2026年2月26日: PostgreSQL 18.3、17.9、16.13、15.17 和 14.22 发布!
受支持版本: 当前版本 (18) / 17 / 16 / 15 / 14
开发版本: devel
SECURITY LABEL
Prev  Up SQL 命令 Home  Next

SECURITY LABEL

SECURITY LABEL — 定义或更改应用于对象的安全标签

Synopsis

SECURITY LABEL [ FOR provider ] ON
{
  TABLE object_name |
  COLUMN table_name.column_name |
  AGGREGATE aggregate_name ( aggregate_signature ) |
  DATABASE object_name |
  DOMAIN object_name |
  EVENT TRIGGER object_name |
  FOREIGN TABLE object_name |
  FUNCTION function_name [ ( [ [ argmode ] [ argname ] argtype [, ...] ] ) ] |
  LARGE OBJECT large_object_oid |
  MATERIALIZED VIEW object_name |
  [ PROCEDURAL ] LANGUAGE object_name |
  PROCEDURE procedure_name [ ( [ [ argmode ] [ argname ] argtype [, ...] ] ) ] |
  PUBLICATION object_name |
  ROLE object_name |
  ROUTINE routine_name [ ( [ [ argmode ] [ argname ] argtype [, ...] ] ) ] |
  SCHEMA object_name |
  SEQUENCE object_name |
  SUBSCRIPTION object_name |
  TABLESPACE object_name |
  TYPE object_name |
  VIEW object_name
} IS { string_literal | NULL }

其中 aggregate_signature 是:

* |
[ argmode ] [ argname ] argtype [ , ... ] |
[ [ argmode ] [ argname ] argtype [ , ... ] ] ORDER BY [ argmode ] [ argname ] argtype [ , ... ]

描述

SECURITY LABEL为数据库对象设置安全标签。一个给定的数据库 对象可以关联任意数量的安全标签,每个标签提供者对应一个。标签提供者是使用 函数register_label_provider注册自身的可加载模块。

Note

register_label_provider不是一个 SQL 函数;它只能从加载到 后端的 C 代码中调用。

标签提供者决定给定标签是否有效,以及是否允许将该标签赋给给定对象。给定标 签的含义同样由标签提供者自行决定。PostgreSQL不 限制标签提供者是否解释安全标签,也不限制其如何解释;它仅提供一种存储安全 标签的机制。实际上,此功能旨在支持与基于标签的强制访问控制(MAC)系统 (例如SELinux)集成。这类系统基于对象标签,而不 是基于用户和组等传统的自主访问控制(DAC)概念,做出所有访问控制决策。

要使用SECURITY LABEL,你必须拥有该数据库对象。

参数

object_name
table_name.column_name
aggregate_name
function_name
procedure_name
routine_name

要加上安全标签的对象名称。位于模式中的对象(表、函数等)的名称可以带模式限定。

provider

要与该标签关联的标签提供者名称。指定的提供者必须已加载,并且必须同意所 提议的标签设置操作。若只加载了一个提供者,则为简洁起见可以省略其名称。

argmode

函数、过程或聚合函数参数的模式:INOUTINOUTVARIADIC。如果省略,默认值是 IN。注意SECURITY LABEL实际上并不关 心OUT参数,因为确定函数身份只需要输入参数。因此,列出 ININOUTVARIADIC参数就足够了。

argname

函数、过程或聚合函数参数的名称。注意SECURITY LABEL 实际上并不关心参数名称,因为确定函数身份只需要参数数据类型。

argtype

函数、过程或聚合函数参数的数据类型。

large_object_oid

大对象的 OID。

PROCEDURAL

这是一个噪声词。

string_literal

安全标签的新值,以字符串字面量形式写出。

NULL

写入NULL可删除安全标签。

示例

下面的示例展示了如何设置或更改一个表的安全标签:

SECURITY LABEL FOR selinux ON TABLE mytable IS 'system_u:object_r:sepgsql_table_t:s0';

要移除该标签:

SECURITY LABEL FOR selinux ON TABLE mytable IS NULL;

兼容性

在 SQL 标准中没有SECURITY LABEL命令。

另见

sepgsql, src/test/modules/dummy_seclabel
Prev  Up  Next
SAVEPOINT  Home  SELECT

提交更正

如果您发现文档中有不正确的内容、与您使用特定功能的经验不符或需要进一步说明,请使用此表单来报告文档问题。