CREATE ROLE

功能描述

创建角色。

角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户，一个组或者兼顾两者。

注意事项

• 在数据库中添加一个新角色，角色无登录权限。
• 创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。

语法格式

1

CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' | DISABLE };

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

{SYSADMIN | NOSYSADMIN}
    | {AUDITADMIN | NOAUDITADMIN}
    | {CREATEDB | NOCREATEDB}
    | {USEFT | NOUSEFT}
    | {CREATEROLE | NOCREATEROLE}
    | {INHERIT | NOINHERIT}
    | {LOGIN | NOLOGIN}
    | {REPLICATION | NOREPLICATION}
    | {INDEPENDENT | NOINDEPENDENT}
    | {VCADMIN | NOVCADMIN}
    | CONNECTION LIMIT connlimit
    | VALID BEGIN 'timestamp'
    | VALID UNTIL 'timestamp'
    | RESOURCE POOL 'respool'
    | USER GROUP 'groupuser'
    | PERM SPACE 'spacelimit'
    | TEMP SPACE 'tmpspacelimit'
    | SPILL SPACE 'spillspacelimit'
    | NODE GROUP logic_cluster_name
    | IN ROLE role_name [, ...]
    | IN GROUP role_name [, ...]
    | ROLE role_name [, ...]
    | ADMIN rol e_name [, ...]
    | USER role_name [, ...]
    | SYSID uid
    | DEFAULT TABLESPACE tablespace_name
    | PROFILE DEFAULT
    | PROFILE profile_name
    | PGUSER
    | AUTHINFO 'authinfo'
    | PASSWORD EXPIRATION period

参数说明

• role_name

  角色名称。

  取值范围：字符串，要符合标识符的命名规范。且最多为63个字符。

• password

  登录密码。

  密码规则如下：

  • 密码默认不少于8个字符。
  • 不能与用户名及用户名倒序相同。
  • 至少包含大写字母（A-Z），小写字母（a-z），数字（0-9），非字母数字字符（~!@#$%^&*()-_=+\|[{}];:,<.>/?）四类字符中的三类字符。使用范围外的字符会收到告警，但依然允许创建。

  取值范围：字符串。

• DISABLE

  默认情况下，用户可以更改自己的密码，除非密码被禁用。要禁用用户的密码，请指定DISABLE。禁用某个用户的密码后，将从系统中删除该密码，此类用户只能通过外部认证来连接数据库，例如：IAM认证、kerberos、ldap认证或oneaccess认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码，请运行ALTER USER并指定密码。

• ENCRYPTED | UNENCRYPTED

  控制密码存储在系统表里的密码是否加密。如果没有指定，那么缺省的行为由配置参数password_encryption_type控制。按照产品安全要求，密码必须加密存储，所以，UNENCRYPTED在GaussDB(DWS)中禁止使用。因为系统无法对指定的加密密码字符串进行解密，所以如果目前的密码字符串已经使用SHA256加密的格式，则会继续照此存放，而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。

• SYSADMIN | NOSYSADMIN

  决定一个新角色是否为“系统管理员”，具有SYSADMIN属性的角色拥有系统最高权限。

  缺省为NOSYSADMIN。

• AUDITADMIN | NOAUDITADMIN

  定义角色是否有审计管理属性。

  缺省为NOAUDITADMIN。

• CREATEDB | NOCREATEDB

  决定一个新角色是否能创建数据库。

  新角色没有创建数据库的权限。

  缺省为NOCREATEDB。

• USEFT | NOUSEFT

  决定一个新角色是否能操作外表，包括：新建外表、删除外表、修改外表、读写外表。

  新角色没有操作外表的权限。

  缺省为NOUSEFT。

  

  8.2.0及以上集群版本中，若安全模式下GUC参数security_enable_options的foreign_table_options选项打开，即表示允许使用外表操作功能，不需要再赋予用户useft权限。

• CREATEROLE | NOCREATEROLE

  决定一个角色是否可以创建新角色（也就是执行CREATE ROLE和CREATE USER）。 一个拥有CREATEROLE权限的角色也可以修改和删除其他角色。

  缺省为NOCREATEROLE。

• INHERIT | NOINHERIT

  这些子句决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。

• LOGIN | NOLOGIN

  具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。

  缺省为NOLOGIN。

• REPLICATION | NOREPLICATION

  定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色，仅用于复制。

  缺省为NOREPLICATION。

• INDEPENDENT | NOINDEPENDENT

  定义私有、独立的角色。具有INDEPENDENT属性的角色，管理员对其进行的控制、访问的权限被分离，具体规则如下：

  • 未经INDEPENDENT角色授权，管理员无权对其表对象进行增、删、查、改、拷贝、授权操作。
  • 未经INDEPENDENT角色授权，管理员无权修改INDEPENDENT角色的继承关系。
  • 管理员无权修改INDEPENDENT角色的表对象的属主。
  • 管理员无权去除INDEPENDENT角色的INDEPENDENT属性。
  • 管理员无权修改INDEPENDENT角色的数据库密码，INDEPENDENT角色需管理好自身密码，密码丢失无法重置。
  • 管理员属性用户不允许定义修改为INDEPENDENT属性。
• VCADMIN | NOVCADMIN

