CREATE ROLE
功能描述
创建一个角色。角色是拥有GaussDB数据库对象和权限的实体。在不同的环境中角色可以表示用户、组或者同时存在。
注意事项
- 在数据库中添加的新角色,默认无LOGIN属性,仅拥有LOGIN属性的角色可以登录数据库。
- 创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。
语法格式
1
|
CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' [EXPIRED] | DISABLE }; |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
{SYSADMIN | NOSYSADMIN} | {MONADMIN | NOMONADMIN} | {OPRADMIN | NOOPRADMIN} | {POLADMIN | NOPOLADMIN} | {AUDITADMIN | NOAUDITADMIN} | {CREATEDB | NOCREATEDB} | {USEFT | NOUSEFT} | {CREATEROLE | NOCREATEROLE} | {INHERIT | NOINHERIT} | {LOGIN | NOLOGIN} | {REPLICATION | NOREPLICATION} | {PERSISTENCE | NOPERSISTENCE} | CONNECTION LIMIT connlimit | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | TEMP SPACE 'tmpspacelimit' | SPILL SPACE 'spillspacelimit' | NODE GROUP logic_cluster_name | IN ROLE role_name [, ...] | IN GROUP role_name [, ...] | ROLE role_name [, ...] | ADMIN role_name [, ...] | USER role_name [, ...] | SYSID uid | DEFAULT TABLESPACE tablespace_name | PROFILE DEFAULT | PROFILE profile_name | PGUSER |
参数说明
- role_name
角色名称。
取值范围:字符串,要符合标识符命名规范且最大长度不超过63个字符。
- 标识符需要为小写字母(a~z)、大写字母(A~Z)、下划线(_)、数字(0~9)或美元符号($),且必须以字母或下划线开头。
- 角色名称若超过63个字符,数据库会截断并保留前63个字符当作角色名称。
- 当角色名称中包含大写字母时数据库会自动转换为小写字母,如果需要创建包含大写字母的角色名称则需要使用双引号进行包裹。
- redisuser为重分布资源管控对象,当前不支持创建role_name为redisuser的角色。
- password
登录密码。
取值范围:不为空的字符串。
密码规则如下:
- 密码默认不少于8个字符。
- 不能与角色名及角色名倒序相同。
- 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)和非字母数字字符(限定为~、!、@、#、$、%、^、&、*、(、)、-、_、=、+、\、|、[、{、}、]、;、:、,、<、.、>、/以及?)四类字符中的三类字符。
- 密码也可以使用符合格式要求的密文字符串,主要用于用户数据导入场景,不推荐用户直接使用。数据库不会校验密文密码复杂度进行校验,直接使用密文密码可能存在数据安全风险,如果用户直接使用密文密码,需要清楚密文密码对应的明文以及保证明文密码复杂度。
- 创建角色时,用户密码需要使用单引号进行包裹。
- EXPIRED
在创建用户时可选EXPIRED,即创建密码失效用户。
指定EXPIRED后,该角色不允许执行简单查询和扩展查询。仅当修改自身密码后才可正常执行语句。
- DISABLE
默认情况下,角色可以更改自己的密码,当指定DISABLE后,角色无法对自身密码进行修改,即禁用角色的密码。
当指定DISABLE后,角色自身密码将从系统中删除,角色无法通过自身密码连接数据库,仅能通过外部认证进行连接操作,如kerberos认证。
仅管理员才能启用或禁用密码,普通用户不能禁用初始用户的密码。启用密码时,请执行ALTER USER并指定密码。
- ENCRYPTED | UNENCRYPTED
控制密码存储在系统表里的口令是否加密。
按照产品安全要求,密码必须加密存储,UNENCRYPTED在GaussDB中禁止使用。
由于系统无法对指定的加密口令字符串进行解密,所以当口令字符串已经用SHA256加密的格式时,无论是否声明了ENCRYPTED或UNENCRYPTED,口令会继续按照该格式进行存储,实现DUMP/RESTORE操作时重新加载加密的口令。
- SYSADMIN | NOSYSADMIN
定义角色是否为系统管理员,默认为NOSYSADMIN。指定SYSADMIN后,角色拥有系统最高权限。
- 三权分立关闭时,具有SYSADMIN属性的角色拥有创建具有SYSADMIN、REPLICATION、CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN和CREATEDB属性的用户以及创建普通用户的权限。
- 三权分立打开时,具有SYSADMIN属性的用户无权创建用户。
- MONADMIN | NOMONADMIN
定义角色是否是监控管理员,默认为NOMONADMIN。
- OPRADMIN | NOOPRADMIN
定义角色是否是运维管理员,默认为NOOPRADMIN。
- POLADMIN | NOPOLADMIN
定义角色是否是安全策略管理员,默认为NOPOLADMIN。
- AUDITADMIN | NOAUDITADMIN
