REVOKE (免除) ステートメント
この形式の REVOKE ステートメントは、ラベル・ベースのアクセス制御 (LBAC) のアクセス規則に対する免除を取り消します。
呼び出し
このステートメントは、アプリケーション・プログラムに組み込んだり、動的 SQL ステートメントを使用して発行したりすることができます。 これは、DYNAMICRULES の実行動作がパッケージに効力を持つ場合にのみ、動的に準備できる実行可能ステートメントです (SQLSTATE 42509)。
許可
このステートメントの許可 ID が持つ特権には、SECADM 権限が含まれている必要があります。
構文
説明
- EXEMPTION ON RULE
- アクセス規則に対する免除を取り消します。
- DB2LBACREADARRAY
- 事前定義された DB2LBACREADARRAY 規則に対する免除を取り消します。
- DB2LBACREADSET
- 事前定義された DB2LBACREADSET 規則に対する免除を取り消します。
- DB2LBACREADTREE
- 事前定義された DB2LBACREADTREE 規則に対する免除を取り消します。
- DB2LBACWRITEARRAY
- 事前定義された DB2LBACWRITEARRAY 規則に対する免除を取り消します。
- WRITEDOWN
- 免除が下方への書き込みにのみ適用されることを指定します。
- WRITEUP
- 免除が上方への書き込みにのみ適用されることを指定します。
- DB2LBACWRITESET
- 事前定義された DB2LBACWRITESET 規則に対する免除を取り消します。
- DB2LBACWRITETREE
- 事前定義された DB2LBACWRITETREE 規則に対する免除を取り消します。
- すべて
- 事前定義されたすべての規則に対する免除を取り消します。
- FOR ポリシー名
- 免除を取り消される対象のセキュリティー・ポリシーの名前を指定します。
- FROM
- 免除を誰から取り消すかを指定します。
- ユーザー
- authorization-name がユーザーであることを指定します。
- GROUP
- authorization-name がグループ名であることを指定します。
- ROLE
- authorization-name がロール名であることを指定します。
- 1 つ以上のユーザー、グループ、またはロールの許可 ID のリストを指定します。
ルール
- 指定したそれぞれの authorization-name に関して、USER、GROUP、ROLE のいずれも指定されていない場合には、次のようになります。
- 被付与者が authorization-nameである SYSCAT.SECURITYPOLICYEXEMPTIONS カタログ・ビュー内の指定されたオブジェクトのすべての行について、以下のようにします。
- すべての行の GRANTEETYPE が「U」の場合、USER であると見なされます。
- すべての行の GRANTEETYPE が「G」の場合、GROUP であると見なされます。
- すべての行の GRANTEETYPE が「R」の場合、ROLE であると見なされます。
- すべての行の GRANTEETYPE の値が同じでない場合、エラーが戻されます (SQLSTATE 56092)。
- 被付与者が authorization-nameである SYSCAT.SECURITYPOLICYEXEMPTIONS カタログ・ビュー内の指定されたオブジェクトのすべての行について、以下のようにします。
例
- 例 1: セキュリティー・ポリシー DATA_ACCESS のアクセス規則 DB2LBACREADSET に対するユーザー WALID の免除を取り消します。
REVOKE EXEMPTION ON RULE DB2LBACREADSET FOR DATA_ACCESS FROM USER WALID
- 例 2: セキュリティー・ポリシー DATA_ACCESS のアクセス規則 DB2LBACWRITEARRAY に対する免除を、WRITEDOWN オプションを指定して、ユーザー BOBBY から取り消します。
REVOKE EXEMPTION ON RULE DB2LBACWRITEARRAY WRITEDOWN FOR DATA_ACCESS FROM USER BOBBY
- 例 3: セキュリティー・ポリシー DATA_ACCESS のアクセス規則 DB2LBACWRITEARRAY に対する免除を、WRITEUP オプションを指定して、ユーザー BOBBY から取り消します。
REVOKE EXEMPTION ON RULE DB2LBACWRITEARRAY WRITEUP FOR DATA_ACCESS FROM USER BOBBY