跟在 ON 关键字之后的关键字指定授予豁免的安全策略(其标识符跟在 FOR 关键字之后)的预定义 LBAC
访问规则。当授予其豁免的用户访问由指定的安全策略保护的表时,授予其豁免的访问规则不再适用。 要了解对与安全策略相关的读访问和写访问的预定义规则的描述,请参阅章节 与安全策略相关的规则。
下列 GRANT EXEMPTION 语句的关键字标识特定的
IDSLBACRULES 规则,此语句可从此豁免用户:
- IDSLBACREADARRAY 从指定的安全策略的 IDSLBACREADARRAY 规则豁免用户。那个规则要求每一用户安全标签的数组组件必须大于或等于相应的数据行安全标签的数组组件。
- IDSLBACREADSET 从指定的安全策略的 IDSLBACREADSET 规则豁免用户。那个规则要求用户安全标签的每一集合组件必须包括该数据行安全标签的集合组件。
- IDSLBACREADTREE 从指定的安全策略的 IDSLBACREADTREE 规则豁免用户。那个规则要求用户安全标签的每一树组件必须至少包括该数据行安全标签的树组件中的元素之一,或一个这样元素的其他祖先。
- IDSLBACWRITEARRAY WRITEDOWN 从指定的安全策略的 IDSLBACWRITEARRAY 规则的一个方面豁免用户。那个规则要求用户安全标签的每一数组组件必须等于数据行安全标签的数组组件。持有此豁免的用户可写到其数组组件级别低于用户的标签中的级别的行。然而,该用户不可写到其数组组件级别标签高于该用户的标签中级别的行。
- IDSLBACWRITEARRAY WRITEUP 从指定的安全策略的 IDSLBACWRITEARRAY 规则的一个方面豁免用户。持有此豁免的用户可写到其数组组件级别高于该用户的标签中的级别的行。然而,该用户不可写到其标签数组组件级别低于该用户的标签中的级别的行。
- IDSLBACWRITEARRAY(无 WRITEDOWN 或 WRITEUP 关键字)从指定的安全策略的 IDSLBACWRITEARRAY 规则豁免用户。持有此豁免的用户可写到行,不管相应的行标签的数据组件。
- IDSLBACWRITESET 从指定的安全策略的 IDSLBACWRITESET 规则豁免用户。那个规则要求该用户安全标签的每一集合组件必须包括该数据行安全标签的集合组件。
- IDSLBACWRITETREE 从指定的安全策略的 IDSLBACWRITETREE
规则豁免用户。那个规则要求该用户安全标签的每一树组件必须包括该数据行安全标签的树组件中至少一个元素,或一个这样元素的一个祖先。
- ALL 从指定的安全策略的所有 IDSLBACRULES 规则豁免用户。这种形式的豁免要求将数据加载到受保护的表内。
在下列示例中,DBSECADM 从
MegaCorp 安全策略的所有规则授予豁免给用户
manoj 和
sam:
GRANT EXEMPTION ON RULE ALL FOR MegaCorp TO manoj, sam;