CREATE ROLE
功能描述
创建角色。
角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。
注意事项
- 在数据库中添加一个新角色,角色无登录权限。
- 创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。
语法格式
1
|
CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' | DISABLE }; |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
{SYSADMIN | NOSYSADMIN} | {AUDITADMIN | NOAUDITADMIN} | {CREATEDB | NOCREATEDB} | {USEFT | NOUSEFT} | {CREATEROLE | NOCREATEROLE} | {INHERIT | NOINHERIT} | {LOGIN | NOLOGIN} | {REPLICATION | NOREPLICATION} | {INDEPENDENT | NOINDEPENDENT} | {VCADMIN | NOVCADMIN} | CONNECTION LIMIT connlimit | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | TEMP SPACE 'tmpspacelimit' | SPILL SPACE 'spillspacelimit' | NODE GROUP logic_cluster_name | IN ROLE role_name [, ...] | IN GROUP role_name [, ...] | ROLE role_name [, ...] | ADMIN rol e_name [, ...] | USER role_name [, ...] | SYSID uid | DEFAULT TABLESPACE tablespace_name | PROFILE DEFAULT | PROFILE profile_name | PGUSER | AUTHINFO 'authinfo' | PASSWORD EXPIRATION period |
参数说明
|
参数 |
描述 |
取值范围 |
||
|---|---|---|---|---|
|
role_name |
角色名称。 |
字符串,需符合标识符的命名规范,且最多为63个字符。参见标识符命名规范。 |
||
|
password |
登录密码。 |
密码规则如下:
取值为字符串。 |
||
|
DISABLE |
默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。 |
禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:IAM认证、kerberos、ldap认证或oneaccess认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。 |
||
|
ENCRYPTED | UNENCRYPTED |
控制密码存储在系统表里的密码是否加密。 |
如果没有指定,那么缺省的行为由配置参数password_encryption_type控制。按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB(DWS)中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经使用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。 |
||
|
SYSADMIN | NOSYSADMIN |
决定一个新角色是否为“系统管理员”,具有SYSADMIN属性的角色拥有系统最高权限。 |
默认为NOSYSADMIN。 |
||
|
AUDITADMIN | NOAUDITADMIN |
定义角色是否有审计管理属性。 |
默认为NOAUDITADMIN。 |
||
|
CREATEDB | NOCREATEDB |
决定一个新角色是否能创建数据库。新角色没有创建数据库的权限。 |
默认为NOCREATEDB。 |
||
|
USEFT | NOUSEFT |
决定一个新角色是否能操作外表,包括:新建外表、删除外表、修改外表、读写外表。 新角色没有操作外表的权限。 |
缺省为NOUSEFT。
说明:
8.2.0及以上集群版本中,若GUC参数security_enable_options的foreign_table_options选项打开,即表示允许使用外表操作功能,不需要再赋予用户useft权限。 |
||
|
CREATEROLE | NOCREATEROLE |
决定一个角色是否可以创建新角色(也就是执行CREATE ROLE和CREATE USER)。 一个拥有CREATEROLE权限的角色也可以修改和删除其他角色。 |
默认为NOCREATEROLE。 |
||
|
INHERIT | NOINHERIT |
这些子句决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。 |
- |
||
|
LOGIN | NOLOGIN |
具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。 |
默认为NOLOGIN。 |
||
|
REPLICATION | NOREPLICATION |
定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色,仅用于复制。 |
默认为NOREPLICATION。 |
||
|
INDEPENDENT | NOINDEPENDENT |
定义私有、独立的角色。具有INDEPENDENT属性的角色,管理员对其进行的控制、访问的权限被分离。 |
具体规则如下:
|
||
|
VCADMIN | NOVCADMIN |
定义逻辑集群管理员角色。具有逻辑集群管理员属性的角色,和普通用户相比,有如下额外权限:
|
- |
||
|
