ALTER ROLE

role_name

需要修改的角色名。

已存在的角色名。

new_name

角色的新名称。

字符串，需符合标识符命名规范。

CREATEDB | NOCREATEDB

决定一个新角色是否能创建数据库。缺省为NOCREATEDB。

新角色没有创建数据库的权限。

-

CREATEROLE | NOCREATEROLE

决定一个角色是否可以创建新角色（也就是执行CREATE ROLE和CREATE USER）。 缺省为NOCREATEROLE。

拥有CREATEROLE权限的角色也可以修改和删除其他角色。

-

INHERIT | NOINHERIT

决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。

-

AUDITADMIN | NOAUDITADMIN

定义角色是否有审计管理属性。

缺省为NOAUDITADMIN。

-

SYSADMIN | NOSYSADMIN

决定一个新角色是否为“系统管理员”，具有SYSADMIN属性的角色拥有系统最高权限。

缺省为NOSYSADMIN。

-

USEFT | NOUSEFT

决定一个新角色是否能操作外表，包括：新建外表、删除外表、修改外表、读写外表。

新角色没有操作外表的权限。

缺省为NOUSEFT，表示新建角色默认不能操作外表。

-

LOGIN | NOLOGIN

定义用户是否可以登录数据库。具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。

缺省为NOLOGIN。

-

REPLICATION | NOREPLICATION

定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色，仅用于复制。

缺省为NOREPLICATION。

-

INDEPENDENT | NOINDEPENDENT

定义私有、独立的角色。具有INDEPENDENT属性的角色，管理员对其进行的控制、访问的权限被分离，具体规则如下：

• 未经INDEPENDENT角色授权，管理员无权对其表对象进行增、删、查、改、拷贝、授权操作。
• 未经INDEPENDENT角色授权，管理员无权修改INDEPENDENT角色的继承关系。
• 管理员无权修改INDEPENDENT角色的表对象的属主。
• 管理员无权去除INDEPENDENT角色的INDEPENDENT属性。
• 管理员无权修改INDEPENDENT角色的数据库密码，INDEPENDENT角色需管理好自身密码，密码丢失无法重置。
• 管理员属性用户不允许定义修改为INDEPENDENT属性。

-

VCADMIN | NOVCADMIN

定义逻辑集群管理员角色。具有逻辑集群管理员属性的角色，和普通用户相比，有如下额外权限：

• 在所关联逻辑集群中创建、修改和删除资源池的权限。
• 将所关联的逻辑集群的访问权限授予其他用户或角色，或回收其他用户或角色对关联逻辑集群的访问权限。

-

CONNECTION LIMIT

定义角色在单个CN上可以使用的并发连接数量。

为保证集群正常使用，connection limit的最小值是集群中CN的数目。在集群执行ANALYZE时，其他CN节点会连接当前执行ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点，那么connection limit应该设置为大于等于3。

整数，大于等于-1。

缺省值为-1，表示没有限制。

ENCRYPTED | UNENCRYPTED

控制密码存储在系统表里的密码是否加密。（如果没有指定，那么缺省的行为由配置参数password_encryption_type控制。）按照产品安全要求，密码必须加密存储，所以，UNENCRYPTED在DWS中禁止使用。因为系统无法对指定的加密密码字符串进行解密，所以如果目前的密码字符串已经使用SHA256加密的格式，则会继续照此存放，而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。

• password

  登录密码。

• DISABLE

  默认情况下，用户可以更改自己的密码，除非密码被禁用。要禁用用户的密码，请指定DISABLE。禁用某个用户的密码后，将从系统中删除该密码，此类用户只能通过外部认证来连接数据库，例如：IAM认证、kerberos或ldap认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码，请运行ALTER USER并指定密码。

密码规则：

• 密码默认不少于8个字符。
• 不能与用户名及用户名倒序相同。
• 至少包含大写字母（A-Z），小写字母（a-z），数字（0-9），非字母数字字符（~!@#$%^&*()-_=+\|[{}];:,<.>/?）四类字符中的三类字符。使用范围外的字符会收到告警，但依然允许创建。

VALID BEGIN

设置角色生效的时间戳。如果省略了该子句，角色无有效开始时间限制。

-

VALID UNTIL

设置角色失效的时间戳。如果省略了该子句，角色无有效结束时间限制。

-

RESOURCE POOL

设置角色使用的resource pool名称，该名称属于系统表：pg_resource_pool

-

USER GROUP 'groupuser'

创建一个user的子用户。

-

PERM SPACE

设置用户永久表存储空间限额。

space_limit表示永久表存储空间上限。

space_limit，字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

TEMP SPACE

设置用户临时表存储空间限额。

tmpspacelimit表示临时表存储空间限额。

tmpspacelimit，字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

SPILL SPACE

设置用户算子落盘空间限额。

spillspacelimit：算子落盘空间限额。

spillspacelimit，字符串格式为正整数+单位，单位当前支持K/M/G/T/P。0表示不限制。

NODE GROUP

设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符，指定逻辑集群名称时需要加双引号。

-

ACCOUNT LOCK | ACCOUNT UNLOCK

• ACCOUNT LOCK：锁定账户，禁止登录数据库。
• ACCOUNT UNLOCK：解锁账户，允许登录数据库。

-

PGUSER

该属性用于兼容开源Postgres的连接通讯，开源的Postgres客户端接口（推荐使用Postgres 9.2.19版本的相关客户端接口）可以使用具有该属性的数据库用户连接数据库。

当前版本不允许修改角色的PGUSER属性。更多说明内容请参考PGUSER参数建议。

-

AUTHINFO 'authinfo'

该属性用于指定角色认证类型，authinfo为类型说明字符串，大小写敏感。当前仅支持LDAP类型，对应的类型说明字符串为'ldap'。LDAP属于外部认证，故需要同时指定PASSWORD DISABLE。

• authinfo可以加上LDAP认证的额外信息，比如LDAP认证中的fulluser，fulluser等同于ldapprefix+username+ldapsuffix。当authinfo为'ldap'，表示角色认证类型为LDAP，此时ldapprefix和ldapsuffix的信息由pg_hba.conf中匹配的记录提供。
• ALTER ROLE时不允许用户切换认证类型，仅允许LDAP用户修改LDAP属性。

-

PASSWORD EXPIRATION period

声明该角色的登录密码过期天数，登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录，需要请管理员设置新的登录密码后登录。

整数，-1~999。

• -1，表示没有过期限制，缺省值。
• 0，表示用户登录密码立即过期。

IN DATABASE database_name

表示修改角色在指定数据库上的参数。

-

SET configuration_parameter

设置角色的参数。ALTER ROLE中修改的会话参数只针对指定的角色，且在下一次该角色启动的会话中有效。

• DEFAULT，表示清除configuration_parameter参数的值，configuration_parameter参数的值将继承本角色新产生的SESSION的默认值。
• FROM CURRENT，表示取当前会话中的值设置为configuration_parameter参数的值。

configuration_parameter和value的取值请参见SET。

RESET configuration_parameter/ALL

清除configuration_parameter参数的值。与SET configuration_parameter TO DEFAULT的效果相同。

ALL表示清除所有参数的值。

-