SECURITY LABEL — 定义或更改应用到对象的安全性标签
SECURITY LABEL [ FORprovider] ON { TABLEobject_name| COLUMNtable_name.column_name| AGGREGATEaggregate_name(aggregate_signature) | DATABASEobject_name| DOMAINobject_name| EVENT TRIGGERobject_name| FOREIGN TABLEobject_name| FUNCTIONfunction_name[ ( [ [argmode] [argname]argtype[, ...] ] ) ] | LARGE OBJECTlarge_object_oid| MATERIALIZED VIEWobject_name| [ PROCEDURAL ] LANGUAGEobject_name| PROCEDUREprocedure_name[ ( [ [argmode] [argname]argtype[, ...] ] ) ] | PUBLICATIONobject_name| ROLEobject_name| ROUTINEroutine_name[ ( [ [argmode] [argname]argtype[, ...] ] ) ] | SCHEMAobject_name| SEQUENCEobject_name| SUBSCRIPTIONobject_name| TABLESPACEobject_name| TYPEobject_name| VIEWobject_name} IS {string_literal| NULL } whereaggregate_signatureis: * | [argmode] [argname]argtype[ , ... ] | [ [argmode] [argname]argtype[ , ... ] ] ORDER BY [argmode] [argname]argtype[ , ... ]
SECURITY LABEL 将安全性标签应用到数据库对象。可以将任意数量的安全性标签(每个标签提供者一个)与给定的数据库对象关联起来。标签提供者是可以加载的模块,它们会使用函数 register_label_provider 注册自己。
register_label_provider 不是一个 SQL 函数;它只能从加载到后端的 C 代码中进行调用。
标签提供者确定给定的标签是否有效以及是否允许将该标签分配给给定对象。给定标签的含义同样由标签提供者自行决定。
object_nametable_name.column_nameaggregate_namefunction_nameprocedure_nameroutine_name
需要标记的对象名称。驻留在模式(表、函数等)中的对象的名称可以是对模式限定的。provider
与该标签关联的提供者的名称。命名的提供者必须加载并必须同意拟议的标记操作。如果仅加载了一个提供者,则可以省略提供者名称以简化操作。argmode
函数、过程或聚集函数参数的模式:IN、OUT、INOUT 或 VARIADIC。如果省略,则默认为 IN。请注意,SECURITY LABEL实际上并未关注OUT 参数,因为只需要输入参数即可确定函数的身份。因此,列出 IN、INOUT 和 VARIADIC 参数就足够了。argname
函数、过程或聚集函数参数的名称。请注意,SECURITY LABEL实际上并不关注参数名称,因为只需要参数数据类型即可确定函数的身份。argtype
函数、过程或聚集函数参数的数据类型。large_object_oid
大对象 OID。PROCEDURAL
这是一个噪音词。string_literal
作为字符串文字编写的安全标签的新设置。NULL
NULL 可删除安全标签。以下示例展示如何设置或更改表的安全标签
SECURITY LABEL FOR selinux ON TABLE mytable IS 'system_u:object_r:sepgsql_table_t:s0';
删除标签
SECURITY LABEL FOR selinux ON TABLE mytable IS NULL;
SQL 标准中没有 SECURITY LABEL 命令。
src/test/modules/dummy_seclabel