ALTER ROLE
ALTER ROLE — изменить роль в базе данных
Синтаксис
ALTER ROLEуказание_роли
[ WITH ]параметр
[ ... ] Здесьпараметр
: SUPERUSER | NOSUPERUSER | CREATEDB | NOCREATEDB | CREATEROLE | NOCREATEROLE | INHERIT | NOINHERIT | LOGIN | NOLOGIN | REPLICATION | NOREPLICATION | BYPASSRLS | NOBYPASSRLS | CONNECTION LIMITпредел_подключений
| [ ENCRYPTED ] PASSWORD 'пароль
' | PASSWORD NULL | VALID UNTIL 'дата_время
' | PROFILEимя_профиля
| ACCOUNT UNLOCK | ACCOUNT LOCK ALTER ROLEимя
RENAME TOновое_имя
ALTER ROLE {указание_роли
| ALL } [ IN DATABASEимя_бд
] SETпараметр_конфигурации
{ TO | = } {значение
| DEFAULT } ALTER ROLE {указание_роли
| ALL } [ IN DATABASEимя_бд
] SETпараметр_конфигурации
FROM CURRENT ALTER ROLE {указание_роли
| ALL } [ IN DATABASEимя_бд
] RESETпараметр_конфигурации
ALTER ROLE {указание_роли
| ALL } [ IN DATABASEимя_бд
] RESET ALL Здесьуказание_роли
:имя_роли
| CURRENT_ROLE | CURRENT_USER | SESSION_USER
Описание #
ALTER ROLE
изменяет атрибуты роли Postgres Pro.
Первая форма команды в этой справке может изменить многие атрибуты роли, которые можно указать в CREATE ROLE
. (Покрываются все возможные атрибуты, отсутствуют только возможности добавления/удаления членов роли; для этого нужно использовать GRANT
и REVOKE
.) Атрибуты, не упомянутые в команде, сохраняют свои предыдущие значения. Суперпользователи базы данных могут изменить любые параметры любой роли за исключением параметра SUPERUSER
для начального суперпользователя. Роли с правом CREATEROLE
, не являющиеся суперпользователями, могут также менять многие параметры ролей, для которых имеют право ADMIN OPTION
, но только не ролей суперпользователей и репликации. Роли, не являющиеся суперпользователями, не могут менять параметр SUPERUSER
, а могут менять CREATEDB
, REPLICATION
и BYPASSRLS
, но только если они имеют соответствующие свойства. Обычные пользователи (роли) могут менять только свой пароль.
Вторая форма меняет имя роли. Суперпользователи базы данных могут переименовать любую роль, а пользователи с правом CREATEROLE
могут переименовывать роли (не суперпользователей), для которых у них есть право ADMIN OPTION
. Также нельзя переименовать роль текущего пользователя в активном сеансе. (Если вам нужно сделать это, подключитесь другим пользователем.) Так как в паролях с MD5
-шифрованием имя роли используется в качестве криптосоли, при переименовании роли её пароль очищается, если он был зашифрован MD5
.
Оставшиеся формы меняют значение по умолчанию конфигурационной переменной, которое будет распространяться на сеансы роли во всех базах данных, либо, если добавлено предложение IN DATABASE
, только на сеансы роли в заданной базе. Если вместо имени роли указано ALL
, это значение переменной распространяется на все роли. Использование ALL
с IN DATABASE
по сути равносильно использованию команды ALTER DATABASE ... SET ...
.
Когда эта роль впоследствии установит новое подключение, указанное значение станет значением по умолчанию в сеансе, переопределяя значение, заданное в postgresql.conf
или полученное из командной строки postgres
. Это происходит только в момент входа; при выполнении SET ROLE
или SET SESSION AUTHORIZATION
новые значения не применятся. Набор параметров для всех баз данных переопределяется параметрами уровня БД, установленными для роли. Параметры для конкретной базы данных или конкретной роли переопределяют параметры для всех ролей.
Суперпользователи могут менять значения переменных по умолчанию для любых ролей, а пользователи с правом CREATEROLE
могут менять их только для ролей (не суперпользователей), для которых у них есть право ADMIN OPTION
. Обычные пользователи могут определять переменные только для себя. Некоторые переменные конфигурации нельзя задать таким способом, а некоторые может настроить только суперпользователь. Параметры всех ролей во всех базах данных могут настраивать только суперпользователи.
