SECURITY LABEL [ FOR провайдер ] ON
{
TABLE имя_объекта |
COLUMN имя_таблицы.имя_столбца |
AGGREGATE имя_агрегатной_функции ( сигнатура_агр_функции ) |
DATABASE имя_объекта |
DOMAIN имя_объекта |
EVENT TRIGGER имя_объекта |
FOREIGN TABLE имя_объекта
FUNCTION имя_функции ( [ [ режим_аргумента ] [ имя_аргумента ] тип_аргумента [, ...] ] ) |
LARGE OBJECT oid_большого_объекта |
MATERIALIZED VIEW имя_объекта |
[ PROCEDURAL ] LANGUAGE имя_объекта |
ROLE имя_объекта |
SCHEMA имя_объекта |
SEQUENCE имя_объекта |
TABLESPACE имя_объекта |
TYPE имя_объекта |
VIEW имя_объекта
} IS 'метка'
Здесь сигнатура_агр_функции:
* |
[ режим_аргумента ] [ имя_аргумента ] тип_аргумента [ , ... ] |
[ [ режим_аргумента ] [ имя_аргумента ] тип_аргумента [ , ... ] ] ORDER BY [ режим_аргумента ] [ имя_аргумента ] тип_аргумента [ , ... ]SECURITY LABEL применяет метку безопасности к объекту базы данных. С определённым объектом может быть связано произвольное количество меток безопасности, по одной для каждого провайдера. Провайдеры меток представляют собой загружаемые модули, которые регистрирует себя, вызывая функцию register_label_provider.
Замечание:
register_label_provider— это не SQL-функция; её можно вызывать только из скомпилированного кода C, загруженного сервером.
Провайдер меток определяет, допустима ли заданная метка и разрешено ли применять эту метку к указанному объекту. Какой смысл вкладывается в данную метку, так же определяет провайдер меток. Postgres Pro не накладывает никаких ограничений на то, как провайдер должен интерпретировать метки безопасности; он просто обеспечивает механизм их хранения. На практике, этот механизм реализован для того, чтобы в базы данных можно было интегрировать системы мандатного управления доступом (MAC) на базе меток, такие как SE-Linux. Такие системы принимают все решения по ограничению доступа, учитывая метки объектов, а не традиционные сущности избирательного управления доступом (DAC), такие как пользователи и группы.
Имя помечаемого объекта. Имена таблиц, агрегатных и обычных функций, доменов, сторонних таблиц, последовательностей и представлений можно дополнить именем схемы.
Имя провайдера, с которым будет связана эта метка. Указанный провайдер должен быть загружен и готов выполнять операцию размечивания. Если загружен всего один провайдер, его имя можно опустить для краткости.
Режим аргумента обычной или агрегатной функции: IN, OUT, INOUT или VARIADIC. По умолчанию подразумевается IN. Заметьте, что SECURITY LABEL на самом деле не учитывает аргументы OUT, так как для идентификации функции нужны только типы входных аргументов. Поэтому достаточно перечислить только аргументы IN, INOUT и VARIADIC.
Имя аргумента обычной или агрегатной функции. Заметьте, что на самом деле SECURITY LABEL не обращает внимание на имена аргументов, так как для однозначной идентификации функции достаточно только типов аргументов.
Тип данных аргумента обычной или агрегатной функции.
OID большого объекта.
Это слово не несёт смысловой нагрузки.
Новая метка безопасности, записанная в виде строковой константы, либо NULL, если метку безопасности нужно удалить.
Следующий пример показывает, как можно изменить метку безопасности для таблицы.
SECURITY LABEL FOR selinux ON TABLE mytable IS 'system_u:object_r:sepgsql_table_t:s0';
| Пред. | Начало | След. |
| SAVEPOINT | Уровень выше | SELECT |