更新时间:2024-11-12 GMT+08:00
分享

CREATE ROLE

功能描述

创建角色。

角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。

注意事项

  • 在数据库中添加一个新角色,角色无登录权限。
  • 创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。

语法格式

CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' [EXPIRED] | DISABLE };

其中角色信息设置子句option语法为:
{SYSADMIN | NOSYSADMIN}
    | {MONADMIN | NOMONADMIN}
    | {OPRADMIN | NOOPRADMIN}
    | {POLADMIN | NOPOLADMIN}
    | {AUDITADMIN | NOAUDITADMIN}
    | {CREATEDB | NOCREATEDB}
    | {USEFT | NOUSEFT}
    | {CREATEROLE | NOCREATEROLE}
    | {INHERIT | NOINHERIT}
    | {LOGIN | NOLOGIN}
    | {REPLICATION | NOREPLICATION}
    | {PERSISTENCE | NOPERSISTENCE}
    | CONNECTION LIMIT connlimit
    | VALID BEGIN 'timestamp'
    | VALID UNTIL 'timestamp'
    | RESOURCE POOL 'respool'
    | USER GROUP 'groupuser'
    | PERM SPACE 'spacelimit'
    | TEMP SPACE 'tmpspacelimit'
    | SPILL SPACE 'spillspacelimit'
    | NODE GROUP logic_cluster_name
    | IN ROLE role_name [, ...]
    | IN GROUP role_name [, ...]
    | ROLE role_name [, ...]
    | ADMIN role_name [, ...]
    | USER role_name [, ...]
    | SYSID uid
    | DEFAULT TABLESPACE tablespace_name
    | PROFILE DEFAULT
    | PROFILE profile_name
    | PGUSER

参数说明

  • role_name

    角色名称。

    取值范围:字符串,要符合标识符命名规范,且最大长度不超过63个字符。若超过63个字符,数据库会截断并保留前63个字符当作角色名称。当角色名称中包含大写字母时数据库会自动转换为小写字母,如果需要创建包含大写字母的角色名称则需要使用双引号括起来。

    标识符需要为小写字母(a-z)、大写字母(A-Z)、下划线(_)、数字(0~9)或美元符号($),且必须以字母或下划线开头。

  • password

    登录密码。

    密码规则如下:

    • 密码默认不少于8个字符。
    • 不能与用户名及用户名倒序相同。
    • 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)和非字母数字字符(限定为~!@#$%^&*()-_=+\|[{}];:,<.>/?)四类字符中的三类字符。
    • 密码也可以是符合格式要求的密文字符串,这种情况主要用于用户数据导入场景,不推荐用户直接使用。如果直接使用密文密码,用户需要知道密文密码对应的明文,并且保证明文密码复杂度,数据库不会校验密文密码复杂度,直接使用密文密码的安全性由用户保证。
    • 创建角色时,应当使用单引号将用户密码括起来。

    取值范围:不为空的字符串。

  • EXPIRED

    在创建用户时可指定EXPIRED参数,即创建密码失效用户,该用户不允许执行简单查询和扩展查询。只有在修改自身密码后才可正常执行语句。

  • DISABLE

    默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:kerberos认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。

  • ENCRYPTED | UNENCRYPTED

    控制密码存储在系统表里的口令是否加密。按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB中禁止使用。因为系统无法对指定的加密口令字符串进行解密,所以如果目前的口令字符串已经是用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的口令。

  • SYSADMIN | NOSYSADMIN

    决定一个新角色是否为“系统管理员”,具有SYSADMIN属性的角色拥有系统最高权限。

    缺省为NOSYSADMIN。

    三权分立关闭时,具有SYSADMIN属性的用户有权限创建具有SYSADMIN、REPLICATION、CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。

    三权分立打开时,具有SYSADMIN属性的用户无权创建用户。

  • MONADMIN | NOMONADMIN

    定义角色是否是监控管理员。

    缺省为NOMONADMIN。

  • OPRADMIN | NOOPRADMIN

    定义角色是否是运维管理员。

    缺省为NOOPRADMIN。

  • POLADMIN | NOPOLADMIN

    定义角色是否是安全策略管理员。

    缺省为NOPOLADMIN。

  • AUDITADMIN | NOAUDITADMIN

    定义角色是否有审计管理属性。

    缺省为NOAUDITADMIN。

  • CREATEDB | NOCREATEDB

    决定一个新角色是否能创建数据库。

    新角色没有创建数据库的权限。

    缺省为NOCREATEDB。

  • USEFT | NOUSEFT

    该参数为保留参数,暂未启用。

  • CREATEROLE | NOCREATEROLE

    决定一个角色是否可以创建新角色(也就是执行CREATE ROLE和CREATE USER)。 一个拥有CREATEROLE权限的角色也可以修改和删除其他角色。

    缺省为NOCREATEROLE。

    三权分立关闭时,具有CREATEROLE属性的用户有权限创建具有CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。