Параметры #
имя
#Имя роли, атрибуты которой изменяются.
CURRENT_ROLE
CURRENT_USER
#Выбирает для изменения текущего пользователя, а не явно задаваемую роль.
SESSION_USER
#Выбирает для изменения текущего пользователя сеанса, а не явно задаваемую роль.
SUPERUSER
NOSUPERUSER
CREATEDB
NOCREATEDB
CREATEROLE
NOCREATEROLE
INHERIT
NOINHERIT
LOGIN
NOLOGIN
REPLICATION
NOREPLICATION
BYPASSRLS
NOBYPASSRLS
CONNECTION LIMIT
предел_подключений
[ENCRYPTED
]PASSWORD
'пароль
'PASSWORD NULL
VALID UNTIL
'дата_время
'PROFILE
#имя_профиля
Эти предложения меняют атрибуты, изначально установленные командой
CREATE ROLE
. За дополнительными сведениями обратитесь к странице справкиCREATE ROLE
.ACCOUNT UNLOCK
#Разблокировать роль. Роль может заблокироваться при превышении допустимого числа ошибок входа (за подробностями обратитесь к описанию CREATE PROFILE).
ACCOUNT LOCK
#Заблокировать роль явным образом.
новое_имя
#Новое имя роли.
имя_бд
#Имя базы данных, в которой устанавливается конфигурационная переменная.
параметр_конфигурации
значение
#Указанный параметр конфигурации принимает заданное значение по умолчанию в сеансах роли. Если
значение
задано какDEFAULT
или, что то же самое, применяется операцияRESET
, переопределение этого параметра для роли удаляется и роль будет получать в новых сеансах системное значение параметра. Для очистки значений всех параметров, связанных с ролью, применяетсяRESET ALL
.SET FROM CURRENT
сохраняет текущее значение параметра в активном сеансе в качестве значения для данной роли. Если указаноIN DATABASE
, параметр конфигурации настраивается или удаляется только для данной роли и указанной базы данных.Определения переменных для роли применяются только в начале сеанса; команды
SET ROLE
иSET SESSION AUTHORIZATION
эти определения не обрабатывают.За подробными сведениями об именах и значениях параметров обратитесь к SET и Главе 19.
Примечания #
Для добавления новых ролей используйте команду CREATE ROLE
, а для удаления роли — DROP ROLE
.
ALTER ROLE
не может управлять членством роли, для этого применяется GRANT
и REVOKE
.
Указывая в этой команде незашифрованный пароль, следует проявлять осторожность. Пароль будет передаваться на сервер открытым текстом и может также записаться в историю команд клиента или в протокол работы сервера. В psql есть команда \password
, с помощью которой можно сменить пароль роли, не рискуя рассекретить пароль.
Также возможно связать сеансовые значения по умолчанию с определённой базой данных, а не с ролью (см. ALTER DATABASE). В случае конфликта параметры для базы данных и роли переопределяют параметры только для роли, которые, в свою очередь, переопределяют параметры для базы данных.
Примеры #
Изменение пароля роли:
ALTER ROLE davide WITH PASSWORD 'hu8jmn3';
Удаление пароля роли:
ALTER ROLE davide WITH PASSWORD NULL;
Изменение срока действия пароля (в частности, определяется, что пароль должен перестать действовать в полдень 4 мая 2015 г. в часовом поясе UTC+1):
ALTER ROLE chris VALID UNTIL 'May 4 12:00:00 2015 +1';
Установка бесконечного срока действия пароля:
ALTER ROLE fred VALID UNTIL 'infinity';
Наделение роли правами на управление другими ролями и создание новых баз данных:
ALTER ROLE miriam CREATEROLE CREATEDB;
Определение нестандартного значения параметра maintenance_work_mem для роли:
ALTER ROLE worker_bee SET maintenance_work_mem = 100000;
Определение нестандартного значения параметра client_min_messages для роли и заданной базы:
ALTER ROLE fred IN DATABASE devel SET client_min_messages = DEBUG;
Совместимость #
Оператор ALTER ROLE
является расширением Postgres Pro.