定义角色是否有审计管理属性,默认为NOAUDITADMIN。
- CREATEDB | NOCREATEDB
定义角色是否可以创建数据库,默认为NOCREATEDB,新角色没有创建数据库的权限。
- USEFT | NOUSEFT
该参数为保留参数,暂未启用。
- CREATEROLE | NOCREATEROLE
定义角色是否可以创建新角色,即该角色可以执行CREATE ROLE和CREATE USER操作,默认为NOCREATEROLE。指定CREATEROLE后,角色还可以修改和删除其他角色。
- 三权分立关闭时,具有CREATEROLE属性的用户拥有创建具有CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN和CREATEDB属性的用户以及创建普通用户的权限。
- 三权分立打开时,具有CREATEROLE属性的用户拥有创建具有CREATEROLE、MONADMIN、POLADMIN和CREATEDB属性的用户以及创建普通用户的权限。
- INHERIT | NOINHERIT
定义决定角色是否继承其所在组的角色的权限。不推荐使用。
- LOGIN | NOLOGIN
定义用户是否可以登录数据库,具有LOGIN属性的角色才可以登录数据库,默认为NOLOGIN。
一个拥有LOGIN属性的角色可以认为是一个用户。
- REPLICATION | NOREPLICATION
定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色,仅用于复制。
默认为NOREPLICATION。
- PERSISTENCE | NOPERSISTENCE
定义永久用户。仅允许初始用户创建、修改和删除具有PERSISTENCE属性的永久用户。
- CONNECTION LIMIT connlimit
声明该角色可以使用的并发连接数量。
取值范围:[-1, 231-1]的整数。默认值为-1,表示没有限制。
- 系统管理员不受此参数的限制。
- 每个CN的connlimit单独统计,集群整体的连接数= connlimit * 当前正常CN节点个数。
- VALID BEGIN 'timestamp'
设置角色生效的时间戳。如果未指定有效生效时间,表示角色无有效开始时间限制。
timestamp:生效时间,格式为'YYYY-MM-DD HH:mm:ss'。
- VALID UNTIL 'timestamp'
设置角色失效的时间戳。如果未指定有效失效时间,表示角色无有效结束时间限制,timestamp:失效时间,格式为'YYYY-MM-DD HH:mm:ss'。
- RESOURCE POOL 'respool'
设置角色使用的资源池名称,该名称属于系统表pg_resource_pool。
- USER GROUP 'groupuser'
创建一个用户组的子用户。
- PERM SPACE 'SPACELIMIT'
设置用户使用空间的大小。
- TEMP SPACE 'tmpspacelimit'
设置用户临时表存储空间限额。
- SPILL SPACE 'spillspacelimit'
设置用户算子落盘空间限额。
- IN ROLE role_name
新角色立即拥有IN ROLE子句中列出的一个或多个现有角色拥有的权限。不推荐使用。
- IN GROUP role_name
IN GROUP是IN ROLE的原有的语法(过时语法)。不推荐使用。
- ROLE role_name
ROLE子句列出一个或多个现有的角色,该部分角色将自动添加为这个新角色的成员,拥有新角色所有的权限。
- ADMIN role_name
ADMIN子句类似ROLE子句,但ADMIN后的角色可以将新角色的权限赋给其他角色。
- USER role_name
USER子句是ROLE子句的原有的语法(过时语法)。
- SYSID uid
SYSID子句将被忽略,无实际意义。
- DEFAULT TABLESPACE tablespace_name
DEFAULT TABLESPACE子句将被忽略,无实际意义。
- PROFILE profile_name
PROFILE子句将被忽略,无实际意义。
- PGUSER
当前版本该属性没有实际意义,仅作为语法的前向兼容而保留。
示例
- CREATE ROLE与CREATE USER的区别
--使用CREATE ROLE创建角色test_role。 gaussdb=# CREATE ROLE test_role PASSWORD '********'; --使用CREATE USER创建用户test_user。 gaussdb=# CREATE USER test_user PASSWORD '********'; --查看信息,CREATE ROLE创建的角色默认禁止登录数据库。 gaussdb=# \du test* List of roles Role name | Attributes | Member of -----------+--------------+----------- test_role | Cannot login | {} test_user | | {} --使用如下SQL可以使test_role角色正常登录数据库。 gaussdb=# ALTER ROLE test_role WITH LOGIN; gaussdb=# \du test* List of roles Role name | Attributes | Member of -----------+------------+----------- test_role | | {} test_user | | {} --查看SCHEMA信息,CREATE USER创建用户时,会自动创建同名SCHEMA。 gaussdb=# \dn test* List of schemas Name | Owner -----------+----------- test_user | test_user (1 row) --删除。 gaussdb=# DROP ROLE test_role; gaussdb=# DROP USER test_user;
