南大通用GBase8s 常用SQL语句(152)

最新推荐文章于 2024-09-29 16:19:38 发布
最新推荐文章于 2024-09-29 16:19:38 发布
阅读量131 收藏
点赞数
文章标签: 数据库安全 安全标签 访问控制 用户权限 安全策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67292226/article/details/124880783
版权

SECURITY LABEL 子句

GRANT SECURITY LABEL 语句将安全标签授予用户或用户列表。

SECURITY LABEL 子句

 

元素

描述

限制

语法

label 

现有安全标签的名称

必须存在作为指定的安全 policy 的标签

标识符 

policy 

label 的安全策略

必须在该数据库中已存在

标识符 

user 

要将该标签授予的用户

必须为用户的授权标识符

所有者名称 

仅持有 DBSECADM 角色的用户可发出 GRANT SECURITY LABEL 语句。

安全标签是始终与安全策略关联的数据库对象。那个策略定义构成安全标签的有效的安全组件的集合。该标签存储安全策略的每一组件的一个或多个值的集合。

DBSECADM 可将安全标签与下列实体关联:

  1. 数据库表的一列,列安全标签可保护该列
  2. 数据库表的一行,行安全标签可保护该行
  3. 用户,其用户安全标签(以及已经授予该用户的安全策略的规则的任何豁免)称为该用户的安全凭证

当持有特定安全策略的安全标签的用户尝试访问同一安全策略的行安全标签所保护的行,数据库服务器将该用户安全标签中值的集合与该行安全标签中值的集合进行对比,来决定该用户是否该被允许访问该数据。类似地,在决定用户的凭证是否该允许其访问受保护的列时,LBAC 考虑用户安全标签与列安全标签。

GRANT SECURITY LABEL 语句是 DBSECADM 将用户与安全标签相关联的机制。通过仅 DBSECADM 可执行的 CREATE TABLE 或 ALTER TABLE 语句的选项,受保护的表中的数据值与行安全标签或列安全标签相关联,而不是通过 GRANT SECURITY LABEL 语句)。

可跟在 TO 关键字之后的 USER 关键字是可选的,而且没有作用,但在 GRANT SECURITY LABEL 语句中指定的任何授权标识符都必须是单个用户的标识符,而不是角色的标识符。

访问规范

授予其安全标签的用户列表可可选地后跟关键字,这些关键字指定对该标签的安全策略保护的数据的访问类型

  1. FOR WRITE ACCESS

这些关键字将标签限定为 IDSLBACRULES,即 IDLSBACWRITEARRAYIDLSBACWRITESET 和 IDLSBACWRITETREE 的写访问规则。这些规则影响对受保护数据的 INSERT、DELETE 和 UPDATE 操作。

  1. FOR READ ACCESS

这些关键字将标签限定为 IDSLBACRULES,即 IDLSBACWREADARRAYIDLSBACREADSET 和 IDLSBACREADTREE 的读访问规则。这些规则影响对受保护数据的 SELECT、DELETE 和 UPDATE 操作。

  1. FOR ALL ACCESS

这些关键字将标签应用到上列所有读和写访问规则。如果 GRANT SECURITY LABEL 语句不包括 FOR ... ACCESS 规范,则此选项作为缺省项生效。

要获取更多关于这些基于标签的读和写访问的 IDSLBACRULES 规则的信息,请参阅 与安全策略相关的规则。要获取关于可以为特定安全策略授予对这些规则的豁免的信息,请参阅 授予豁免的规则。

如果授予用户的读访问安全标签与写访问安全标签不同,那么为这些安全标签组件赋予的值必须服从下列这些规则:

  1. 对于类型 ARRAY 的安全标签组件,在两个安全标签中的值必须相同。
  2. 对于类型 SET 的安全标签组件,在用于 WRITE 访问的安全标签中给定的值,必须是在用于 READ 访问的安全标签中给定值的子集。如果所有的值相同,则视为子集,且是允许的。
  3. 对于类型 TREE 的安全标签组件,用于写访问的安全标签的树组件中的每个元素,必须是用于读访问的安全标签的树组件中的一个元素或一个元素的后代。

总之,当 DBSECADM 尝试将读访问的安全标签授予已持有写访问的安全标签的用户时,或者反之,则读标签不可比写标签更具限制性。否则,GRANT SECURITY LABEL 语句失败并报错。

对于同一安全策略,可将不多于两个标签授予用户。如果授予同一策略的两个标签,则一个标签必须为读访问,且另一个为写访问。如果 DBSECADM 尝试将读访问的安全标签授予用户,而该用户已持有基于同一安全策略的读访问的安全标签,则 GRANT SECURITY LABEL 语句失败并报错。如果两个标签都是写访问的且基于同一安全策略,则导致类似的失败。

