使用Python和Pandas实现的Snowflake权限检查与SQL生成用于IT审计

python 复制代码
import snowflake.connector
import pandas as pd

def get_snowflake_permissions():
    # 连接Snowflake(需要替换实际凭证)
    conn = snowflake.connector.connect(
        user='<USER>',
        password='<PASSWORD>',
        account='<ACCOUNT>',
        warehouse='<WAREHOUSE>',
        role='SECURITYADMIN'
    )
    
    # 结果容器
    results = {
        'role_grants': [],
        'table_privileges': [],
        'views': [],
        'masking_policies': [],
        'row_policies': []
    }

    # 1. 获取角色继承关系
    cur = conn.cursor()
    cur.execute("""
        SELECT granted_to_role, role_granted 
        FROM SNOWFLAKE.ACCOUNT_USAGE.GRANTS_TO_ROLES 
        WHERE PRIVILEGE = 'USAGE' AND GRANTED_ON = 'ROLE'
    """)
    results['role_grants'] = cur.fetchall()

    # 2. 获取表权限
    cur.execute("""
        SELECT grantee, table_catalog, table_schema, table_name, privilege_type 
        FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES
    """)
    results['table_privileges'] = cur.fetchall()

    # 3. 获取视图定义
    cur.execute("""
        SELECT table_catalog, table_schema, table_name, view_definition 
        FROM INFORMATION_SCHEMA.VIEWS
    """)
    results['views'] = cur.fetchall()

    # 4. 获取数据掩码策略
    cur.execute("""
        SELECT policy_name, policy_body, column 
        FROM TABLE(INFORMATION_SCHEMA.POLICY_REFERENCES())
        WHERE POLICY_KIND = 'MASKING_POLICY'
    """)
    results['masking_policies'] = cur.fetchall()

    # 5. 获取行访问策略
    cur.execute("""
        SELECT policy_name, policy_body, ref_column_name, ref_table_name 
        FROM TABLE(INFORMATION_SCHEMA.POLICY_REFERENCES())
        WHERE POLICY_KIND = 'ROW_ACCESS_POLICY'
    """)
    results['row_policies'] = cur.fetchall()

    conn.close()
    return results

def generate_descriptions(data):
    reports = []
    
    # 角色继承描述
    for grant in data['role_grants']:
        reports.append(f"角色 {grant[1]} 被授予给 {grant[0]},实现权限继承")

    # 表权限描述
    for priv in data['table_privileges']:
        reports.append(f"角色 {priv[0]} 在表 {priv[1]}.{priv[2]}.{priv[3]} 拥有 {priv[4]} 权限")

    # 视图描述
    for view in data['views']:
        reports.append(f"存在限制访问视图 {view[0]}.{view[1]}.{view[2]},定义:{view[3]}")

    # 数据掩码描述
    for policy in data['masking_policies']:
        reports.append(f"列 {policy[2]} 应用数据掩码策略 {policy[0]},策略逻辑:{policy[1]}")

    # 行策略描述
    for policy in data['row_policies']:
        reports.append(f"表 {policy[3]} 的 {policy[2]} 列应用行访问策略 {policy[0]},策略逻辑:{policy[1]}")

    return reports

def generate_sql_statements(data):
    sqls = []
    
    # 生成角色继承SQL
    for grant in data['role_grants']:
        sqls.append(f"GRANT ROLE {grant[1]} TO ROLE {grant[0]};")

    # 生成表权限SQL
    for priv in data['table_privileges']:
        sqls.append(
            f"GRANT {priv[4]} ON {priv[1]}.{priv[2]}.{priv[3]} TO ROLE {priv[0]};"
        )

    # 生成数据掩码SQL
    for policy in data['masking_policies']:
        sqls.extend([
            f"CREATE MASKING POLICY {policy[0]} AS {policy[1]};",
            f"ALTER TABLE {policy[2].split('.')[:3]} MODIFY COLUMN {policy[2].split('.')[3]} SET MASKING POLICY {policy[0]};"
        ])

