使用Python和Pandas实现的Snowflake权限检查与SQL生成用于IT审计

weixin_307779132025-05-02 8:49
python 复制代码 
import snowflake.connector
import pandas as pd

def get_snowflake_permissions():
    # 连接Snowflake(需要替换实际凭证)
    conn = snowflake.connector.connect(
        user='<USER>',
        password='<PASSWORD>',
        account='<ACCOUNT>',
        warehouse='<WAREHOUSE>',
        role='SECURITYADMIN'
    )
    
    # 结果容器
    results = {
        'role_grants': [],
        'table_privileges': [],
        'views': [],
        'masking_policies': [],
        'row_policies': []
    }

    # 1. 获取角色继承关系
    cur = conn.cursor()
    cur.execute("""
        SELECT granted_to_role, role_granted 
        FROM SNOWFLAKE.ACCOUNT_USAGE.GRANTS_TO_ROLES 
        WHERE PRIVILEGE = 'USAGE' AND GRANTED_ON = 'ROLE'
    """)
    results['role_grants'] = cur.fetchall()

    # 2. 获取表权限
    cur.execute("""
        SELECT grantee, table_catalog, table_schema, table_name, privilege_type 
        FROM INFORMATION_SCHEMA.TABLE_PRIVILEGES
    """)
    results['table_privileges'] = cur.fetchall()

    # 3. 获取视图定义
    cur.execute("""
        SELECT table_catalog, table_schema, table_name, view_definition 
        FROM INFORMATION_SCHEMA.VIEWS
    """)
    results['views'] = cur.fetchall()

    # 4. 获取数据掩码策略
    cur.execute("""
        SELECT policy_name, policy_body, column 
        FROM TABLE(INFORMATION_SCHEMA.POLICY_REFERENCES())
        WHERE POLICY_KIND = 'MASKING_POLICY'
    """)
    results['masking_policies'] = cur.fetchall()

    # 5. 获取行访问策略
    cur.execute("""
        SELECT policy_name, policy_body, ref_column_name, ref_table_name 
        FROM TABLE(INFORMATION_SCHEMA.POLICY_REFERENCES())
        WHERE POLICY_KIND = 'ROW_ACCESS_POLICY'
    """)
    results['row_policies'] = cur.fetchall()

    conn.close()
    return results

def generate_descriptions(data):
    reports = []
    
    # 角色继承描述
    for grant in data['role_grants']:
        reports.append(f"角色 {grant[1]} 被授予给 {grant[0]},实现权限继承")

    # 表权限描述
    for priv in data['table_privileges']:
        reports.append(f"角色 {priv[0]} 在表 {priv[1]}.{priv[2]}.{priv[3]} 拥有 {priv[4]} 权限")

    # 视图描述
    for view in data['views']:
        reports.append(f"存在限制访问视图 {view[0]}.{view[1]}.{view[2]},定义:{view[3]}")

    # 数据掩码描述
    for policy in data['masking_policies']:
        reports.append(f"列 {policy[2]} 应用数据掩码策略 {policy[0]},策略逻辑:{policy[1]}")

    # 行策略描述
    for policy in data['row_policies']:
        reports.append(f"表 {policy[3]} 的 {policy[2]} 列应用行访问策略 {policy[0]},策略逻辑:{policy[1]}")

    return reports

def generate_sql_statements(data):
    sqls = []
    
    # 生成角色继承SQL
    for grant in data['role_grants']:
        sqls.append(f"GRANT ROLE {grant[1]} TO ROLE {grant[0]};")

    # 生成表权限SQL
    for priv in data['table_privileges']:
        sqls.append(
            f"GRANT {priv[4]} ON {priv[1]}.{priv[2]}.{priv[3]} TO ROLE {priv[0]};"
        )

    # 生成数据掩码SQL
    for policy in data['masking_policies']:
        sqls.extend([
            f"CREATE MASKING POLICY {policy[0]} AS {policy[1]};",
            f"ALTER TABLE {policy[2].split('.')[:3]} MODIFY COLUMN {policy[2].split('.')[3]} SET MASKING POLICY {policy[0]};"
        ])