在这两种情况下,在可将相同的访问模式和相同的安全策略授予第二个标签之前,必须通过 REVOKE SECURITY LABEL 语句显式地取消第一个安全标签。此规则的唯一例外情况是,如果两个标签都指定组件元素的同一个值。因为在此情况下,两个标签在功能上相同,且不发生错误。

用户安全标签的规则

下列规则影响那些通过 GRANT SECURITY LABEL 语句授予用户的安全标签:

  1. user 不可为发出此 GRANT SECURITY LABEL 语句的 DBSECADM。
  2. 没有安全标签的用户有 NULL 或零标签。没有安全标签的用户不可访问受保护表中的数据,除非该用户持有对该策略的必要的豁免。
  3. 在缺省情况下,受保护表的 IDSSECURITYLABEL 列不可有 NULL 值。没有安全标签的用户不可将数据插入到带有行保护的表内,即使该用户已被授予了对该安全策略的必要的豁免,除非在 INSERT 语句中显式地指定该行标签。要了解如何在 INSERT 语句中显式地指定安全标签,请参阅 安全标签支持函数。
  4. 对下列数据库表类型,用户安全标签不起作用,因为这些表不可由安全策略来保护:
    • “虚拟表接口”表,
    • 带有“虚拟表接口”索引的表,
    • 在类型表层级中的表,
    • 临时表。

授予用户安全标签的示例

下列三个语句分别地创建三个名为 levelcompartments 和 groups 的安全标签组件:

CREATE SECURITY LABEL COMPONENT

   level ARRAY ['TS','S','C','U'];  

CREATE SECURITY LABEL COMPONENT

   compartments SET {'A','B','C','D'};

CREATE SECURITY LABEL COMPONENT

   groups TREE ('G1' ROOT,

                'G2' UNDER ROOT,

                'G3' UNDER ROOT);

下列语句基于上面三个组件创建名为 secPolicy 的安全策略:

CREATE SECURITY POLICY secPolicy COMPONENTS

   level, compartments, groups;

下列语句创建名为 secLabel1 的安全标签:

CREATE SECURITY LABEL secPolicy.secLabel1

   COMPONENT level 'S',

   COMPONENT compartments 'A', 'B',

   COMPONENT groups 'G2';

下列语句创建名为 secLabel2 的安全标签:

CREATE SECURITY LABEL secPolicy.secLabel2

   COMPONENT level 'S',

   COMPONENT compartments 'B',

   COMPONENT groups 'G2';

下列语句创建名为 secLabel3 的安全标签:

CREATE SECURITY LABEL secPolicy.secLabel3

   COMPONENT level 'S',

   COMPONENT compartments 'A',

   COMPONENT groups 'G3';

下列语句创建名为 secLabel4 的安全标签:

CREATE SECURITY LABEL secPolicy.secLabel4

   COMPONENT level 'TS',

   COMPONENT compartments 'A',

   COMPONENT groups 'G1';

下列语句授予用户 sam 读访问的安全标签:

 GRANT SECURITY LABEL secPolicy.secLabel1

   TO sam FOR READ ACCESS;

下列语句授予用户 sam 写访问的安全标签。由于满足以上给出的规则,此语句成功。

 GRANT SECURITY LABEL secPolicy.secLabel2

   TO sam FOR WRITE ACCESS;

下列语句授予用户 lynette 读访问的安全标签:

GRANT SECURITY LABEL secPolicy.secLabel1

   TO lynette FOR READ ACCESS;

下列语句尝试授予用户 sam 写访问的安全标签。由于违反有关树组件的规则,此语句失败。

GRANT SECURITY LABEL secPolicy.secLabel3

   TO sam FOR WRITE ACCESS;

下列语句尝试授予用户 sam 写访问的安全标签。由于违反有关数组组件的规则,此语句失败。

 GRANT SECURITY LABEL secPolicy.secLabel4

   TO sam FOR WRITE ACCESS;

当 GRANT SECURITY LABEL 语句成功地将安全标签授予用户时,数据库服务器更新系统目录的 sysseclabelauth 表来注册该安全标签的新的持有者。

