更新时间:2024-11-11 GMT+08:00

CREATE USER

功能描述

创建一个用户。

注意事项

  • 通过CREATE USER创建的用户,默认具有LOGIN权限;
  • 通过CREATE USER创建用户的同时系统会在执行该命令的数据库中,为该用户创建一个同名的SCHEMA;其他数据库中,则不自动创建同名的SCHEMA;用户可使用CREATE SCHEMA命令,分别在其他数据库中,为该用户创建同名SCHEMA。
  • 系统管理员在普通用户同名schema下创建的对象,所有者为schema的同名用户(非系统管理员)。
  • 除系统管理员之外,其他用户即使被授权了schema的所有权限也无法在普通用户的同名schema下创建对象,除非把同名schema相关的角色权限赋予其他用户。具体操作可参考赋予用户schema的all权限后建表依然报错章节。
  • 尽量避免所有业务使用同一个数据库用户运行,请按业务模块规划不同数据库用户。
  • 不建议使用系统管理员用户跑业务,不同模块业务请通过多用户和权限进行访问控制。
  • 更多开发设计规范参见总体开发设计规范

语法格式

1
CREATE USER user_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' | DISABLE };

其中option子句用于设置权限及属性等信息。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
{SYSADMIN | NOSYSADMIN}
    | {AUDITADMIN | NOAUDITADMIN}
    | {CREATEDB | NOCREATEDB}
    | {USEFT | NOUSEFT}
    | {CREATEROLE | NOCREATEROLE}
    | {INHERIT | NOINHERIT}
    | {LOGIN | NOLOGIN}
    | {REPLICATION | NOREPLICATION}
    | {INDEPENDENT | NOINDEPENDENT}
    | {VCADMIN | NOVCADMIN}
    | CONNECTION LIMIT connlimit
    | VALID BEGIN 'timestamp'
    | VALID UNTIL 'timestamp'
    | RESOURCE POOL 'respool'
    | USER GROUP 'groupuser'
    | PERM SPACE 'spacelimit'
    | TEMP SPACE 'tmpspacelimit'
    | SPILL SPACE 'spillspacelimit'
    | NODE GROUP logic_cluster_name
    | IN ROLE role_name [, ...]
    | IN GROUP role_name [, ...]
    | ROLE role_name [, ...]
    | ADMIN role_name [, ...]
    | USER role_name [, ...]
    | SYSID uid
    | DEFAULT TABLESPACE tablespace_name
    | PROFILE DEFAULT
    | PROFILE profile_name
    | PGUSER
    | AUTHINFO 'authinfo'
    | PASSWORD EXPIRATION period

参数说明

  • user_name

    用户名称。

    取值范围:字符串,要符合标识符的命名规范。且最大长度不超过63个字符。

  • password

    登录密码。

    密码规则如下:

    • 密码默认不少于8个字符。
    • 不能与用户名及用户名倒序相同。
    • 至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(~!@#$%^&*()-_=+\|[{}];:,<.>/?)四类字符中的三类字符。使用范围外的字符会收到告警,但依然允许创建。

    取值范围:字符串。

  • DISABLE

    默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:IAM认证、kerberos或ldap认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。

  • ENCRYPTED | UNENCRYPTED

    控制密码存储在系统表里的密码是否加密。(如果没有指定,那么缺省的行为由配置参数password_encryption_type控制。)按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB(DWS)中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经使用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。

  • SYSADMIN | NOSYSADMIN

    决定一个新用户是否为“系统管理员”,具有SYSADMIN属性的用户拥有系统最高权限。

    缺省为NOSYSADMIN。

  • AUDITADMIN | NOAUDITADMIN

    定义用户是否有审计管理属性。

    缺省为NOAUDITADMIN。

  • CREATEDB | NOCREATEDB

    决定一个新用户是否能创建数据库。

    新用户没有创建数据库的权限。

    缺省为NOCREATEDB。

  • USEFT | NOUSEFT

    决定一个新用户是否能操作外表,包括:新建外表、删除外表、修改外表、读写外表。

    新用户没有操作外表的权限。

    缺省为NOUSEFT。

  • CREATEROLE | NOCREATEROLE

    决定一个用户是否可以创建新角色或用户(也就是执行CREATE ROLE和CREATE USER)。 一个拥有CREATEROLE权限的用户也可以修改和删除其他用户或角色。

    缺省为NOCREATEROLE。

  • INHERIT | NOINHERIT

    这些子句决定一个用户是否“继承”它所在组的用户的权限。不推荐使用。

  • LOGIN | NOLOGIN

    具有LOGIN属性的用户才可以登录数据库。

    缺省为LOGIN。

  • REPLICATION | NOREPLICATION

    定义用户是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的用户,仅用于复制。

    缺省为NOREPLICATION。

  • INDEPENDENT | NOINDEPENDENT

    定义私有、独立的用户。具有INDEPENDENT属性的用户,管理员对其进行的控制、访问的权限被分离,具体规则如下:

