ALTER USER
功能描述
修改数据库用户的属性。
注意事项
ALTER USER修改的会话参数只针对指定的用户,且在下一次会话中有效。
语法格式
- 修改用户的权限等信息。
1ALTER USER user_name [ [ WITH ] option [ ... ] ];
其中option子句为。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
{ CREATEDB | NOCREATEDB } | { CREATEROLE | NOCREATEROLE } | { INHERIT | NOINHERIT } | { AUDITADMIN | NOAUDITADMIN } | { SYSADMIN | NOSYSADMIN } | { USEFT | NOUSEFT } | { LOGIN | NOLOGIN } | { REPLICATION | NOREPLICATION } | {INDEPENDENT | NOINDEPENDENT} | {VCADMIN | NOVCADMIN} | CONNECTION LIMIT connlimit | [ ENCRYPTED | UNENCRYPTED ] PASSWORD { 'password' | DISABLE } | [ ENCRYPTED | UNENCRYPTED ] IDENTIFIED BY { 'password' [ REPLACE 'old_password' ] | DISABLE } | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | TEMP SPACE 'tmpspacelimit' | SPILL SPACE 'spillspacelimit' | NODE GROUP logic_cluster_name | ACCOUNT { LOCK | UNLOCK } | PGUSER | AUTHINFO 'authinfo' | PASSWORD EXPIRATION period
- 修改用户名。
1 2
ALTER USER user_name RENAME TO new_name;
- 修改与用户关联的指定会话参数值。
1 2
ALTER USER user_name SET configuration_parameter { { TO | = } { value | DEFAULT } | FROM CURRENT };
- 重置与用户关联的指定会话参数值。
1 2
ALTER USER user_name RESET { configuration_parameter | ALL };
参数说明
|
参数 |
描述 |
取值范围及默认值 |
|---|---|---|
|
user_name |
需要修改的用户名。 |
有效的用户名。 |
|
new_name |
用户的新名称。 |
字符串,需符合标识符命名规范。 |
|
CREATEDB | NOCREATEDB |
控制用户是否能创建数据库。 新用户没有创建数据库的权限。 |
缺省为NOCREATEDB。 |
|
CREATEROLE | NOCREATEROLE |
控制用户是否可以创建新用户或角色(也就是执行CREATE ROLE和CREATE USER)。拥有CREATEROLE权限的用户也可以修改和删除其他用户。 |
缺省为NOCREATEROLE。 |
|
INHERIT | NOINHERIT |
控制用户是否可以“继承”它所在组的用户的权限。不推荐使用。 |
- |
|
AUDITADMIN | NOAUDITADMIN |
定义用户是否有审计管理属性。 |
缺省为NOAUDITADMIN。 |
|
SYSADMIN | NOSYSADMIN |
控制用户是否为“系统管理员”,具有SYSADMIN属性的用户拥有系统最高权限。 |
缺省为NOSYSADMIN。 |
|
USEFT | NOUSEFT |
控制用户是否有权限操作外表,包括:新建外表、删除外表、修改外表、读写外表。 缺省为NOUSEFT,表示新建用户默认不能操作外表。 新用户没有操作外表的权限。 |
- |
|
LOGIN | NOLOGIN |
控制用户是否可以登录数据库。具有LOGIN属性的用户才可以登录数据库。 |
缺省为LOGIN。 |
|
REPLICATION | NOREPLICATION |
控制用户是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的用户,仅用于复制。 |
缺省为NOREPLICATION。 |
|
INDEPENDENT | NOINDEPENDENT |
定义私有、独立的用户。具有INDEPENDENT属性的用户,管理员对其进行的控制、访问的权限被分离,具体规则如下:
|
- |
|
VCADMIN | NOVCADMIN |
定义逻辑集群管理员用户。具有逻辑集群管理员属性的用户,和普通用户相比,有如下额外权限:
|
- |
|
CONNECTION LIMIT |
定义用户在单个CN上可以使用的并发连接数量。 为保证集群正常使用,connection limit的最小值是集群中CN的数目。在集群执行ANALYZE时,其他CN节点会连接当前执行ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点,那么connection limit应该设置为大于等于3。 |
取值为整数,大于等于-1。 缺省值为-1,表示没有限制。 |
|
ENCRYPTED | UNENCRYPTED |
控制密码存储在系统表里的密码是否加密。(如果没有指定,那么缺省的行为由配置参数password_encryption_type控制。)按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在DWS中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经使用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。
