# SECURITY LABEL ## Name SECURITY LABEL?--?定義或改變一個應用于對象的安全標簽 ## Synopsis ``` SECURITY LABEL [ FOR _provider_ ] ON { TABLE _object_name_ | COLUMN _table_name_._column_name_ | AGGREGATE _agg_name_ (_agg_type_ [, ...] ) | DATABASE _object_name_ | DOMAIN _object_name_ | EVENT TRIGGER _object_name_ | FOREIGN TABLE _object_name_ FUNCTION _function_name_ ( [ [ _argmode_ ] [ _argname_ ] _argtype_ [, ...] ] ) | LARGE OBJECT _large_object_oid_ | MATERIALIZED VIEW _object_name_ | [ PROCEDURAL ] LANGUAGE _object_name_ | ROLE _object_name_ | SCHEMA _object_name_ | SEQUENCE _object_name_ | TABLESPACE _object_name_ | TYPE _object_name_ | VIEW _object_name_ } IS '_label_' ``` ## 描述 `SECURITY LABEL`為一個數據庫對象申請一個安全標簽。 每一個標簽提供程序的任意數量的安全標簽都可以與一個給定的數據庫對象關聯。 標簽提供者是可加載模塊，通過使用函數`register_label_provider`記錄他們自己。 > **Note:** `register_label_provider`不是SQL函數；只能從C代碼存入后端調用。 標簽提供者決定一個給定的標簽是否有效，并且是否允許將那個標簽分配給一個給定的對象。 給定標簽的含義和標簽提供者的描述相同。PostgreSQL 不限制標簽提供者是否或如何解釋安全標簽；只是提供過一個存儲它們的機制。實際上， 這個便利是為了允許集成基于標簽的強制訪問控制（MAC）系統，如SE-Linux。 這樣的系統使得訪問控制決策基于對象標簽，而不是傳統的自主訪問控制（DAC）概念，如用戶和組。 ## 參數 `_object_name_``_table_name.column_name_` `_agg_name_` `_function_name_` 有標簽的對象的名字。可模式修飾的表、集群、域、外部表、函數、序列、類型和視圖的名字。 `_provider_` 與這個標簽相關的提供者的名字。被指名的提供者必須被加載并且必須同意提出的標簽操作。 如果只加載了一個提供者，那么為了簡潔會省略提供者的名字。 `_arg_type_` 聚集函數操作的輸入數據類型。要引用一個零參數的聚集函數，在輸入數據類型的列表位置寫`*`。 `_argmode_` 函數參數的模式：`IN`, `OUT`, `INOUT`, 或 `VARIADIC`。 如果省略，缺省是`IN`。請注意，`SECURITY LABEL ON FUNCTION` 并不實際注意`OUT`參數，因為只需要輸入參數判斷函數的安全。 所以列出`IN`, `INOUT`, 和 `VARIADIC`就足夠了。 `_argname_` 函數參數的名字。請注意，`SECURITY LABEL ON FUNCTION` 并不實際注意參數名字，因為只需要參數數據類型判斷函數的身份。 `_argtype_` 如果有，是函數參數的數據類型（可以有模式修飾）。 `_large_object_oid_` 大對象的OID。 `PROCEDURAL` 這是一個噪聲字。 `_label_` 新的安全標簽，寫作一個字符串；或`NULL`以刪除安全標簽。 ## 例子 下列例子顯示了如何改變一個表的安全標簽。 ``` SECURITY LABEL FOR selinux ON TABLE mytable IS 'system_u:object_r:sepgsql_table_t:s0'; ``` ## 兼容性 SQL標準中沒有`SECURITY LABEL`命令。 ## 又見 [sepgsql](#calibre_link-398), [dummy_seclabel](#calibre_link-378)