CREATE SECURITY POLICY ステートメント
CREATE SECURITY POLICY ステートメントは、セキュリティー・ポリシーを定義します。
呼び出し
このステートメントは、アプリケーション・プログラムに組み込むか、あるいは対話式に発行することができます。 これは、DYNAMICRULES の実行動作がパッケージに効力を持つ場合にのみ、動的に準備できる実行可能ステートメントです (SQLSTATE 42509)。
許可
このステートメントの許可 ID が持つ特権には、SECADM 権限が含まれている必要があります。
構文
説明
- セキュリティー・ポリシー名
- セキュリティー・ポリシーに名前を付けます。 これは、1 部構成の名前です。 名前は、現行のサーバー上の既存のセキュリティー・ポリシーを識別するものであってはなりません (SQLSTATE 42710)。
- COMPONENTS component-name, ...
- セキュリティー・ラベル・コンポーネントを識別します。 名前は、現在のサーバー上に既に存在するセキュリティー・ラベル・コンポーネントを識別するものでなければなりません (SQLSTATE 42704)。 セキュリティー・ポリシーに対して同じセキュリティー・コンポーネントを複数回指定してはなりません (SQLSTATE 42713)。 セキュリティー・ポリシーに指定できるセキュリティー・ラベル・コンポーネントの数は 16 個までです (SQLSTATE 54062)。
- WITH DB2LBACRULES
- このセキュリティー・ポリシーの一部をなすセキュリティー・ラベルどうしを比較するときに、どの規則セットを使用するかを指示します。 現在、DB2LBACRULES という 1 つの規則セットしかありません。
- OVERRIDE NOT AUTHORIZED WRITE SECURITY LABEL または RESTRICT NOT AUTHORIZED WRITE SECURITY LABEL
- このセキュリティー・ポリシーで保護されている表に対して発行された INSERT ステートメントまたは UPDATE ステートメント内に明示的に指定されているセキュリティー・ラベルを書き込む許可をユーザーが持たない場合に取る処置を指定します。 ユーザーのセキュリティー・ラベルおよび免除資格情報によって、明示的に指定されたセキュリティー・ラベルを書き込むユーザー許可が判別されます。 デフォルトは OVERRIDE NOT AUTHORIZED WRITE SECURITY LABEL です。
- OVERRIDE NOT AUTHORIZED WRITE SECURITY LABEL
- 挿入または更新の操作での書き込みアクセスに対して、明示的に指定されているセキュリティー・ラベルではなく、ユーザーのセキュリティー・ラベルの値を使用することを指定します。
- RESTRICT NOT AUTHORIZED WRITE SECURITY LABEL
- INSERT または UPDATE ステートメント内に置かれている明示的に指定されたセキュリティー・ラベルの書き込みをユーザーが許可されていない場合、挿入または更新の操作が失敗することを指示します (SQLSTATE 42519)。
注
- DB2LBACRULES 規則セット: DB2LBACRULES は、以下の規則を含む事前定義された規則のセットです。DB2LBACREADARRAY、DB2LBACREADSET、DB2LBACREADTREE、 DB2LBACWRITEARRAY、DB2LBACWRITESET、DB2LBACWRITETREE。
- グループおよびロールの権限は、セキュリティー・ポリシーが作成されるときに デフォルトでは考慮されません。 この動作を変更してそれらが考慮されるようにするには、 ALTER SECURITY POLICY ステートメントを使用します。
例
- 例 1: DB2LBACRULES 規則セットを使用し、LEVEL、および COMPARTMENTS の 2 つのコンポーネントをこの順で持つ DATA_ACCESS という名前のセキュリティー・ポリシーを作成します。 両方のコンポーネントがすでに存在していると想定します。
CREATE SECURITY POLICY DATA_ACCESS COMPONENTS LEVEL, COMPARTMENTS WITH DB2LBACRULES
- 例 2: コンポーネント MEMBER および BADGE を持つ、寄贈という名前のセキュリティー・ポリシーを作成します。これらは既に存在していることを前提としています。
CREATE SECURITY POLICY CONTRIBUTIONS COMPONENTS MEMBER, BADGE WITH DB2LBACRULES