ALTER ROLE
功能描述
修改角色属性。
注意事项
无。
语法格式
- 修改角色的权限。
1
ALTER ROLE role_name [ [ WITH ] option [ ... ] ];
其中权限项子句option为。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
{CREATEDB | NOCREATEDB} | {CREATEROLE | NOCREATEROLE} | {INHERIT | NOINHERIT} | {AUDITADMIN | NOAUDITADMIN} | {SYSADMIN | NOSYSADMIN} | {USEFT | NOUSEFT} | {LOGIN | NOLOGIN} | {REPLICATION | NOREPLICATION} | {INDEPENDENT | NOINDEPENDENT} | {VCADMIN | NOVCADMIN} | CONNECTION LIMIT connlimit | [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password' | [ ENCRYPTED | UNENCRYPTED ] IDENTIFIED BY 'password' [ REPLACE 'old_password' ] | [ ENCRYPTED | UNENCRYPTED ] PASSWORD { 'password' | DISABLE } | [ ENCRYPTED | UNENCRYPTED ] IDENTIFIED BY { 'password' [ REPLACE 'old_password' ] | DISABLE } | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | TEMP SPACE 'tmpspacelimit' | SPILL SPACE 'spillspacelimit' | NODE GROUP logic_cluster_name | ACCOUNT { LOCK | UNLOCK } | PGUSER | AUTHINFO 'authinfo' | PASSWORD EXPIRATION period
- 修改角色的名字。
1 2
ALTER ROLE role_name RENAME TO new_name;
- 设置角色的配置参数。
1 2
ALTER ROLE role_name [ IN DATABASE database_name ] SET configuration_parameter {{ TO | = } { value | DEFAULT } | FROM CURRENT};
- 重置角色的配置参数。
1 2
ALTER ROLE role_name [ IN DATABASE database_name ] RESET {configuration_parameter|ALL};
参数说明
- role_name
现有角色名。
取值范围:已存在的用户名。
- new_name
角色的新名称。
取值范围:字符串,要符合标识符的命名规范。且最多为63个字符。
- CREATEDB | NOCREATEDB
决定一个新角色是否能创建数据库。
新角色没有创建数据库的权限。
缺省为NOCREATEDB。
- CREATEROLE | NOCREATEROLE
决定一个角色是否可以创建新角色(也就是执行CREATE ROLE和CREATE USER)。 一个拥有CREATEROLE权限的角色也可以修改和删除其他角色。
缺省为NOCREATEROLE。
- INHERIT | NOINHERIT
决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。
- AUDITADMIN | NOAUDITADMIN
定义角色是否有审计管理属性。
缺省为NOAUDITADMIN。
- SYSADMIN | NOSYSADMIN
决定一个新角色是否为“系统管理员”,具有SYSADMIN属性的角色拥有系统最高权限。
缺省为NOSYSADMIN。
- USEFT | NOUSEFT
决定一个新角色是否能操作外表,包括:新建外表、删除外表、修改外表、读写外表。
新角色没有操作外表的权限。
缺省为NOUSEFT,表示新建角色默认不能操作外表。
- LOGIN | NOLOGIN
具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。
缺省为NOLOGIN。
- REPLICATION | NOREPLICATION
定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色,仅用于复制。
缺省为NOREPLICATION。
- INDEPENDENT | NOINDEPENDENT
定义私有、独立的角色。具有INDEPENDENT属性的角色,管理员对其进行的控制、访问的权限被分离,具体规则如下:
- 未经INDEPENDENT角色授权,管理员无权对其表对象进行增、删、查、改、复制、授权操作。
- 未经INDEPENDENT角色授权,管理员无权修改INDEPENDENT角色的继承关系。
- 管理员无权修改INDEPENDENT角色的表对象的属主。
- 管理员无权去除INDEPENDENT角色的INDEPENDENT属性。
- 管理员无权修改INDEPENDENT角色的数据库密码,INDEPENDENT角色需管理好自身密码,密码丢失无法重置。
- 管理员属性用户不允许定义修改为INDEPENDENT属性。
- VCADMIN | NOVCADMIN
定义逻辑集群管理员角色。具有逻辑集群管理员属性的角色,和普通用户相比,有如下额外权限:
- 在所关联逻辑集群中创建、修改和删除资源池的权限。
- 将所关联的逻辑集群的访问权限授予其他用户或角色,或回收其他用户或角色对关联逻辑集群的访问权限。
- CONNECTION LIMIT
声明该角色可以在单个CN上使用的并发连接数量。
取值范围:整数,>=-1,缺省值为-1,表示没有限制。
为保证集群正常使用,connection limit的最小值是集群中CN的数目。在集群做ANALYZE时,其他CN节点会连接当前做ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点,那么connection limit应该设置为>=3。
- ENCRYPTED | UNENCRYPTED
控制密码存储在系统表里的密码是否加密。(如果没有指定,那么缺省的行为由配置参数password_encryption_type控制。)按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB(DWS)中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经使用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。