要了解 LBAC 安全对象的讨论,请参阅您的 GBase 8s 安全指南。

m0_67292226
关注
南大通用GBase8s SQL常用SQL语句(十八).docx
11-23
南大通用 GBase8s SQL 常用语句(十八) 本文档介绍了 GBase8s 中的 DROP VERCOLS 关键字、ADD Column 子句、BEFORE 子句和 DEFAULT 子句的使用。 一、DROP VERCOLS 关键字 DROP VERCOLS 关键字用于删除阴影列。...
南大通用GBase8s SQL常用SQL语句(十一).docx
09-23
"南大通用GBase8s SQL常用SQL语句(十一)" 以下是根据给定文件信息生成的相关知识点: 标题:南大通用GBase8s SQL常用SQL语句(十一) 描述:本文档介绍了南大通用GBase8s SQL中的常用SQL语句,包括修改定义范围...
南大通用GBase8s 常用SQL语句(293)
qq_41530066的博客
10-21 384
如果创建了该游标的 DECLARE 语句指定了 FOR UPDATE 中的一个或多个列,则限制您仅可更新随后的 UPDATE ... WHERE CURRENT OF 语句中的那些行。您不可在 SPL 例程中使用 DECLARE 语句来声明动态游标的名称,以及将那个游标与 PREPARE 语句已在同一 SPL 例程中声明了的准备好的对象的语句标识符相关联。使用 WHERE CURRENT OF 子句来更新 FOR UPDATE 声明了的游标的当前行,或更新 Collection 游标的当前元素。
南大通用GBase8s 常用SQL语句(234)
JimmyWang_Jl的博客
08-23 608
例如,如果在名为 thread_1 的线程中名为 con1 的连接是活动的,则名为 thread_2 的线程不可使连接 con1 成为它的活动连接,直到 thread_1 已使连接 con1 成为了休眠的为止。如果该连接不是通过 CONNECT 语句的 WITH CONCURRENT TRANSACTION 子句建立了的,则 SET CONNECTION 失败且不可将该连接设置为休眠状态,且当前的连接中的事务继续为活动的。此外,如果开放的游标与这样的连接相关联,则当使该链接成为休眠的时,该游标保持打开。
南大通用GBase8s 常用SQL语句(177)
m0_68451052的博客
06-20 238
命名 PUT 中的程序变量当准备 INSERT 语句时(请参阅 PREPARE 语句),您不可在它的 VALUES 子句中使用程序变量,但可通过问号(?)占位符表示值。请在 PUT 语句的 FROM 子句中罗列程序变量来提供缺少的值。下列 GBase 8s ESQL/C 示例罗列在 PUT 语句中的主变量:char answer [1] = 'y';EXEC SQL BEGIN DECLARE SECTION; char ins_comp[80]; char u_company[20];EXEC S
南大通用GBase8s 常用SQL语句(200)
脑壳疼~~~
07-21 808
将FIRST或LIMIT或TOP和SKIP选项与ORDER子句结合在一起的查询可对符合条件的行强加唯一顺序,因此按max的值增大offset值的连续查询可将符合条件的行划分为max行的不相连子集。您可使用在查询中的FIRST选项,该查询的结果集在另一SELECT语句的FROM子句之内定义集合派生的表(CDT)。下列集合子查询仅返回第11至第15之间的符合条件的行作为集合派生的表,通过列a中的值排列这5行的顺序,并将此结果集存储在临时表中。...
南大通用GBase8s 常用SQL语句(227)
JimmyWang_Jl的博客
08-23 291
当您使用与 WHERE 子句组合的 INTO Table 子句时,且没有返回行,则 SQLNOTFOUND 值在符合 ANSI 的数据库中是 100,在不符合 ANSI 的数据库中是 0。要获取更多关于带有 INTO TEMP 子句的查询创建的临时表的存储位置的信息,请参阅 临时表的存储位置。在 Projection 子句中,必须指定在永久的、临时的或外部表中的列名称,在此,您必须为不是简单的列表达式的所有表达式提供显示标签。在其他用户会话中的临时表的标识符之中,临时表的名称无需是唯一的。
南大通用GBase8s 常用SQL语句(296)
qq_41530066的博客
10-21 411
如果启用 UPDATE STATISTICS 语句的自动模式,则 FORCE 关键字覆盖自动模式,从而忽略 FOR TABLE 规范的范围内的表和分片的 STATCHANGE 属性的值,就好像当前 UPDATE STATISTICS FORCE 操作的 AUTO_STAT_MODE 设置是 OFF 一样。要删除存储用户定义的数据类型的值的列的分发统计信息,您必须在 LOW 模式下执行 UPDATE STATISTICS,并包括 DROP DISTRIBUTIONS 关键字。
南大通用GBase8s 常用SQL语句(199)
脑壳疼~~~
07-21 477
此处,行指的是值的一个集合,如在select列表中指定的那样,来自FROM子句指定的表或连接的表的单个记录。)如果该查询没有ORDERBY子句,则符合条件的行按照它们的检索的顺序排列,每一执行可能都不一样;您还可使用SKIP选项来限制准备好了的SELECT语句的、UNION查询的结果集,在其结果集定义集合派生的表的查询中,以及在触发器的事件或活动中。max指定要返回的行的最大数目的整数(>0)如果max>符合条件的行的数目,则返回所有相匹配的行精确数值。...
