「アカウントラベル範囲」は、各ユーザーまたは役割アカウントが使用可能なラベルの範囲です。システムへのログイン時にユーザーが作業できるラベルを、この範囲で制御します。
アカウントラベル範囲で使用可能なラベルには、次の制約があります。
ユーザー認可上限がアカウントラベル範囲の最上位を定める。
認可上限は有効なラベルである必要はありません。認可上限は、アカウントが作業するすべてのラベルより優位である必要があるため、アカウントが作業するすべてのラベルのすべての構成要素を含んでいなければなりません。
最下位のラベルがアカウントラベル範囲の最下位を定める。
label_encodings ファイルの minimum sensitivity label (最下位の機密ラベル) は、ユーザーが作業可能なラベルの絶対最下位を決定します。
ユーザー認可範囲が、ユーザーの認可上限からユーザーの最下位のラベルまでの有効なラベルのセットを定める。
たとえば、label_encodings ファイルで、ラベルのコンパートメント A、B、および C の組み合わせを禁止できます。
最下位のラベルはコンパートメントがない TS になる。
TS A B C が有効な認可上限になる。TS A B C は有効なラベルでなくなる。
ユーザーの有効なラベルは TS、TS A、TS B、および TS C になる。