CONNECTION LIMIT |
声明该角色在单个CN上可以使用的并发连接数量。 |
整数,>=-1。缺省值为-1,表示没有限制。
须知:
为保证集群正常使用,connection limit的最小值是集群中CN的数目。在集群做ANALYZE时,其他CN节点会连接当前做ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点,那么connection limit应该设置为>=3。 |
||
|
VALID BEGIN |
设置角色生效的时间戳。如果省略了该子句,角色无有效开始时间限制。 |
- |
||
|
VALID UNTIL |
设置角色失效的时间戳。如果省略了该子句,角色无有效结束时间限制。 |
- |
||
|
RESOURCE POOL |
设置角色使用的resource pool名字,该名字属于系统表:pg_resource_pool。 |
- |
||
|
USER GROUP 'groupuser' |
创建一个user的子用户。 |
- |
||
|
PERM SPACE |
设置用户永久表存储空间限额。 |
space_limit:永久表存储空间上限。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。 |
||
|
TEMP SPACE |
设置用户临时表存储空间限额。 |
tmpspacelimit:临时表存储空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。 |
||
|
SPILL SPACE |
设置用户算子落盘空间限额。 |
spillspacelimit:算子落盘空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。 |
||
|
NODE GROUP |
设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符,指定逻辑集群名称时需要加双引号。 |
- |
||
|
IN ROLE |
新角色立即拥有IN ROLE子句中列出的一个或多个现有角色拥有的权限。不推荐使用。 |
- |
||
|
IN GROUP |
IN GROUP是IN ROLE过时的拼法。不推荐使用。 |
- |
||
|
ROLE |
ROLE子句列出一个或多个现有的角色,它们将自动添加为这个新角色的成员,拥有新角色所有的权限。 |
- |
||
|
ADMIN |
ADMIN子句类似ROLE子句,不同的是ADMIN后的角色可以把新角色的权限赋给其他角色。 |
- |
||
|
USER |
USER子句是ROLE子句过时的拼法。 |
- |
||
|
SYSID |
SYSID子句将被忽略,无实际意义。 |
- |
||
|
DEFAULT TABLESPACE |
DEFAULT TABLESPACE子句将被忽略,无实际意义。 |
- |
||
|
PROFILE |
PROFILE子句将被忽略,无实际意义。 |
- |
||
|
PGUSER |
该属性用于兼容开源Postgres的连接通讯,开源的Postgres客户端接口(推荐使用Postgres 9.2.19版本的相关客户端接口)可以使用具有该属性的数据库用户连接数据库。 |
该属性只用于兼容连接过程,而由于本产品与Postgres的内核差异导致的不兼容,不在此属性控制范围内。 由于具有PGUSER属性的用户的认证方式与其他用户不同,开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举,建议使用本产品自有的客户端。例如:
|
||
|
AUTHINFO 'authinfo' |
该属性用于指定角色认证类型,authinfo为类型说明字符串,大小写敏感。当前仅支持LDAP和OneAccess类型,对应的类型说明字符串为“ldap”和“oneaccess”。LDAP和OneAccess属于外部认证,故需要同时指定PASSWORD DISABLE。 |
|
||
|
PASSWORD EXPIRATION period |
声明该角色的登录密码过期天数,登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录,需要请管理员设置新的登录密码后登录。 |
整数,-1~999。缺省值为-1,表示没有过期限制;0表示用户登录密码立即过期。 |
示例
创建一个角色,名为manager。
1
|
CREATE ROLE manager IDENTIFIED BY '{password}'; |
创建一个角色,从2015年1月1日开始生效,到2026年1月1日失效。
1
|
CREATE ROLE miriam WITH LOGIN PASSWORD '{password}' VALID BEGIN '2015-01-01' VALID UNTIL '2026-01-01'; |
创建一个角色,认证类型是LDAP,LDAP认证的其他信息由pg_hba.conf提供。
1
|
CREATE ROLE role1 WITH LOGIN AUTHINFO 'ldap' PASSWORD DISABLE; |
创建一个角色,认证类型是LDAP,LDAP认证的fulluser信息在创建时指定,此时ldap大小写敏感,需要用单引号包含。
1
|
CREATE ROLE role2 WITH LOGIN AUTHINFO 'ldapcn=role2,cn=user,dc=lework,dc=com' PASSWORD DISABLE; |
创建一个角色,认证类型是OneAccess,OneAccess认证的authinfo信息在创建时指定,此时oneaccess大小写敏感,需要用单引号包括。
1
|
CREATE ROLE role3 WITH LOGIN AUTHINFO 'oneaccessClientId=AbCd123,domain=example.exampleoneaccess.com' PASSWORD DISABLE; |
创建一个角色,登录密码有效期是30天。
1
|
CREATE ROLE role4 WITH LOGIN PASSWORD '{password}' PASSWORD EXPIRATION 30; |
