利用行和列安全性提供特定于國家和地區的資料檢視

假設您的企業決定將所有單獨的資料庫和資料集市整合為單獨一個企業HTTP://www.aliyun.com/zixun/aggregation/8302.html">資料倉儲。 除了必要的技術工作之外，整合資料集市可能帶來諸多挑戰。 構建企業資料倉儲往往意味著改動現有策略、創建新策略、組織重組、審查和更改最佳實踐，依此類推。

當然，整合同樣也能帶來許多優勢。 舉例來說，通過消除資料孤島，多個業務線將能夠訪問相同的資訊，允許所有人根據相同的資訊製作報表，最終提高報表準確性。

將來自多個國家（行政區）的資料整合到同一組物理表中時，面臨的挑戰與任何系統或資料集市整合專案並無二致，甚至還要更多一些。 例如，遵守各國的安全性和法規要求，處理貨幣和匯率，這些都是極為複雜的問題。

在未來的文章中，我們將進一步討論有關貨幣和匯率的主題。 首先，我們來查看一下安全性。

行級和列級安全性

儘管隱私性和資料安全性始終是一個關鍵問題，但將來自多個國家（行政區）的資料併入單獨一組表中時，隱私和安全性尤為敏感。 職責分離和關注各國法規與安全合規性法律是不可妥協的要求。

DB2 V10.1 引入了行和列存取控制特性，可説明組織滿足這些要求。 行和列存取控制有時也稱為細細微性存取控制 (FGAC)，它們提供了諸多優勢：

 分離 DBA 和安全性/存取控制職責
 無需查看即可實施安全性，簡化應用程式開發
 能夠控制使用者可查看哪些行（以及這些行中的哪些資料）
 在實施行和列安全性時，無需更改業務查詢

為了演示行和列安全性，下面我們舉例說明如何將不同國家（行政區）的資料整合到同一個表中。

表 REAL_ESTATE_SALES 存儲著有關各國房地產銷售的資料：

CREATE TABLE REAL_ESTATE_SALES
(
COUNTRY_CODE SMALLINT NOT Null,
PROPERTY_TYPE SMALLINT NOT Null,
ACCOUNT_NUMBER INTEGER NOT Null,
TRANSACTION_TYPE VARCHAR (10),
TRANSACTION_AMOUNT DECIMAL (12, 2) NOT Null,
TRANSACTION_DATE DATE NOT Null,
EFFECTIVE_DATE DATE NOT Null,
EXPIRY_DATE DATE NOT Null
)

根據要求，使用者應只能訪問來自其自己國家（行政區）的資料。 行訪問資料安全性的業務需求如下：

1. 資料庫角色將用於確定使用者可以查詢哪些行，而角色的名稱包含該角色定義所對應的國家（行政區）名稱（例如，SINGAPORE_ROLE 角色對應于新加坡）

2. 各國家（行政區）的行將按其國家編碼識別（例如，65 是新加坡的國家編碼）

3. 每名使用者都會被添加到其所在國家（行政區）的資料庫角色之中，因而都僅能訪問來自其所在國家（行政區）的資料為了滿足這項要求，需要使用 CREATE ROLE 和 CREATE PERMISSION 語句。 因此，需要針對各國家（行政區）創建角色：

CREATE ROLE ARGENTINA_ROLE
CREATE ROLE AUSTRALIA_ROLE
CREATE ROLE BRAZIL_ROLE
CREATE ROLE CHINA_ROLE
CREATE ROLE EGYPT_ROLE
CREATE ROLE HONG_KONG_ROLE
CREATE ROLE INDIA_ROLE
CREATE ROLE KENYA_ROLE
CREATE ROLE MEXICO_ROLE
CREATE ROLE NEW_ZEALAND_ROLE
CREATE ROLE SINGAPORE_ROLE
CREATE ROLE SOUTH_AFRICA_ROLE
CREATE ROLE UNITED_ARAB_EMIRATES_ROLE