访问规范

授予其安全标签的用户列表可可选地后跟关键字，这些关键字指定对该标签的安全策略保护的数据的访问类型

FOR WRITE ACCESS
这些关键字将标签限定为 IDSLBACRULES，即 IDLSBACWRITEARRAY、IDLSBACWRITESET 和 IDLSBACWRITETREE 的写访问规则。这些规则影响对受保护数据的 INSERT、DELETE 和 UPDATE 操作。
FOR READ ACCESS
这些关键字将标签限定为 IDSLBACRULES，即 IDLSBACWREADARRAY、IDLSBACREADSET 和 IDLSBACREADTREE 的读访问规则。这些规则影响对受保护数据的 SELECT、DELETE 和 UPDATE 操作。
FOR ALL ACCESS
这些关键字将标签应用到上列所有读和写访问规则。如果 GRANT SECURITY LABEL 语句不包括 FOR ... ACCESS 规范，则此选项作为缺省项生效。

要获取更多关于这些基于标签的读和写访问的 IDSLBACRULES 规则的信息，请参阅与安全策略相关的规则。要获取关于可以为特定安全策略授予对这些规则的豁免的信息，请参阅授予豁免的规则。

如果授予用户的读访问安全标签与写访问安全标签不同，那么为这些安全标签组件赋予的值必须服从下列这些规则：

对于类型 ARRAY 的安全标签组件，在两个安全标签中的值必须相同。
对于类型 SET 的安全标签组件，在用于 WRITE 访问的安全标签中给定的值，必须是在用于 READ 访问的安全标签中给定值的子集。如果所有的值相同，则视为子集，且是允许的。
对于类型 TREE 的安全标签组件，用于写访问的安全标签的树组件中的每个元素，必须是用于读访问的安全标签的树组件中的一个元素或一个元素的后代。

总之，当 DBSECADM 尝试将读访问的安全标签授予已持有写访问的安全标签的用户时，或者反之，则读标签不可比写标签更具限制性。否则，GRANT SECURITY LABEL 语句失败并报错。

对于同一安全策略，可将不多于两个标签授予用户。如果授予同一策略的两个标签，则一个标签必须为读访问，且另一个为写访问。如果 DBSECADM 尝试将读访问的安全标签授予用户，而该用户已持有基于同一安全策略的读访问的安全标签，则 GRANT SECURITY LABEL 语句失败并报错。如果两个标签都是写访问的且基于同一安全策略，则导致类似的失败。

在这两种情况下，在可将相同的访问模式和相同的安全策略授予第二个标签之前，必须通过 REVOKE SECURITY LABEL 语句显式地取消第一个安全标签。此规则的唯一例外情况是，如果两个标签都指定组件元素的同一个值。因为在此情况下，两个标签在功能上相同，且不发生错误。