    三权分立打开时,具有CREATEROLE属性的用户有权限创建具有CREATEROLE、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。

  • INHERIT | NOINHERIT

    这些子句决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。

  • LOGIN | NOLOGIN

    具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。

    缺省为NOLOGIN。

  • REPLICATION | NOREPLICATION

    定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色,仅用于复制。

    缺省为NOREPLICATION。

  • PERSISTENCE | NOPERSISTENCE

    定义永久用户。仅允许初始用户创建、修改和删除具有PERSISTENCE属性的永久用户。

  • CONNECTION LIMIT connlimit

    声明该角色可以使用的并发连接数量。

    • 系统管理员不受此参数的限制。
    • connlimit数据库主节点单独统计,数据库整体的连接数 = connlimit * 当前正常数据库主节点个数。

    取值范围:[-1, 2^31-1]的整数。缺省值为-1,表示没有限制。

  • VALID BEGIN 'timestamp'

    设置角色生效的时间戳。如果省略了该子句,角色无有效开始时间限制,timestamp为生效时间,格式为'YYYY-MM-DD HH:mm:ss'。

  • VALID UNTIL 'timestamp'

    设置角色失效的时间戳。如果省略了该子句,角色无有效结束时间限制,timestamp为失效时间,格式为'YYYY-MM-DD HH:mm:ss'。

  • RESOURCE POOL 'respool'

    设置角色使用的resource pool名称,该名称属于系统表:pg_resource_pool。

  • USER GROUP 'groupuser'

    创建一个user的子用户。当前版本暂不支持。

  • PERM SPACE 'spacelimit'

    设置用户使用空间的大小。

  • TEMP SPACE 'tmpspacelimit'

    设置用户临时表存储空间限额。

  • SPILL SPACE 'spillspacelimit'

    设置用户算子落盘空间限额。

  • IN ROLE role_name

    新角色立即拥有IN ROLE子句中列出的一个或多个现有角色拥有的权限。不推荐使用。

  • IN GROUP role_name

    IN GROUP是IN ROLE过时的拼法。不推荐使用。

  • ROLE role_name

    ROLE子句列出一个或多个现有的角色,它们将自动添加为这个新角色的成员,拥有新角色所有的权限。

  • ADMIN role_name

    ADMIN子句类似ROLE子句,不同的是ADMIN后的角色可以把新角色的权限赋给其他角色。

  • USER role_name

    USER子句是ROLE子句过时的拼法。

  • SYSID uid

    SYSID子句将被忽略,无实际意义。

  • DEFAULT TABLESPACE tablespace_name

    DEFAULT TABLESPACE子句将被忽略,无实际意义。

  • PROFILE profile_name

    PROFILE子句将被忽略,无实际意义。

  • PGUSER

    当前版本该属性没有实际意义,仅为了语法的前向兼容而保留。

示例

  • CREATE ROLE与CREATE USER的区别
    --使用CREATE ROLE创建角色test_role。
    gaussdb=# CREATE ROLE test_role PASSWORD '********';
    --使用CREATE USER创建用户test_user。
    gaussdb=# CREATE USER test_user PASSWORD '********';
    
    --查看信息,CREATE ROLE创建的角色默认禁止登录数据库。
    gaussdb=# \du test*
                List of roles
     Role name |  Attributes  | Member of 
    -----------+--------------+-----------
     test_role | Cannot login | {}
     test_user |              | {}
    
    --使用如下SQL可以使test_role角色正常登录数据库。
    gaussdb=# ALTER ROLE test_role WITH LOGIN;
    
    gaussdb=# \du test*
               List of roles
     Role name | Attributes | Member of 
    -----------+------------+-----------
     test_role |            | {}
     test_user |            | {}
    