    # 生成行策略SQL
    for policy in data['row_policies']:
        sqls.extend([
            f"CREATE ROW ACCESS POLICY {policy[0]} AS {policy[1]};",
            f"ALTER TABLE {policy[3]} ADD ROW ACCESS POLICY {policy[0]} ON ({policy[2]});"
        ])

    return sqls

if __name__ == "__main__":
    permission_data = get_snowflake_permissions()
    
    print("=== 权限配置描述 ===")
    for desc in generate_descriptions(permission_data):
        print(desc)
    
    print("\n=== 权限重建SQL ===")
    for sql in generate_sql_statements(permission_data):
        print(sql)

    # 可选:将结果保存为DataFrame
    df_role_grants = pd.DataFrame(permission_data['role_grants'], 
        columns=['被授权角色', '授权角色'])
    df_table_priv = pd.DataFrame(permission_data['table_privileges'],
        columns=['角色', '数据库', '模式', '表', '权限'])

输出示例:

复制代码 
=== 权限配置描述 ===
角色 priv_hr_rw 被授予给 dept_hr,实现权限继承
角色 priv_finance_ro 在表 finance_db.salary.reports 拥有 SELECT 权限
存在限制访问视图 finance_db.salary.v_restricted_salary,定义:SELECT employee_id, department, base_salary...
列 hr_db.employee.contacts.phone 应用数据掩码策略 phone_mask,策略逻辑:CASE WHEN CURRENT_ROLE() IN ('DEPT_SALES') THEN '***-***-' || RIGHT(val, 4)...

=== 权限重建SQL ===
GRANT ROLE priv_hr_rw TO ROLE dept_hr;
GRANT SELECT ON finance_db.salary.reports TO ROLE priv_finance_ro;
CREATE MASKING POLICY phone_mask AS (val STRING)...
ALTER TABLE hr_db.employee.contacts MODIFY COLUMN phone SET MASKING POLICY phone_mask;

关键实现逻辑说明:

  1. 数据采集:通过Snowflake系统视图获取五类关键信息

    • 角色继承关系
    • 表级权限分配
    • 视图定义及访问控制
    • 动态数据掩码策略
    • 行级访问策略

  2. 自然语言转换:将原始数据转换为易于理解的描述

    • 使用GRANT ROLE语句解析角色继承
    • 通过视图定义识别列级访问控制
    • 解析策略定义描述安全逻辑

  3. SQL重建:生成可重复执行的权限配置语句

    • 保持原始权限配置的精确重建
    • 处理策略定义中的Lambda表达式
    • 自动生成ALTER语句应用策略

使用注意事项:

  1. 需要确保执行账号具有ACCOUNTADMIN权限
  2. 系统视图数据可能存在最长2小时的延迟
  3. 视图定义中的敏感信息需要进行脱敏处理
  4. 生成的SQL需在测试环境验证后上生产

建议结合Snowflake的ACCESS_HISTORY视图进行权限使用分析,并通过定期运行此脚本实现权限配置的版本化管理。

相关推荐
2501_915374354 小时前
LangChain自动化工作流实战教程:从任务编排到智能决策
python·langchain·自动化
夜光小兔纸5 小时前
SQL Server 查询数据库中所有表中所有字段的数据类型及长度
数据库·sql·sql server
chilavert3185 小时前
深入剖析AI大模型:Prompt 开发工具与Python API 调用与技术融合
人工智能·python·prompt
Mallow Flowers7 小时前
Python训练营-Day31-文件的拆分和使用
开发语言·人工智能·python·算法·机器学习
蓝婷儿7 小时前
Python 爬虫入门 Day 2 - HTML解析入门(使用 BeautifulSoup)
爬虫·python·html
struggle20258 小时前
Burn 开源程序是下一代深度学习框架,在灵活性、效率和可移植性方面毫不妥协
人工智能·python·深度学习·rust
腾飞开源8 小时前
17_Flask部署到网络服务器
python·flask·python web开发·flask快速入门教程·flask框架·flask视频教程·flask会话技术
Mikhail_G9 小时前
Python应用八股文
大数据·运维·开发语言·python·数据分析
mikes zhang9 小时前
Flask文件上传与异常处理完全指南
后端·python·flask
烛阴9 小时前
深入浅出地理解Python元类【从入门到精通】
前端·python
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02DeepSeek各版本说明与优缺点分析03KGG转MP3工具|非KGM文件|解密音频04扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】07基于单片机的智能环境监测系统08零代码入门 | Coze——让大模型接入自己的数据库09【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!10AI Agent | Coze 插件使用指南:从功能解析到实操步骤