverflow] (FirstName, LastName, Phone#, Email) VALUES
('Roberto', 'Tamburello', '555.123.4567', 'RTamburello@contoso.com'),
('Janice', 'Galvin', '555.123.4568', 'JGalvin@contoso.com.co'),
('Zheng', 'Mu', '555.123.4569', 'ZMu@contoso.net');
SELECT * FROM [dbo].[StackOverflow] ;
CREATE USER TestUser WITHOUT LOGIN;
GRANT SELECT ON [dbo].[StackOverflow] TO TestUser;
EXECUTE AS USER = 'TestUser';
SELECT * FROM [dbo].[StackOverflow] ;
REVERT;
,您不能REVOKE UNMASK到sysadmin和db_owner。