跟在 ON 关键字之后的关键字指定取消豁免的安全策略(其标识符跟在 FOR 关键字之后)的预定义的访问规则。当从其取消豁免的用户访问受指定的策略保护的表时,应用取消豁免的访问规则。要了解与安全策略相关联的读访问和写访问的预定义规则的描述,请参阅
与安全策略相关的规则 部分。
下列 REVOKE EXEMPTION 语句的关键字标识此语句可适用于以前豁免的用户的特定的
IDSLBACRULES 规则:
- IDSLBACREADARRAY 适用于指定的安全策略的 IDSLBACREADARRAY 规则的用户。
对于无豁免的用户,此规则要求用户安全标签的每一数组组件必须大于或等于数据行安全标签的相应的数组组件。
- IDSLBACREADSET 适用于指定的安全策略的 IDSLBACREADSET
规则的用户。对于无豁免的用户,此规则要求该用户安全标签的每一集合组件必须包括数据行安全标签的集合组件。
- IDSLBACREADTREE 适用于指定的安全策略的 IDSLBACREADTREE
规则的用户。对于无豁免的用户,此规则要求该用户安全标签的树组件必须包括数据行安全标签的树组件中的至少一个元素,或包括一个这样元素的祖先。
- IDSLBACWRITEARRAY WRITEDOWN 从指定的安全策略的 IDSLBACWRITEARRAY
规则的一个方面豁免该用户。失去此豁免的用户不可写到受标签保护的行,该标签包括低于在该用户的标签中级别的数组组件级别。
- IDSLBACWRITEARRAY WRITEUP 从指定的安全策略的 IDSLBACWRITEARRAY
规则的一个方面豁免该用户。失去此豁免的用户不可写到受标签保护的行,该标签包括高于在该用户的标签中的级别的数组组件级别。
- IDSLBACWRITEARRAY (不带有 WRITEDOWN 或 WRITEUP 关键字)适用于指定的安全策略的 IDSLBACWRITEARRAY
规则的用户。失去此豁免的用户不可写到其数组组件级别高于或低于在该用户的标签中的级别的行。
- IDSLBACWRITESET 适用于指定的安全策略的 IDSLBACWRITESET
规则的用户。对于无豁免的用户,那个规则要求该用户安全标签的每一集合组件必须包括数据行安全标签的集合组件。
- IDSLBACWRITETREE 适用于指定的安全策略的 IDSLBACWRITETREE
规则的用户。对于无豁免的用户,那个规则要求该用户安全标签的每一树组件必须包括数据行安全标签的树组件中至少一个元素,或包括一个这样元素的祖先。
- ALL 从指定的安全策略的所有 IDSLBACRULES 规则取消豁免。
在下例中,DBSECADM 从用户
manoj 和
sam 取消对
MegaCorp 安全策略的所有规则的豁免:
REVOKE EXEMPTION ON RULE ALL FOR MegaCorp FROM manoj, sam;