- password
密码规则:密码默认不少于8个字符;不能与用户名及用户名倒序相同;至少包含大写字母(A-Z),小写字母(a-z),数字(0-9),非字母数字字符(~!@#$%^&*()-_=+\|[{}];:,<.>/?)四类字符中的三类字符。使用范围外的字符会收到告警,但依然允许创建。
取值范围:字符串。
- DISABLE
默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:IAM认证、kerberos或ldap认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。
- password
- VALID BEGIN
设置角色生效的时间戳。如果省略了该子句,角色无有效开始时间限制。
- VALID UNTIL
设置角色失效的时间戳。如果省略了该子句,角色无有效结束时间限制。
- RESOURCE POOL
设置角色使用的resource pool名字,该名字属于系统表:pg_resource_pool
- USER GROUP 'groupuser'
创建一个user的子用户。
- PERM SPACE
设置用户永久表存储空间限额。
space_limit:永久表存储空间上限。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。
- TEMP SPACE
设置用户临时表存储空间限额。
tmpspacelimit:临时表存储空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。
- SPILL SPACE
设置用户算子落盘空间限额。
spillspacelimit:算子落盘空间限额。取值范围:字符串格式为正整数+单位,单位当前支持K/M/G/T/P。0表示不限制。
- NODE GROUP
设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符,指定逻辑集群名称时需要加双引号。
- ACCOUNT LOCK | ACCOUNT UNLOCK
- ACCOUNT LOCK:锁定账户,禁止登录数据库。
- ACCOUNT UNLOCK:解锁账户,允许登录数据库。
- PGUSER
该属性用于兼容开源Postgres的连接通讯,开源的Postgres客户端接口(推荐使用Postgres 9.2.19版本的相关客户端接口)可以使用具有该属性的数据库用户连接数据库。
当前版本不允许修改角色的PGUSER属性。
该属性只用于兼容连接过程,而由于本产品与Postgres的内核差异导致的不兼容,不在此属性控制范围内。
由于具有PGUSER属性的用户的认证方式与其他用户不同,开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举,建议使用本产品自有的客户端。例如:
1 2 3 4 5 6 7
#normaluser是不具有PGUSER属性的用户,psql是Postgres的客户端工具 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U normaluser psql: authentication method 10 not supported #pguser用户是具有PGUSER属性的用户 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U pguser Password for user pguser:
- AUTHINFO 'authinfo'
该属性用于指定角色认证类型,authinfo为类型说明字符串,大小写敏感。当前仅支持LDAP类型,对应的类型说明字符串为'ldap'。LDAP属于外部认证,故需要同时指定PASSWORD DISABLE。
- authinfo可以加上LDAP认证的额外信息,比如LDAP认证中的fulluser,fulluser等同于ldapprefix+username+ldapsuffix。当authinfo为'ldap',表示角色认证类型为LDAP,此时ldapprefix和ldapsuffix的信息由pg_hba.conf中匹配的记录提供。
- ALTER ROLE时不允许用户切换认证类型,仅允许LDAP用户修改LDAP属性。
- PASSWORD EXPIRATION period
声明该角色的登录密码过期天数,登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录,需要请管理员设置新的登录密码后登录。
取值范围:整数,-1~999。缺省值为-1,表示没有过期限制;0表示用户登录密码立即过期。
- IN DATABASE database_name
表示修改角色在指定数据库上的参数。
- SET configuration_parameter
设置角色的参数。ALTER ROLE中修改的会话参数只针对指定的角色,且在下一次该角色启动的会话中有效。
取值范围:
configuration_parameter和value的取值请参见SET。
DEFAULT:表示清除configuration_parameter参数的值,configuration_parameter参数的值将继承本角色新产生的SESSION的默认值。
FROM CURRENT:取当前会话中的值设置为configuration_parameter参数的值。
- RESET configuration_parameter|ALL
清除configuration_parameter参数的值。与SET configuration_parameter TO DEFAULT的效果相同。
取值范围:ALL表示清除所有参数的值。
示例
创建示例角色r1,r2和r3。
1 2 3 |
CREATE ROLE r1 IDENTIFIED BY '{Password}'; CREATE ROLE r2 WITH LOGIN AUTHINFO 'ldapcn=r2,cn=user,dc=lework,dc=com' PASSWORD DISABLE; CREATE ROLE r3 WITH LOGIN PASSWORD '{Password}' PASSWORD EXPIRATION 30; |
修改角色r1的登录权限:
1
|
ALTER ROLE r1 login; |
修改角色r1的密码:
1
|
ALTER ROLE r1 IDENTIFIED BY '{new_Password}' REPLACE '{Password}'; |
修改角色manager为系统管理员:
1
|
ALTER ROLE r1 SYSADMIN; |
修改LDAP认证角色的fulluser信息:
1
|
ALTER ROLE r2 WITH LOGIN AUTHINFO 'ldapcn=role2,cn=user2,dc=func,dc=com' PASSWORD DISABLE; |
修改角色的登录密码有效期为90天:
1
|
ALTER ROLE r3 PASSWORD EXPIRATION 90; |