    # 生成行策略SQL
    for policy in data['row_policies']:
        sqls.extend([
            f"CREATE ROW ACCESS POLICY {policy[0]} AS {policy[1]};",
            f"ALTER TABLE {policy[3]} ADD ROW ACCESS POLICY {policy[0]} ON ({policy[2]});"
        ])

    return sqls

if __name__ == "__main__":
    permission_data = get_snowflake_permissions()
    
    print("=== 权限配置描述 ===")
    for desc in generate_descriptions(permission_data):
        print(desc)
    
    print("\n=== 权限重建SQL ===")
    for sql in generate_sql_statements(permission_data):
        print(sql)

    # 可选:将结果保存为DataFrame
    df_role_grants = pd.DataFrame(permission_data['role_grants'], 
        columns=['被授权角色', '授权角色'])
    df_table_priv = pd.DataFrame(permission_data['table_privileges'],
        columns=['角色', '数据库', '模式', '表', '权限'])

输出示例:

复制代码
=== 权限配置描述 ===
角色 priv_hr_rw 被授予给 dept_hr,实现权限继承
角色 priv_finance_ro 在表 finance_db.salary.reports 拥有 SELECT 权限
存在限制访问视图 finance_db.salary.v_restricted_salary,定义:SELECT employee_id, department, base_salary...
列 hr_db.employee.contacts.phone 应用数据掩码策略 phone_mask,策略逻辑:CASE WHEN CURRENT_ROLE() IN ('DEPT_SALES') THEN '***-***-' || RIGHT(val, 4)...

=== 权限重建SQL ===
GRANT ROLE priv_hr_rw TO ROLE dept_hr;
GRANT SELECT ON finance_db.salary.reports TO ROLE priv_finance_ro;
CREATE MASKING POLICY phone_mask AS (val STRING)...
ALTER TABLE hr_db.employee.contacts MODIFY COLUMN phone SET MASKING POLICY phone_mask;

关键实现逻辑说明:

  1. 数据采集:通过Snowflake系统视图获取五类关键信息

    • 角色继承关系
    • 表级权限分配
    • 视图定义及访问控制
    • 动态数据掩码策略
    • 行级访问策略
  2. 自然语言转换:将原始数据转换为易于理解的描述

    • 使用GRANT ROLE语句解析角色继承
    • 通过视图定义识别列级访问控制
    • 解析策略定义描述安全逻辑
  3. SQL重建:生成可重复执行的权限配置语句

    • 保持原始权限配置的精确重建
    • 处理策略定义中的Lambda表达式
    • 自动生成ALTER语句应用策略

使用注意事项:

  1. 需要确保执行账号具有ACCOUNTADMIN权限
  2. 系统视图数据可能存在最长2小时的延迟
  3. 视图定义中的敏感信息需要进行脱敏处理
  4. 生成的SQL需在测试环境验证后上生产

建议结合Snowflake的ACCESS_HISTORY视图进行权限使用分析,并通过定期运行此脚本实现权限配置的版本化管理。

相关推荐
晓131336 分钟前
第二章 OpenCV篇-图像阈值的综合操作-Python
python·opencv·计算机视觉·pycharm
Dxy12393102161 小时前
python如何word转pdf
python·pdf·word
大G哥2 小时前
树莓派智能摄像头实战指南:基于TensorFlow Lite的端到端AI部署
人工智能·python·深度学习·机器学习·tensorflow
heyCHEEMS2 小时前
[蓝桥杯 2023 国 Python B] 划分 Java
java·python·蓝桥杯
nanzhuhe3 小时前
loads、dumps、jsonpath使用场景
python
wangzhongyudie3 小时前
SQL实战:04之SQL中的分组问题求解
数据库·hive·sql
闲人编程3 小时前
数据分析案例:环境数据分析
python·数据挖掘·数据分析·pandas·数据预处理·环境数据
李昊哲小课3 小时前
python310 安装 tensorflow-gpu2.10
人工智能·python·深度学习·tensorflow·tensorflow2
橙色小博3 小时前
HTTP协议:原理、应用与python实践
网络·python·网络协议·http
Lw老王要学习3 小时前
Linux架构篇、第1章_02源码编译安装Apache HTTP Server 最新稳定版本是 2.4.62
linux·http·架构·云计算·apache