数据库角色可以具有一些属性,这些属性定义了其权限并与客户端身份验证系统交互。
只有具有 LOGIN 属性的角色才能用作数据库连接的初始角色名称。具有 LOGIN 属性的角色可以被认为与“数据库用户”相同。要创建具有登录权限的角色,可以使用以下任一方法:
CREATE ROLEnameLOGIN; CREATE USERname;
(CREATE USER 等价于 CREATE ROLE,除了 CREATE USER 默认包含 LOGIN,而 CREATE ROLE 不包含。)
数据库超级用户绕过所有权限检查,除了登录的权限。这是一个危险的权限,不应随意使用;最好以非超级用户角色执行大部分工作。要创建新的数据库超级用户,请使用 CREATE ROLE 。您必须以已经是超级用户的角色执行此操作。name SUPERUSER
角色必须被明确授予创建数据库的权限(超级用户除外,因为它们绕过所有权限检查)。要创建这样的角色,请使用 CREATE ROLE 。name CREATEDB
角色必须被明确授予创建更多角色的权限(超级用户除外,因为它们绕过所有权限检查)。要创建这样的角色,请使用 CREATE ROLE 。具有 name CREATEROLECREATEROLE 权限的角色可以更改和删除已使用 ADMIN 选项授予给 CREATEROLE 用户的角色。当一个非超级用户的 CREATEROLE 用户创建一个新角色时,会自动发生这种授权,因此,默认情况下,CREATEROLE 用户可以更改和删除他们创建的角色。更改角色包括可以使用 ALTER ROLE 进行的大多数更改,例如更改密码。它还包括可以使用 COMMENT 和 SECURITY LABEL 命令对角色进行的修改。
但是,CREATEROLE 不会授予创建 SUPERUSER 角色的能力,也不会授予对已存在的 SUPERUSER 角色的任何控制权。此外,CREATEROLE 不会授予创建 REPLICATION 用户的能力,也不会授予授予或撤销 REPLICATION 权限的能力,也不会授予修改此类用户角色属性的能力。但是,它确实允许对 REPLICATION 角色使用 ALTER ROLE ... SET 和 ALTER ROLE ... RENAME,以及使用 COMMENT ON ROLE、SECURITY LABEL ON ROLE 和 DROP ROLE。最后,CREATEROLE 不会授予授予或撤销 BYPASSRLS 权限的能力。
角色必须被明确授予启动流复制的权限(超级用户除外,因为它们绕过所有权限检查)。用于流复制的角色也必须具有 LOGIN 权限。要创建这样的角色,请使用 CREATE ROLE 。name REPLICATION LOGIN
只有当客户端身份验证方法要求用户在连接到数据库时提供密码时,密码才具有意义。 password 和 md5 身份验证方法使用密码。数据库密码与操作系统密码是分开的。在角色创建时使用 CREATE ROLE 指定密码。name PASSWORD 'string'
默认情况下,角色会继承其所属角色的权限。但是,要创建一个默认不继承权限的角色,请使用 CREATE ROLE 。或者,可以通过使用 name NOINHERITWITH INHERIT TRUE 或 WITH INHERIT FALSE 覆盖单个授权的继承。
角色必须被明确授予绕过每个行级安全 (RLS) 策略的权限(超级用户除外,因为它们绕过所有权限检查)。要创建这样的角色,请以超级用户身份使用 CREATE ROLE 。name BYPASSRLS
连接限制可以指定角色可以进行多少个并发连接。-1(默认值)表示没有限制。在角色创建时使用 CREATE ROLE 指定连接限制。name CONNECTION LIMIT 'integer'
角色的属性可以在创建后使用 ALTER ROLE 进行修改。 请参阅 CREATE ROLE 和 ALTER ROLE 命令的参考页面以了解详细信息。
角色还可以为第 19章 中描述的许多运行时配置设置提供特定于角色的默认值。例如,如果出于某种原因,您希望在每次连接时都禁用索引扫描(提示:这不是一个好主意),您可以使用:
ALTER ROLE myname SET enable_indexscan TO off;
这将保存设置(但不会立即设置)。在此角色后续的连接中,它将看起来像在会话开始前刚刚执行了 SET enable_indexscan TO off。您仍然可以在会话期间更改此设置;它将仅是默认值。要删除特定于角色的默认设置,请使用 ALTER ROLE 。请注意,附加到没有 rolename RESET varnameLOGIN 权限的角色的特定于角色的默认值几乎毫无用处,因为它们永远不会被调用。
当非超级用户使用 CREATEROLE 权限创建角色时,创建的角色会自动授予回创建用户,就像引导超级用户执行了命令 GRANT created_user TO creating_user WITH ADMIN TRUE, SET FALSE, INHERIT FALSE 一样。由于 CREATEROLE 用户只能在拥有某个现有角色的 ADMIN OPTION 时才能对该角色行使特殊权限,因此此授权足以允许 CREATEROLE 用户管理他们创建的角色。但是,由于它是使用 INHERIT FALSE, SET FALSE 创建的,因此 CREATEROLE 用户不会继承创建的角色的权限,也不能使用 SET ROLE 访问该角色的权限。但是,由于任何拥有某个角色的 ADMIN OPTION 的用户都可以将该角色的成员资格授予任何其他用户,因此 CREATEROLE 用户可以通过简单地使用 INHERIT 和/或 SET 选项将该角色授予自身来访问创建的角色。因此,权限默认不继承,也不默认授予 SET ROLE,这是一种防止意外情况的安全措施,而不是安全特性。另请注意,由于此自动授权是由引导超级用户授予的,因此 CREATEROLE 用户无法将其删除或更改;但是,任何超级用户都可以撤销它、修改它和/或向其他 CREATEROLE 用户发出其他此类授权。在任何给定时间拥有某个角色的 ADMIN OPTION 的任何 CREATEROLE 用户都可以管理它。
如果您在文档中发现任何不正确的内容、与您对特定功能的体验不符的内容或需要进一步澄清的内容,请使用 此表单 报告文档问题。