南大通用GBase8s 常用SQL语句(240)
脑壳疼~~~
08-23 638
如果您在本地数据库上执行带有简单的 filename 的 SET DEBUG FILE 语句,则输出文件位于您当前的目录中。如果您为调试文件提供完全的 pathname,则该文件置于远程数据库服务器上您指定的目录中。您在 SET DEBUG FILE 语句中指定的输出文件可为新的文件或现有的文件。如果您指定现有的文件,当您发出 SET DEBUG FILE TO 语句时,删除它的当前的内容。如果您包括 WITH APPEND 选项,则当您发出 SET DEBUG FILE 语句时,保留该文件的当前的内容。
南大通用GBase8s 常用SQL语句(115)
weixin_64708585的博客
03-21 1025
与顺序游标相关联的 INSERT 语句的子集 如 DECLARE 语句的程序中所述,要创建一个 Insert 游标,应将顺序游标与 INSERT 语句的限制格式相关联。INSERT 语句必须包括 VALUES 子句;它不可以包含嵌入的 SELECT 语句。 下面的示例包含声明 Insert 游标的 GBase 8s ESQL/C 代码: EXEC SQL declare ins_cur cursor for insert into stock values (:...
南大通用GBase8s 常用SQL语句(117)
m0_68451052的博客
04-20 500
DELETE 的 WHERE 子句中的子查询 DELETE 语句的 WHERE 子句中的子查询 FROM 子句可以将 DELETE 语句的 FORM 子句指定的同一个表或视图指定为数据源。仅当所有以下条件为真时,才支持带有引用相同表对象的子查询的 DELETE 操作: 该子查询要么返回一行,要么具有不相关列引用。 该子查询在 DELETE 语句的 WHERE 子句中,使用 Condition with Subquery 语法。 任何子查询中的 SPL 例程不能引用正在修改的表。 除非以上这些...
南大通用GBase8s SQL常用SQL语句(二十九).docx
12-23
南大通用GBase8s SQL常用SQL语句(二十九)ALTER USER语句 ALTER USER语句是SQL语言的ANSI/ISO标准的扩展,用于更改用户的一个或多个属性,包括密码、用户ID、代理组、管理权限和主目录、启用或禁用内部已经授权...
南大通用GBase8s SQL常用SQL语句(三十一).docx
12-23
南大通用GBase8s SQL常用SQL语句(三十一) 在GBase8s数据库管理系统中,CLOSE语句是一种重要的SQL语句,用于关闭游标或游标变量。当您不再需要引用Select或Function游标检索的行或不再需要使用游标变量时,需要...
南大通用GBase8s SQL常用SQL语句(三十五).docx
12-23
南大通用GBase8s SQL常用SQL语句(三十五) 本文档介绍了南大通用GBase8s SQL常用SQL语句,包括CREATE ACCESS_METHOD语句和CREATE AGGREGATE语句的使用方法。 一、CREATE ACCESS_METHOD语句 CREATE ACCESS_METHOD...
实用SQL小总结
最新发布
UntifA的博客
09-29 1198
SQL记录
点评项目-2-完善注册登录业务
m0_75138009的博客
09-29 489
需要处理的业务:在网页发送 /user/code 路径下的 post 请求后,我们需要检验手机号后,向合法的手机号发送一个随机生成的电话号。
Spring的热部署工具和数据库密码加盐操作
2301_77053417的博客
09-28 639
加密过程:用户输入的密码+盐值 --> 字符串1,然后使用md5对字符串1加密得到字符串2,然后字符串2+盐值 --> 字符串3,这个字符串3就是存储在数据库中的密文。背景:如果我们的密码明文存储在数据库中,要是被窃取了是非常的危险的,所以我们在数据库中存储的密码不能是明文的,需要进行加密后存储,也就是数据库中存储的是密文。解密过程:取出数据库中的盐值和用户输入的密码得到字符串1,使用md5对字符串1加密得到字符串2,然后验证字符串2和数据库中的密文即可。做好以上的步骤,你项目中的热部署就已经做好了。
k8s搭建一主三从的mysql8集群---无坑
oopxiajun博客专栏
09-27 995
对于构建基于MySQL的大规模、高性能应用来讲,需要使用水平扩展(集群)的数据库架构方式。在MySQL内建的复制功能可以实现,通过为服务器配置一个或多个备库的方式来进行数据同步。同时复制功能不仅有利于构建高性能的应用,也是高可用性、可扩展性、容灾、备份以及数据仓库等工作的基础。复制的基本原理是让一台服务器的数据与其他服务器保持同步。一台主库的数据可以同步到多台备库上,备库本身也可以被配置成另外一台服务器的主库。主库和备库之间可以有多种不同的组合方式。
南大通用GBase8s SQL:ALTERUSER语句详解及权限管理
南大通用GBase8s SQL常用语句文档(二十九)详细介绍了ALTERUSER语句,这是一个在UNIX™和Linux™系统中用于管理和修改用户属性的标准SQL扩展命令。ALTERUSER主要功能包括: 1. **用户属性修改**:可以更改用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值