  定义逻辑集群管理员角色。具有逻辑集群管理员属性的角色，和普通用户相比，有如下额外权限：

  • 在所关联逻辑集群中创建、修改和删除资源池的权限。
  • 将所关联的逻辑集群的访问权限授予其他用户或角色，或回收其他用户或角色对关联逻辑集群的访问权限。
• CONNECTION LIMIT

  声明该角色在单个CN上可以使用的并发连接数量。

  取值范围：整数，>=-1，缺省值为-1，表示没有限制。

  

  为保证集群正常使用，connection limit的最小值是集群中CN的数目。在集群做ANALYZE时，其他CN节点会连接当前做ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点，那么connection limit应该设置为>=3。

• VALID BEGIN

  设置角色生效的时间戳。如果省略了该子句，角色无有效开始时间限制。

• VALID UNTIL

  设置角色失效的时间戳。如果省略了该子句，角色无有效结束时间限制。

• RESOURCE POOL

  设置角色使用的resource pool名字，该名字属于系统表：pg_resource_pool

• USER GROUP 'groupuser'

  创建一个user的子用户。

• PERM SPACE

  设置用户永久表存储空间限额。

  space_limit：永久表存储空间上限。取值范围：字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

• TEMP SPACE

  设置用户临时表存储空间限额。

  tmpspacelimit：临时表存储空间限额。取值范围：字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

• SPILL SPACE

  设置用户算子落盘空间限额。

  spillspacelimit：算子落盘空间限额。取值范围：字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

• NODE GROUP

  设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符，指定逻辑集群名称时需要加双引号。

• IN ROLE

  新角色立即拥有IN ROLE子句中列出的一个或多个现有角色拥有的权限。不推荐使用。

• IN GROUP

  IN GROUP是IN ROLE过时的拼法。不推荐使用。

• ROLE

  ROLE子句列出一个或多个现有的角色，它们将自动添加为这个新角色的成员，拥有新角色所有的权限。

• ADMIN

  ADMIN子句类似ROLE子句，不同的是ADMIN后的角色可以把新角色的权限赋给其他角色。

• USER

  USER子句是ROLE子句过时的拼法。

• SYSID

  SYSID子句将被忽略，无实际意义。

• DEFAULT TABLESPACE

  DEFAULT TABLESPACE子句将被忽略，无实际意义。

• PROFILE

  PROFILE子句将被忽略，无实际意义。

• PGUSER

  该属性用于兼容开源Postgres的连接通讯，开源的Postgres客户端接口（推荐使用Postgres 9.2.19版本的相关客户端接口）可以使用具有该属性的数据库用户连接数据库。

  

  该属性只用于兼容连接过程，而由于本产品与Postgres的内核差异导致的不兼容，不在此属性控制范围内。

  由于具有PGUSER属性的用户的认证方式与其他用户不同，开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举，建议使用本产品自有的客户端。例如：

  1 2 3 4 5 6 7

  #normaluser是不具有PGUSER属性的用户，psql是Postgres的客户端工具 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U normaluser psql: authentication method 10 not supported #pguser用户是具有PGUSER属性的用户 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U pguser Password for user pguser:

示例

创建一个角色，名为manager：

1

CREATE ROLE manager IDENTIFIED BY '{password}';

创建一个角色，从2015年1月1日开始生效，到2026年1月1日失效：

1

CREATE ROLE miriam WITH LOGIN PASSWORD '{password}' VALID BEGIN '2015-01-01' VALID UNTIL '2026-01-01';

创建一个角色，认证类型是LDAP，LDAP认证的其他信息由pg_hba.conf提供：

1

CREATE ROLE role1 WITH LOGIN AUTHINFO 'ldap' PASSWORD DISABLE;

创建一个角色，认证类型是LDAP，LDAP认证的fulluser信息在创建时指定，此时ldap大小写敏感，需要用单引号包含：

1

CREATE ROLE role2 WITH LOGIN AUTHINFO 'ldapcn=role2,cn=user,dc=lework,dc=com' PASSWORD DISABLE;

创建一个角色，认证类型是OneAccess，OneAccess认证的authinfo信息在创建时指定，此时oneaccess大小写敏感，需要用单引号包括：

1

CREATE ROLE role3 WITH LOGIN AUTHINFO 'oneaccessClientId=AbCd123,domain=zwwdbualmd.huaweicloudoneaccess.com' PASSWORD DISABLE;

创建一个角色，登录密码有效期是30天：

1

CREATE ROLE role4 WITH LOGIN PASSWORD '{password}' PASSWORD EXPIRATION 30;

相关链接

SET ROLE，ALTER ROLE，DROP ROLE，GRANT，REVOKE