    --查看SCHEMA信息,CREATE USER创建用户时,会自动创建同名SCHEMA。
    gaussdb=# \dn test*
        List of schemas
       Name    |   Owner   
    -----------+-----------
     test_user | test_user
    (1 row)
    
    --删除。
    gaussdb=# DROP ROLE test_role;
    gaussdb=# DROP USER test_user;
  • 创建权限类角色、三权分立
    --创建具有OPRADMIN权限的用户lisa和具有SYSADMIN权限的用户bob。
    gaussdb=# CREATE ROLE lisa WITH OPRADMIN PASSWORD '********';
    gaussdb=# CREATE ROLE bob WITH SYSADMIN PASSWORD '********';
    
    --查看权限。
    gaussdb=# \du lisa;
                        List of roles
     Role name |         Attributes          | Member of 
    -----------+-----------------------------+-----------
     lisa      | Cannot login, Operatoradmin | {}
    
    gaussdb=# \du bob
                     List of roles
     Role name |       Attributes       | Member of 
    -----------+------------------------+-----------
     bob       | Cannot login, Sysadmin | {}
    
    --创建具有CREATEDB权限的角色role11。
    gaussdb=# CREATE ROLE role11 CREATEDB PASSWORD '********';
    CREATE ROLE
    
    --查看权限。
    gaussdb=# \du role11
                      List of roles
     Role name |       Attributes        | Member of 
    -----------+-------------------------+-----------
     role11    | Create DB, Cannot login | {}
    
    --使用ADMIN子句创建新角色role12。
    gaussdb=# CREATE ROLE role12 WITH  CREATEDB  ADMIN role11  PASSWORD '********';
    CREATE ROLE
    --查看权限。
    gaussdb=# \du role11
                      List of roles
     Role name |       Attributes        | Member of 
    -----------+-------------------------+-----------
     role11    | Create DB, Cannot login | {role12}
    
    gaussdb=# \du role12
                      List of roles
     Role name |       Attributes        | Member of 
    -----------+-------------------------+-----------
     role12    | Create DB, Cannot login | {}
    
    --删除角色。
    gaussdb=# DROP ROLE role11;
    gaussdb=# DROP ROLE role12;
    gaussdb=# DROP ROLE lisa;
    gaussdb=# DROP ROLE bob;
    
    --三权分立配置:设置参数enableSeparationOfDuty为on,则会开启三权分立配置,限制系统管理员的权限。不允许系统管理员创建或更改用户配置,这样可以有效控制系统管理员访问用户私有数据。
    
    --查看三权分立是否打开。
    gaussdb=# SHOW enableSeparationOfDuty;
     enableSeparationOfDuty 
    ------------------------
     off
    (1 row)
    --执行以下语句修改参数。
    gs_guc set -Z coordinator -Z datanode -N all -I all -c "enableSeparationOfDuty = on"
    
    --设置成功后,重启数据库生效。
    gs_om -t stop 
    gs_om -t start
    
    --再次查看三权分立。
    gaussdb=# SHOW enableSeparationOfDuty;
     enableSeparationOfDuty 
    ------------------------
     on
    (1 row)
  • 创建密码失效角色
    --创建密码失效角色test_role2。
    gaussdb=# CREATE ROLE test_role2 PASSWORD '********' EXPIRED;
    gaussdb=# ALTER ROLE test_role2 WITH LOGIN;
    
    --test_role2登录到数据库后无法进行任何操作,只有根据提示修改密码后才可以进行操作。
    gaussdb=# SET ROLE test_role2 PASSWORD '********';
    gaussdb=> \d
    ERROR:  Please use "ALTER ROLE user_name IDENTIFIED BY 'password' REPLACE 'old password';" to modify the expired password of user test_role2 before operation!
    
    --修改test_role2密码。
    gaussdb=> ALTER ROLE test_role2 IDENTIFIED BY '********' REPLACE '********';
    
    --删除。
    gaussdb=> RESET ROLE;
    gaussdb=# DROP ROLE test_role2;
  • 创建角色指定生效与失效日期
    --创建一个角色,从2015年1月1日开始生效,到2026年1月1日失效。
    gaussdb=# CREATE ROLE test_role3 WITH LOGIN PASSWORD '********' VALID BEGIN '2015-01-01' VALID UNTIL '2026-01-01';
    --删除。
    gaussdb=# DROP ROLE test_role3;

相关链接

SET ROLEALTER ROLEDROP ROLEGRANT

相关文档