更新时间:2025-07-08 GMT+08:00
分享

ALTER USER

功能描述

修改数据库用户的属性。

注意事项

ALTER USER修改的会话参数只针对指定的用户,且在下一次会话中有效。

语法格式

  • 修改用户的权限等信息。
    1
    ALTER USER user_name [ [ WITH ] option [ ... ] ];
    

    其中option子句为。

     1
     2
     3
     4
     5
     6
     7
     8
     9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    { CREATEDB | NOCREATEDB }
        | { CREATEROLE | NOCREATEROLE }
        | { INHERIT | NOINHERIT }
        | { AUDITADMIN | NOAUDITADMIN }
        | { SYSADMIN | NOSYSADMIN }
        | { USEFT | NOUSEFT }
        | { LOGIN | NOLOGIN }
        | { REPLICATION | NOREPLICATION }
        | {INDEPENDENT | NOINDEPENDENT}
        | {VCADMIN | NOVCADMIN}
        | CONNECTION LIMIT connlimit
        | [ ENCRYPTED | UNENCRYPTED ] PASSWORD { 'password' | DISABLE }
        | [ ENCRYPTED | UNENCRYPTED ] IDENTIFIED BY { 'password' [ REPLACE 'old_password' ] | DISABLE }
        | VALID BEGIN 'timestamp'
        | VALID UNTIL 'timestamp'
        | RESOURCE POOL 'respool'
        | USER GROUP 'groupuser'
        | PERM SPACE 'spacelimit'
        | TEMP SPACE 'tmpspacelimit'
        | SPILL SPACE 'spillspacelimit'
        | NODE GROUP logic_cluster_name
        | ACCOUNT { LOCK | UNLOCK }
        | PGUSER
        | AUTHINFO 'authinfo'
        | PASSWORD EXPIRATION period
    
  • 修改用户名。
    1
    2
    ALTER USER user_name 
        RENAME TO new_name;
    
  • 修改与用户关联的指定会话参数值。
    1
    2
    ALTER USER user_name 
        SET configuration_parameter { { TO | = } { value | DEFAULT } | FROM CURRENT };
    
  • 重置与用户关联的指定会话参数值。
    1
    2
    ALTER USER user_name 
        RESET { configuration_parameter | ALL };
    

参数说明

表1 ALTER USER参数说明

参数

描述

取值范围及默认值

user_name

需要修改的用户名。

有效的用户名。

new_name

用户的新名称。

字符串,需符合标识符命名规范

CREATEDB | NOCREATEDB

控制用户是否能创建数据库。

新用户没有创建数据库的权限。

缺省为NOCREATEDB。

CREATEROLE | NOCREATEROLE

控制用户是否可以创建新用户或角色(也就是执行CREATE ROLE和CREATE USER)。拥有CREATEROLE权限的用户也可以修改和删除其他用户。

缺省为NOCREATEROLE。

INHERIT | NOINHERIT

控制用户是否可以“继承”它所在组的用户的权限。不推荐使用。

-

AUDITADMIN | NOAUDITADMIN

定义用户是否有审计管理属性。

缺省为NOAUDITADMIN。

SYSADMIN | NOSYSADMIN

控制用户是否为“系统管理员”,具有SYSADMIN属性的用户拥有系统最高权限。

缺省为NOSYSADMIN。

USEFT | NOUSEFT

控制用户是否有权限操作外表,包括:新建外表、删除外表、修改外表、读写外表。

缺省为NOUSEFT,表示新建用户默认不能操作外表。

新用户没有操作外表的权限。

-

LOGIN | NOLOGIN

控制用户是否可以登录数据库。具有LOGIN属性的用户才可以登录数据库。

缺省为LOGIN。

REPLICATION | NOREPLICATION

控制用户是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的用户,仅用于复制。

缺省为NOREPLICATION。

INDEPENDENT | NOINDEPENDENT

定义私有、独立的用户。具有INDEPENDENT属性的用户,管理员对其进行的控制、访问的权限被分离,具体规则如下:

  • 未经INDEPENDENT用户授权,管理员无权对其表对象进行增、删、查、改、拷贝、授权操作。
  • 未经INDEPENDENT用户授权,管理员无权修改INDEPENDENT用户的继承关系。
  • 管理员无权修改INDEPENDENT用户的表对象的属主。
  • 管理员无权去除INDEPENDENT用户的INDEPENDENT属性。
  • 管理员无权修改INDEPENDENT用户的数据库密码,INDEPENDENT用户需管理好自身密码,密码丢失无法重置。
  • 管理员属性用户不允许定义修改为INDEPENDENT属性。

-

VCADMIN | NOVCADMIN

定义逻辑集群管理员用户。具有逻辑集群管理员属性的用户,和普通用户相比,有如下额外权限:
  • 在所关联逻辑集群中创建、修改和删除资源池的权限。
  • 将所关联的逻辑集群的访问权限授予其他用户或角色,或回收其他用户或角色对关联逻辑集群的访问权限。

-

CONNECTION LIMIT

定义用户在单个CN上可以使用的并发连接数量。

为保证集群正常使用,connection limit的最小值是集群中CN的数目。在集群执行ANALYZE时,其他CN节点会连接当前执行ANALYZE的CN节点来同步元数据。例如集群中有3个CN节点,那么connection limit应该设置为大于等于3。

取值为整数,大于等于-1。

缺省值为-1,表示没有限制。

ENCRYPTED | UNENCRYPTED

控制密码存储在系统表里的密码是否加密。(如果没有指定,那么缺省的行为由配置参数password_encryption_type控制。)按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB(DWS)中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经使用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。