    • 未经INDEPENDENT用户授权,管理员无权对其表对象进行增、删、查、改、拷贝、授权操作。
    • 未经INDEPENDENT用户授权,管理员无权修改INDEPENDENT用户的继承关系。
    • 管理员无权修改INDEPENDENT用户的表对象的属主。
    • 管理员无权去除INDEPENDENT用户的INDEPENDENT属性。
    • 管理员无权修改INDEPENDENT用户的数据库密码,INDEPENDENT用户需管理好自身密码,密码丢失无法重置。
    • 管理员属性用户不允许定义修改为INDEPENDENT属性。
  • VCADMIN | NOVCADMIN

    定义逻辑集群管理员用户。具有逻辑集群管理员属性的用户,和普通用户相比,有如下额外权限:

    • 在所关联逻辑集群中创建、修改和删除资源池的权限。
    • 将所关联的逻辑集群的访问权限授予其他用户或角色,或回收其他用户或角色对关联逻辑集群的访问权限。
  • CONNECTION LIMIT

    声明该用户在单个CN上可以使用的并发连接数量。

    取值范围:整数,>=-1,缺省值为-1,表示没有限制。

    为保证集群正常使用,connection limit的最小值是集群中CN的数目。在集群做ANALYZE时,其他CN节点会连接当前做ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点,那么connection limit应该设置为>=3。

  • VALID BEGIN

    设置用户生效的时间戳。如果省略了该子句,用户无有效开始时间限制。

  • VALID UNTIL

    设置用户失效的时间戳。如果省略了该子句,用户无有效结束时间限制。

  • RESOURCE POOL

    设置用户使用的resource pool名字,该名字属于系统表:pg_resource_pool

  • USER GROUP 'groupuser'

    创建一个user的子用户。

  • PERM SPACE

    设置用户永久表存储空间限额。

    space_limit:永久表存储空间上限。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。

  • TEMP SPACE

    设置用户临时表存储空间限额。

    tmpspacelimit:临时表存储空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。

  • SPILL SPACE

    设置用户算子落盘空间限额。

    spillspacelimit:算子落盘空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。

  • NODE GROUP

    设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符,指定逻辑集群名称时需要加双引号。

  • IN ROLE

    新用户立即拥有IN ROLE子句中列出的一个或多个现有用户拥有的权限。不推荐使用。

  • IN GROUP

    IN GROUP是IN ROLE过时的拼法。不推荐使用。

  • ROLE

    ROLE子句列出一个或多个现有的用户,它们将自动添加为这个新用户的成员,拥有新用户所有的权限。

  • ADMIN

    ADMIN子句类似ROLE子句,不同的是ADMIN后的用户可以把新用户的权限赋给其他用户。

  • USER

    USER子句是ROLE子句过时的拼法。

  • SYSID

    SYSID子句将被忽略,无实际意义。

  • DEFAULT TABLESPACE

    DEFAULT TABLESPACE子句将被忽略,无实际意义。

  • PROFILE

    PROFILE子句将被忽略,无实际意义。

  • PGUSER

    该属性用于兼容开源Postgres的连接通讯,开源的Postgres客户端接口(推荐使用Postgres 9.2.19版本的相关客户端接口)可以使用具有该属性的数据库用户连接数据库。

    该属性只用于兼容连接过程,而由于本产品与Postgres的内核差异导致的不兼容,不在此属性控制范围内。

    由于具有PGUSER属性的用户的认证方式与其他用户不同,开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举,建议使用本产品自有的客户端。例如:

    1
    2
    3
    4
    5
    6
    7
    #normaluser是不具有PGUSER属性的用户psql是Postgres的客户端工具
    pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U normaluser
    psql: authentication method 10 not supported
    
    #pguser用户是具有PGUSER属性的用户
    pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U pguser
    Password for user pguser:
    
  • AUTHINFO 'authinfo'

    该属性用于指定用户认证类型,authinfo为类型说明字符串,大小写敏感。当前仅支持LDAP类型,对应的类型说明字符串为'ldap'。LDAP属于外部认证,故需要同时指定PASSWORD DISABLE。

    • authinfo可以加上LDAP认证的额外信息,比如LDAP认证中的fulluser,fulluser等同于ldapprefix+username+ldapsuffix。当authinfo为'ldap',表示用户认证类型为LDAP,此时ldapprefix和ldapsuffix的信息由pg_hba.conf中匹配的记录提供。
    • ALTER ROLE时不允许用户切换认证类型,仅允许LDAP用户修改LDAP属性。
  • PASSWORD EXPIRATION period

    声明该用户的登录密码过期天数,登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录,需要请管理员设置新的登录密码后登录。

    取值范围:整数,-1~999。缺省值为-1,表示没有过期限制;0表示用户登录密码立即过期。

示例

创建用户jim:

1
CREATE USER jim PASSWORD '{password}';

下面语句与上面的等价:

1
CREATE USER kim IDENTIFIED BY '{password}';

如果创建有“创建数据库”权限的用户,则需要加CREATEDB关键字:

1
CREATE USER dim CREATEDB PASSWORD '{password}';

相关链接

ALTER USERCREATE ROLEDROP USER