安全标签组件的类型和元素

安全标签组件它自己包含一个或多个 CREATE SECURITY LABEL COMPONENT 语句声明为字符串变量的元素。这些元素定义对此组件有效的值的集合。

当 CREATE SECURITY LABEL 语句成功执行， GBase 8s 更新了具有以下新条目的数据库的系统目录：

它在 sysseclabelcomponents 表中创建新行以注册新的组件。
对于新组件的每个元素，它在 sysseclabelcomponentelements 表中创建新行。

安全标签组件必须定义为三种组件类型之一。紧跟在组件名称声明之后的 ARRAY 、SET 或 TREE关键字指定组件类型，它必须跟随在此安全组件的元素列表之后。这些元素定义组件在安全策略内可具有的值的集合。对于所有安全标签策略的三种类型，元素集具有以下限制：

安全组件不能拥有超过 64 个的元素。
安全组件的每个元素都是不超过 32 字节的带引号的字符串变量。
在带引号字符串变量中的字符不能包含左括号（ ( ）或右括号（ )）、逗号（ , ）或冒号（ : ），但是 DB_LOCALE 设置支持的其它符号是有效的，包括空格符（ASCII 32）。
每个元素在同一安全策略组件的元素中必须唯一，但是同一引号字符串变量还可以是其它安全标签组件的元素。

组件中每个元素的定义隐含与数据库表或单个数据行相关联的安全标签的数据敏感性的级别，还影响了拥有读取或写入由同一标签或指定该组件的一个或多个元素的不同标签保护的数据的安全标签的用户的安全凭证。

就像其它可定义数据库对象的数据库 SQL 数据定义语言，CREATE SECURITY LABEL COMPONENT 必须为每个组件元素指定一个字符值，而非占位符。要更改现有安全标签组件的定义，DBSECADM 可使用 ALTER SECURITY LABEL COMPONENT 向 ARRAY 、SET 或 TREE 组件中插入新元素。然而，要删除或重命名一个或多个组件的单个元素， DBSECADM 必须使用 DROP SECURITY LABEL COMPONENT 语句销毁现有的组件，然后重新发出 CREATE SECURITY LABEL COMPONENT 语句来创建新的组件，定义所需的组件结构内的元素值集。