  • password,登录密码。
  • DISABLE,默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:IAM认证、kerberos或ldap认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。

密码规则:

  • 密码默认不少于8个字符。
  • 不能与用户名及用户名倒序相同。
  • 至少包含大写字母(A-Z)、小写字母(a-z)、数字(0-9)、非字母数字字符(~!@#$%^&*()-_=+\|[{}];:,<.>/?)四类字符中的三类字符。使用范围外的字符会收到告警,但依然允许创建。

VALID BEGIN

设置用户生效的时间戳。如果省略了该子句,用户无有效开始时间限制。

-

VALID UNTIL

设置用户失效的时间戳,即过了这个时间后,账户不可使用。如果省略了该子句,用户无有效结束时间限制。

-

RESOURCE POOL

设置用户使用的资源池名称,该名称属于系统表:pg_resource_pool

-

USER GROUP 'groupuser'

创建用户的子用户。

-

PERM SPACE

设置用户永久表存储空间限额。

space_limit,表示永久表存储空间上限。

space_limit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。

0表示不限制。

TEMP SPACE

设置用户临时表存储空间限额。

tmpspacelimit,表示临时表存储空间限额。

tmpspacelimit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。

0表示不限制。

SPILL SPACE

设置用户算子落盘空间限额。

spillspacelimit,表示算子落盘空间限额。

spillspacelimit,字符串格式为正整数+单位,单位当前支持K/M/G/T/P。

0表示不限制。

NODE GROUP

设置用户关联的逻辑集群名称。如果需要关联的逻辑集群名称包含大写字符或特殊字符,指定逻辑集群名称时需要加双引号。

-

ACCOUNT LOCK | ACCOUNT UNLOCK

锁定或解锁用户账号:

  • ACCOUNT LOCK:锁定账户,禁止登录数据库。
  • ACCOUNT UNLOCK:解锁账户,允许登录数据库。

-

PGUSER

该属性用于兼容开源Postgres的连接通讯,开源的Postgres客户端接口(推荐使用Postgres 9.2.19版本的相关客户端接口)可以使用具有该属性的数据库用户连接数据库。

当前版本不允许修改用户的PGUSER属性。更多说明内容请参考PGUSER参数建议

-

AUTHINFO 'authinfo'

该属性用于指定用户认证类型,authinfo为类型说明字符串,大小写敏感。

当前仅支持LDAP类型,对应的类型说明字符串为'ldap'。LDAP属于外部认证,故需要同时指定PASSWORD DISABLE。

  • authinfo可以加上LDAP认证的额外信息,比如LDAP认证中的fulluser,fulluser等同于ldapprefix+username+ldapsuffix。当authinfo为'ldap',表示用户认证类型为LDAP,此时ldapprefix和ldapsuffix的信息由pg_hba.conf中匹配的记录提供。
  • ALTER ROLE时不允许用户切换认证类型,仅允许LDAP用户修改LDAP属性。

-

PASSWORD EXPIRATION period

设置用户的登录密码过期天数,登录密码过期之前用户需要及时修改密码。登录密码过期后用户无法登录,需要管理员设置新的登录密码后登录。

整数,-1~999。

  • -1,表示没有过期限制,缺省值。
  • 0,表示用户登录密码立即过期。

SET configuration_parameter

设置用户的会话参数。ALTER USER中修改的会话参数只针对指定的用户,且在下一次该用户启动的会话中有效。

  • DEFAULT,表示清除configuration_parameter参数的值,configuration_parameter参数的值将继承本角色新产生的SESSION的默认值。
  • FROM CURRENT,取当前会话中的值设置为configuration_parameter参数的值。

configuration_parameter和value的取值请参见SET

RESET configuration_parameter/ALL

清除configuration_parameter参数的值。与SET configuration_parameter TO DEFAULT的效果相同。

ALL表示清除所有参数的值。

-

PGUSER参数建议

PGUSER属性只用于兼容连接过程,而由于本产品与Postgres的内核差异导致的不兼容,不在此属性控制范围内。

由于具有PGUSER属性的用户的认证方式与其他用户不同,开源客户端的报错信息可能导致数据库用户PGUSER属性被枚举,建议使用本产品自有的客户端。例如:

1
2
3
4
5
6
7
#normaluser是不具有PGUSER属性的用户psql是Postgres的客户端工具
pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U normaluser
psql: authentication method 10 not supported

#pguser用户是具有PGUSER属性的用户
pg@dws04:~> psql -d postgres -p 8000 -h 10.11.12.13 -U pguser
Password for user pguser:

示例

创建示例用户u1。

1
2
DROP USER IF EXISTS u1 CASCADE;
CREATE USER u1 PASSWORD '{Password}';

修改用户u1的登录密码。

1
ALTER USER u1 IDENTIFIED BY '{new_Password}' REPLACE '{Password}';

为用户u1追加CREATEROLE权限。

1
ALTER USER u1 CREATEROLE;

设置用户u1的最大数据库连接数为10。

1
ALTER USER u1 with  CONNECTION LIMIT 10;

将与用户u1关联的会话参数enable_seqscan值设置为on,设置成功后,在下一次启动的会话中生效。

1
ALTER USER u1 SET enable_seqscan TO on;

重置u1的enable_seqscan参数。

1
ALTER USER u1 RESET enable_seqscan;

锁定u1账户。

1
ALTER USER u1 ACCOUNT LOCK;

相关链接

CREATE ROLECREATE USERDROP USER

相关文档