GaussDB-CREATE ROLE
功能描述
创建角色。
角色是拥有数据库对象和权限的实体。在不同的环境中角色可以认为是一个用户,一个组或者兼顾两者。
注意事项
- 在数据库中添加一个新角色,角色无登录权限。
- 创建角色的用户必须具备CREATE ROLE的权限或者是系统管理员。
语法格式
| ``` CREATE ROLE role_name [ [ WITH ] option [ ... ] ] [ ENCRYPTED | UNENCRYPTED ] { PASSWORD | IDENTIFIED BY } { 'password' [EXPIRED] | DISABLE };
| ------------------------------------------------------------------------------------------------------------------------------------------------------- |
其中角色信息设置子句option语法为:
| ```
{SYSADMIN | NOSYSADMIN} | {MONADMIN | NOMONADMIN} | {OPRADMIN | NOOPRADMIN} | {POLADMIN | NOPOLADMIN} | {AUDITADMIN | NOAUDITADMIN} | {CREATEDB | NOCREATEDB} | {USEFT | NOUSEFT} | {CREATEROLE | NOCREATEROLE} | {INHERIT | NOINHERIT} | {LOGIN | NOLOGIN} | {REPLICATION | NOREPLICATION} | {PERSISTENCE | NOPERSISTENCE} | CONNECTION LIMIT connlimit | VALID BEGIN 'timestamp' | VALID UNTIL 'timestamp' | RESOURCE POOL 'respool' | USER GROUP 'groupuser' | PERM SPACE 'spacelimit' | TEMP SPACE 'tmpspacelimit' | SPILL SPACE 'spillspacelimit' | NODE GROUP logic_cluster_name | IN ROLE role_name [, ...] | IN GROUP role_name [, ...] | ROLE role_name [, ...] | ADMIN role_name [, ...] | USER role_name [, ...] | SYSID uid | DEFAULT TABLESPACE tablespace_name | PROFILE DEFAULT | PROFILE profile_name | PGUSER
``` |
| --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
#### 参数说明
- **role_name**
角色名称。
取值范围:字符串,要符合[标识符命名规范](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0321.html#ZH-CN_TOPIC_0000001865746364__zh-cn_topic_0000001704458709_section14873217506),且最多为63个字符。若超过63个字符,数据库会截断并保留前63个字符当做角色名称。当角色名中包含大写字母时数据库会自动转换为小写字母,如果需要创建包含大写字母的角色名则需要使用双引号括起来。
标识符需要为字母、下划线、数字(0~9)或美元符号($),且必须以字母(a~z)或下划线(_)开头。
- **password**
登录密码。
密码规则如下:
- 密码默认不少于8个字符。
- 不能与角色名及角色名倒序相同。
- 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)和非字母数字字符(限定为~!@#$%^&*()-_=+\|[{}];:,<.>/?)四类字符中的三类字符。
- 密码也可以是符合格式要求的密文字符串,这种情况主要用于用户数据导入场景,不推荐用户直接使用。如果直接使用密文密码,用户需要知道密文密码对应的明文,并且保证密码复杂度,数据库不会校验密文密码复杂度,直接使用密文密码的安全性由用户保证。
- 创建角色时,应当使用单引号将用户密码括起来。
取值范围:不为空的字符串。
- **EXPIRED**
在创建用户时可选EXPIRED,即创建密码失效用户,该用户不允许执行简单查询和扩展查询。只有在修改自身密码后才可正常执行语句。
- **DISABLE**
默认情况下,用户可以更改自己的密码,除非密码被禁用。要禁用用户的密码,请指定DISABLE。禁用某个用户的密码后,将从系统中删除该密码,此类用户只能通过外部认证来连接数据库,例如:kerberos认证。只有管理员才能启用或禁用密码。普通用户不能禁用初始用户的密码。要启用密码,请运行ALTER USER并指定密码。
- **ENCRYPTED | UNENCRYPTED**