- 创建权限类角色、三权分立
--创建具有OPRADMIN权限的用户lisa和具有SYSADMIN权限的用户bob。 gaussdb=# CREATE ROLE lisa WITH OPRADMIN PASSWORD '********'; gaussdb=# CREATE ROLE bob WITH SYSADMIN PASSWORD '********'; --查看权限。 gaussdb=# \du lisa; List of roles Role name | Attributes | Member of -----------+-----------------------------+----------- lisa | Cannot login, Operatoradmin | {} gaussdb=# \du bob List of roles Role name | Attributes | Member of -----------+------------------------+----------- bob | Cannot login, Sysadmin | {} --创建具有CREATEDB权限的角色role11。 gaussdb=# CREATE ROLE role11 CREATEDB PASSWORD '********'; CREATE ROLE --查看权限。 gaussdb=# \du role11 List of roles Role name | Attributes | Member of -----------+-------------------------+----------- role11 | Create DB, Cannot login | {} --使用ADMIN子句创建新角色role12。 gaussdb=# CREATE ROLE role12 WITH CREATEDB ADMIN role11 PASSWORD '********'; CREATE ROLE --查看权限。 gaussdb=# \du role11 List of roles Role name | Attributes | Member of -----------+-------------------------+----------- role11 | Create DB, Cannot login | {role12} gaussdb=# \du role12 List of roles Role name | Attributes | Member of -----------+-------------------------+----------- role12 | Create DB, Cannot login | {} --删除角色。 gaussdb=# DROP ROLE role11; gaussdb=# DROP ROLE role12; gaussdb=# DROP ROLE lisa; gaussdb=# DROP ROLE bob; --三权分立配置:设置参数enableSeparationOfDuty为on,则会开启三权分立配置,限制系统管理员的权限。不允许系统管理员创建或更改用户配置。 --查看三权分立是否打开。 gaussdb=# SHOW enableSeparationOfDuty; enableSeparationOfDuty ------------------------ off (1 row) --执行以下语句修改参数。 gs_guc set -Z coordinator -Z datanode -N all -I all -c "enableSeparationOfDuty = on" --设置成功后,重启数据库生效。 gs_om -t stop gs_om -t start --再次查看三权分立。 gaussdb=# SHOW enableSeparationOfDuty; enableSeparationOfDuty ------------------------ on (1 row)
- 创建密码失效角色
--创建密码失效角色test_role2。 gaussdb=# CREATE ROLE test_role2 PASSWORD '********' EXPIRED; gaussdb=# ALTER ROLE test_role2 WITH LOGIN; --test_role2登录到数据库后无法进行任何操作,只有根据提示修改密码后才可以进行操作。 gaussdb=# SET ROLE test_role2 PASSWORD '********'; gaussdb=> \d ERROR: Please use "ALTER ROLE user_name IDENTIFIED BY 'password' REPLACE 'old password';" to modify the expired password of user test_role2 before operation! --修改test_role2密码。 gaussdb=> ALTER ROLE test_role2 IDENTIFIED BY '********' REPLACE '********'; --删除。 gaussdb=> RESET ROLE; gaussdb=# DROP ROLE test_role2;
- 创建角色指定生效与失效日期
--创建一个角色,从2015年1月1日开始生效,到2026年1月1日失效。 gaussdb=# CREATE ROLE test_role3 WITH LOGIN PASSWORD '********' VALID BEGIN '2015-01-01' VALID UNTIL '2026-01-01'; --删除。 gaussdb=# DROP ROLE test_role3;