|
密码规则:
|
|
VALID BEGIN |
设置用户生效的时间戳。如果省略了该子句,用户无有效开始时间限制。 |
- |
|
VALID UNTIL |
设置用户失效的时间戳,即过了这个时间后,账户不可使用。如果省略了该子句,用户无有效结束时间限制。 |
- |
|
RESOURCE POOL |
设置用户使用的资源池名称,该名称属于系统表:pg_resource_pool |
- |
|
USER GROUP 'groupuser' |
创建用户的子用户。 |
- |
|
PERM SPACE |
设置用户永久表存储空间限额。 space_limit,表示永久表存储空间上限。 |
space_limit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。 0表示不限制。 |
|
TEMP SPACE |
设置用户临时表存储空间限额。 tmpspacelimit,表示临时表存储空间限额。 |
tmpspacelimit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。 0表示不限制。 |
|
SPILL SPACE |
设置用户算子落盘空间限额。 spillspacelimit,表示算子落盘空间限额。 |
spillspacelimit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。 0表示不限制。 |
|
NODE GROUP |
设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符,指定逻辑集群名称时需要加双引号。 |
- |
|
ACCOUNT LOCK | ACCOUNT UNLOCK |
锁定或解锁用户账号:
|
- |
|
PGUSER |
该属性用于兼容开源Postgres的连接通讯,开源的Postgres客户端接口(推荐使用Postgres 9.2.19版本的相关客户端接口)可以使用具有该属性的数据库用户连接数据库。 当前版本不允许修改用户的PGUSER属性。更多说明内容请参考PGUSER参数建议。 |
- |
|
AUTHINFO 'authinfo' |
该属性用于指定用户认证类型,authinfo为类型说明字符串,大小写敏感。 当前仅支持LDAP类型,对应的类型说明字符串为'ldap'。LDAP属于外部认证,故需要同时指定PASSWORD DISABLE。
|
- |
|
PASSWORD EXPIRATION period |
设置用户的登录密码过期天数,登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录,需要管理员设置新的登录密码后登录。 |
整数,-1~999。
|
|
SET configuration_parameter |
设置用户的会话参数。ALTER USER中修改的会话参数只针对指定的用户,且在下一次该用户启动的会话中有效。
|
configuration_parameter和value的取值请参见SET。 |
|
RESET configuration_parameter/ALL |
清除configuration_parameter参数的值。与SET configuration_parameter TO DEFAULT的效果相同。 ALL表示清除所有参数的值。 |
- |
PGUSER参数建议
PGUSER属性只用于兼容连接过程,而由于本产品与Postgres的内核差异导致的不兼容,不在此属性控制范围内。
由于具有PGUSER属性的用户的认证方式与其他用户不同,开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举,建议使用本产品自有的客户端。例如:
1 2 3 4 5 6 7 |
#normaluser是不具有PGUSER属性的用户,psql是Postgres的客户端工具 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U normaluser psql: authentication method 10 not supported #pguser用户是具有PGUSER属性的用户 pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U pguser Password for user pguser: |
示例
创建示例用户u1。
1 2 |
DROP USER IF EXISTS u1 CASCADE; CREATE USER u1 PASSWORD '{Password}'; |
修改用户u1的登录密码。
1
|
ALTER USER u1 IDENTIFIED BY '{new_Password}' REPLACE '{Password}'; |
为用户u1追加CREATEROLE权限。
1
|
ALTER USER u1 CREATEROLE; |
设置用户u1的最大数据库连接数为10。
1
|
ALTER USER u1 with CONNECTION LIMIT 10; |
将与用户u1关联的会话参数enable_seqscan值设置为on,设置成功后,在下一次启动的会话中生效。
1
|
ALTER USER u1 SET enable_seqscan TO on; |
重置u1的enable_seqscan参数。
1
|
ALTER USER u1 RESET enable_seqscan; |
锁定u1账户。
1
|
ALTER USER u1 ACCOUNT LOCK; |