控制密码存储在系统表里的密码是否加密。按照产品安全要求,密码必须加密存储,所以,UNENCRYPTED在GaussDB中禁止使用。因为系统无法对指定的加密密码字符串进行解密,所以如果目前的密码字符串已经是用SHA256加密的格式,则会继续照此存放,而不管是否声明了ENCRYPTED或UNENCRYPTED。这样就允许在dump/restore的时候重新加载加密的密码。
- **SYSADMIN | NOSYSADMIN**
决定一个新角色是否为“系统管理员”,具有SYSADMIN属性的角色拥有系统最高权限。
缺省为NOSYSADMIN。
三权分立关闭时,具有SYSADMIN属性的用户有权限创建具有SYSADMIN、REPLICATION、CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。
三权分立打开时,具有SYSADMIN属性的用户无权创建用户。
- **MONADMIN | NOMONADMIN**
定义角色是否是监控管理员。
缺省为NOMONADMIN。
- **OPRADMIN | NOOPRADMIN**
定义角色是否是运维管理员。
缺省为NOOPRADMIN。
- **POLADMIN | NOPOLADMIN**
定义角色是否是安全策略管理员。
缺省为NOPOLADMIN。
- **AUDITADMIN | NOAUDITADMIN**
定义角色是否有审计管理属性。
缺省为NOAUDITADMIN。
- **CREATEDB | NOCREATEDB**
决定一个新角色是否能创建数据库。
新角色没有创建数据库的权限。
缺省为NOCREATEDB。
- **USEFT | NOUSEFT**
该参数为保留参数,暂未启用。
- **CREATEROLE | NOCREATEROLE**
决定一个角色是否可以创建新角色(也就是执行CREATE ROLE和CREATE USER)。 一个拥有CREATEROLE权限的角色也可以修改和删除其他角色。
缺省为NOCREATEROLE。
- 三权分立关闭时,具有CREATEROLE属性的用户有权限创建具有CREATEROLE、AUDITADMIN、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。
- 三权分立打开时,具有CREATEROLE属性的用户有权限创建具有CREATEROLE、MONADMIN、POLADMIN、CREATEDB属性的用户和普通用户。
- **INHERIT | NOINHERIT**
这些子句决定一个角色是否“继承”它所在组的角色的权限。不推荐使用。
- **LOGIN | NOLOGIN**
具有LOGIN属性的角色才可以登录数据库。一个拥有LOGIN属性的角色可以认为是一个用户。
缺省为NOLOGIN。
- **REPLICATION | NOREPLICATION**
定义角色是否允许流复制或设置系统为备份模式。REPLICATION属性是特定的角色,仅用于复制。
缺省为NOREPLICATION。
- **PERSISTENCE | NOPERSISTENCE**
定义永久用户。仅允许初始用户创建、修改和删除具有PERSISTENCE属性的永久用户。
- **CONNECTION LIMIT** **connlimit**
声明该角色可以使用的并发连接数量。
NOTICE:
- 系统管理员不受此参数的限制。
- connlimit每个CN单独统计,集群整体的连接数= connlimit * 当前正常CN节点个数。
取值范围:[-1, 2^31-1]的整数。缺省值为-1,表示没有限制。
- **VALID BEGIN** **'timestamp'**
设置角色生效的时间戳。如果省略了该子句,角色无有效开始时间限制,timestamp为生效时间,格式为'YYYY-MM-DD HH:mm:ss'。
- **VALID UNTIL** **'timestamp'**
设置角色失效的时间戳。如果省略了该子句,角色无有效结束时间限制,timestamp为失效时间,格式为'YYYY-MM-DD HH:mm:ss'。
- **RESOURCE POOL** ******'respool'**
设置角色使用的resource pool名称,该名称属于系统表pg_resource_pool。
- **USER GROUP 'groupuser'**
创建一个user的子用户。
- **PERM SPACE** **'SPACELIMIT'**
设置用户使用空间的大小。
- **TEMP SPACE** **'tmpspacelimit'**
设置用户临时表存储空间限额。
- **SPILL SPACE** **'spillspacelimit'**
设置用户算子落盘空间限额。
- **IN ROLE** **role_name**
新角色立即拥有IN ROLE子句中列出的一个或多个现有角色拥有的权限。不推荐使用。
- **IN GROUP** **role_name**
IN GROUP是IN ROLE过时的拼法。不推荐使用。
- **ROLE** **role_name**
ROLE子句列出一个或多个现有的角色,它们将自动添加为这个新角色的成员,拥有新角色所有的权限。
- **ADMIN** **role_name**
ADMIN子句类似ROLE子句,不同的是ADMIN后的角色可以把新角色的权限赋给其他角色。
- **USER** **role_name**
USER子句是ROLE子句过时的拼法。
- **SYSID** **uid**
SYSID子句将被忽略,无实际意义。
