必須アクセス検査

必須アクセス検査では、ユーザー・セキュリティー・ラベルとオブジェクト・セキュリティー・ラベルの間の優位関係が評価され、特定の規則に基づいて、特定のアクションを許可するかどうか判別されます。

ユーザーのセキュリティー・ラベルがオブジェクトのセキュリティー・ラベルより上位になる場合は、ユーザーはそのオブジェクトを読み取ることができます。
ユーザーのセキュリティー・ラベルとオブジェクトのセキュリティー・ラベルが同等な場合、ユーザーはオブジェクトからの読み取りおよびオブジェクトへの書き込みができます。
ユーザーのセキュリティラベルがオブジェクトのセキュリティラベルよりも優先される場合、ユーザーは書き込み権限（ RACF® ）を持たない限り、オブジェクトに書き込むことはできません。
ユーザーのセキュリティー・ラベルがオブジェクトのセキュリティー・ラベルと分離されている場合、ユーザーはそのオブジェクトの読み取りまたは書き込みはできません。

例外: IDsインストール SYSADM によるアクションは外部アクセス制御出口ルーチン (DSNX@XAC) を呼び出さないため、インストール SYSADM 権限を持つ ID は、Db2 オブジェクト・レベルで必須アクセス検査をバイパスします。ただし、インストール・システム SYSADM 権限を持つ ID については、行レベルの細分度を備えたマルチレベル・セキュリティーが実施されます。

ユーザーが必須アクセス検査に合格すると、その後に任意検査が続きます。任意アクセス検査により、ユーザーの ID、ユーザーのロール (存在する場合)、およびユーザーが属しているグループに基づいて、オブジェクトへのアクセスを制限します。任意アクセス検査で、ユーザーには、要求したリソースについて「知る必要性」があるとして識別されていることを確認します。この検査が任意と呼ばれているのは、特定のアクセス権を持つユーザーが、その権利を他のユーザーに渡すことができるからです。