GBase 8s 的 IDSSECURITYLABEL 类型在受安全策略保护的表中存储安全标签。仅持有 DBSECADM 角色的用户可创建、修改或删除此数据类型的列。这是内建的 DISTINCT OF VARCHAR(128) 数据类型,但未将它分类作为字符数据类型,因为将它的使用限定在基于标签的访问控制。有安全策略的表可有多个 IDSSECURITYLABEL 列,未与安全策略相关联的表可没有这样的列。
DBSECADM 可使用 GRANT 语句来将特定的安全标签与用户相关联,且 REVOKE 语句可取消用户持有的安全标签。对于给定的安全策略,用户可有多个既支持读访问也支持写访问的标签,或只有一个写访问标签和只有一个读访问标签。对于受安全策略保护,但已将自主访问权限授予了用户的数据,数据库服务器通过将数据的安全标签与用户的安全标签相对比来确定特定的用户可否访问该数据,同时还考虑该用户持有的安全策略规则是否存在任何豁免。
要获取指定 IDSSECURITYLABEL 值的方式的信息,请参阅 安全标签支持函数。
要获取安全策略、安全组件、安全标签以及基于标签的访问控制(LBAC)的其他概念的讨论,请参阅 GBase 8s 安全指南。