Tutorial do NerdGraph: Gerenciar políticas de acesso a dados
Você pode usar nossa APINerdGraph para criar, consultar, atualizar e excluir políticas de acesso a dados. As políticas de acesso a dados controlam a quais partições de log o usuário pode acessar, permitindo restringir o acesso a dados de log confidenciais com base em grupos de usuários.
Requisitos
Para gerenciar políticas de acesso a dados via NerdGraph, você precisa de:
Os seguintes atributos são comumente usados em consultas e alterações de políticas de acesso a dados:
Atributo
Descrição
organizationId
O ID da organização associada à política. Utilizado para filtrar políticas ou definir o escopo da criação de políticas.
id
O identificador único da apólice. Necessário ao atualizar ou excluir uma política específica.
name
Um nome amigável para o usuário para a política de acesso a dados.
policy
O objeto JSON que define as regras da política. Inclui:
rules: Uma matriz de objetos de regra.
operations: As operações a permitir ou negar (ex.: SELECT, *).
eventTypes: Um objeto que especifica quais tipos de evento allow (por exemplo, ["*"]) ou except (por exemplo, ["Log_accessible"]).
accountId
O ID da conta à qual a função concede acesso.
dataAccessPolicyId
O ID da política de acesso a dados que define quais dados em uma conta são permitidos.
roleId
O ID da função que define o nível de acesso.
Operações comuns
A seguir, estão as operações mais comuns para gerenciar políticas de acesso a dados:
Esta consulta recupera todas as concessões de acesso em sua organização e suas respectivas políticas de acesso a dados. Use esta ferramenta para obter quais políticas estão atualmente atribuídas às subvenções.
Opcional. O objeto JSON que define as regras de política atualizadas com operations e eventTypes.
Resposta de amostra
{
"data":{
"dataAccessPolicyUpdate":{
"dataAccessPolicy":{
"assigned":"UNASSIGNED",
"id":"YOUR_DATA_POLICY_ID",
"name":"Test",
"policy":{
"rules":[
{
"eventTypes":{
"allow":["*"],
"except":["Log_inaccessible"]
},
"operations":["SELECT"]
}
]
},
"status":"VALID"
}
}
}
}
Campo de resposta
Descrição
assigned
Indica se a política está atribuída a alguma subvenção (ex.: UNASSIGNED).
id
O identificador único da política de acesso a dados atualizada.
name
O nome da política de acesso aos dados.
policy
O objeto JSON contendo as regras de política atualizadas com operations e eventTypes.
status
O estado da política (ex.: VALID).
Essa mutação exclui uma política de acesso a dados existente.
Importante
Excluir uma política a remove de todas as concessões atribuídas. Usuários em grupos com essas permissões perderão as restrições de acesso a dados definidas pela política.
Mutação de amostra
mutation{
dataAccessPolicyDelete(id:"YOUR_DATA_POLICY_ID"){
dataAccessPolicy{
name
id
policy
status
}
}
}
Parâmetro
Descrição
id
Obrigatório. O ID da política a ser excluída.
Resposta de amostra
{
"data":{
"dataAccessPolicyDelete":{
"dataAccessPolicy":{
"id":"YOUR_DATA_POLICY_ID",
"name":"Test",
"policy":{
"rules":[
{
"eventTypes":{
"allow":["*"],
"except":["Log_inaccessible"]
},
"operations":["SELECT"]
}
]
},
"status":"VALID"
}
}
}
}
Campo de resposta
Descrição
id
O identificador único da política de acesso aos dados excluídos.
name
O nome da política de acesso aos dados excluídos.
policy
O objeto JSON contendo as regras de política que foram excluídas.
status
O estado da política (ex.: VALID).
Essa mutação cria uma nova concessão de acesso que inclui uma política de acesso a dados, atribuindo-a a uma conta e função específicas.
Mutação de amostra
mutation{
authorizationManagementGrantAccess(
grantAccessOptions:{
accountAccessGrants:{
accountId:YOUR_ACCOUNT_ID
dataAccessPolicyId:"YOUR_DATA_POLICY_ID"
roleId:"YOUR_ROLE_ID"
}
}
){
accessGrants{
id
}
}
}
Parâmetro
Descrição
accountId
Obrigatório. O ID da conta à qual conceder acesso.
dataAccessPolicyId
Obrigatório. O ID da política de acesso a dados a ser aplicada.
roleId
Obrigatório. O ID da função define as permissões.
Resposta
A resposta mostra a concessão de acesso recém-criada com seu ID.
Esta mutação atualiza uma concessão de acesso existente para adicionar ou alterar a política de acesso aos dados.