SELinux：为什么 httpd 可以读取 /var/www/html 中的文件？

我只是想更好地理解目标 SELinux。虽然我理解用户、进程、端口等都用四元组标记<user>,role>,<type>,<sensitivity>以及如何使用等设置标签semanage, restorecon。但我还不理解 SELinux 如何确定资源是否可以从进程访问以及进程如何访问它。

例如，查看我的httpdREL8，我可以看到进程和默认DocumentRoot目录上的以下标签/var/www/html：

[root@mylinux targeted]# ls -alZ /var/www/html
total 0
drwxr-xr-x. 2 root root system_u:object_r:httpd_sys_content_t:s0  6 Aug 17 16:53 .
drwxr-xr-x. 4 root root system_u:object_r:httpd_sys_content_t:s0 33 Aug 17 16:53 ..

[root@mylinux targeted]# ps -efZ | grep httpd
system_u:system_r:httpd_t:s0    root       35291       1  0 13:23 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     35292   35291  0 13:23 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     35293   35291  0 13:23 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     35294   35291  0 13:23 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0    apache     35295   35291  0 13:23 ?        00:00:00 /usr/sbin/httpd -DFOREGROUND
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 35838 27088  0 13:30 pts/0 00:00:00 grep --color=auto httpd

但我正在寻找以下问题的答案：

1. 为什么允许httpd进程访问/var/www/html下的文件? 这里按什么顺序检查哪些标签以及哪些标签必须匹配？
2. role允许这种访问的定义是什么样的? 如何检查角色定义
3. 如何确定进程如何访问特定标签的资源？
4. 作为管理员，我是否可以修改角色，以便也可以访问其他文件上下文？

在此先非常感谢您的澄清。