- **DEFAULT TABLESPACE** **tablespace_name**
DEFAULT TABLESPACE子句将被忽略,无实际意义。
- **PROFILE** **profile_name**
PROFILE子句将被忽略,无实际意义。
- **PGUSER**
当前版本该属性没有实际意义,仅为了语法的前向兼容而保留。
#### 示例
- **CREATE ROLE与CREATE USER的区别**
```
--使用CREATE ROLE创建角色test_role。
gaussdb=# CREATE ROLE test_role PASSWORD '********';
--使用CREATE USER创建用户test_user。
gaussdb=# CREATE USER test_user PASSWORD '********';
--查看信息,CREATE ROLE创建的角色默认禁止登录数据库。
gaussdb=# \du test*
List of roles
Role name | Attributes | Member of
-----------+--------------+-----------
test_role | Cannot login | {}
test_user | | {}
--使用如下SQL可以使test_role角色正常登录数据库。
gaussdb=# ALTER ROLE test_role WITH LOGIN;
gaussdb=# \du test*
List of roles
Role name | Attributes | Member of
-----------+------------+-----------
test_role | | {}
test_user | | {}
--查看SCHEMA信息,CREATE USER创建用户时,会自动创建同名SCHEMA。
gaussdb=# \dn test*
List of schemas
Name | Owner
-----------+-----------
test_user | test_user
(1 row)
--删除。
gaussdb=# DROP ROLE test_role;
gaussdb=# DROP USER test_user;
```
- **创建密码失效角色**
```
--创建密码失效角色test_role2。
gaussdb=# CREATE ROLE test_role2 PASSWORD '********' EXPIRED;
gaussdb=# ALTER ROLE test_role2 WITH LOGIN;
--test_role2登录到数据库后无法进行任何操作,只有根据提示修改密码后才可以进行操作。
gaussdb=# SET ROLE test_role2 PASSWORD '********';
gaussdb=> \d
ERROR: Please use "ALTER ROLE user_name IDENTIFIED BY 'password' REPLACE 'old password';" to modify the expired password of user test_role2 before operation!
--删除。
gaussdb=> RESET ROLE;
gaussdb=# DROP ROLE test_role2;
```
- **创建角色指定生效与失效日期**
```
--创建一个角色,从2015年1月1日开始生效,到2026年1月1日失效。
gaussdb=# CREATE ROLE test_role3 WITH LOGIN PASSWORD '********' VALID BEGIN '2015-01-01' VALID UNTIL '2026-01-01';
--删除。
gaussdb=# DROP ROLE test_role3;
```
#### 相关链接
[SET ROLE](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0688.html#ZH-CN_TOPIC_0000001865586784),[ALTER ROLE](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0501.html#ZH-CN_TOPIC_0000001865586352),[DROP ROLE](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0612.html#ZH-CN_TOPIC_0000001865586252),[GRANT](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0639.html#ZH-CN_TOPIC_0000001911585305),[REVOKE](https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/devg-dist/gaussdb-12-0668.html#ZH-CN_TOPIC_0000001911585905)
更多详情请参考GaussDB 文档中心:<https://doc.hcs.huawei.com/db/zh-cn/gaussdbqlh/24.1.30/productdesc/qlh_03_0001.html>
