CREATE ROLE
CREATE ROLE — создать роль в базе данных
Синтаксис
CREATE ROLEимя
[ [ WITH ]параметр
[ ... ] ] Здесьпараметр
: SUPERUSER | NOSUPERUSER | CREATEDB | NOCREATEDB | CREATEROLE | NOCREATEROLE | INHERIT | NOINHERIT | LOGIN | NOLOGIN | REPLICATION | NOREPLICATION | BYPASSRLS | NOBYPASSRLS | CONNECTION LIMITпредел_подключений
| [ ENCRYPTED ] PASSWORD 'пароль
' | PASSWORD NULL | VALID UNTIL 'дата_время
' | IN ROLEимя_роли
[, ...] | IN GROUPимя_роли
[, ...] | ROLEимя_роли
[, ...] | ADMINимя_роли
[, ...] | USERимя_роли
[, ...] | SYSIDuid
Описание
CREATE ROLE
добавляет новую роль в кластер баз данных Postgres Pro. Роль — это сущность, которая может владеть объектами и иметь определённые права в базе; роль может представлять «пользователя», «группу» или и то, и другое, в зависимости от варианта использования. За информацией об управлении пользователями и проверке подлинности обратитесь к Главе 20 и Главе 19. Чтобы выполнить эту команду, необходимо быть суперпользователем или иметь право CREATEROLE
.
Учтите, что роли определяются на уровне кластера баз данных, так что они действуют во всех базах в кластере.
Параметры
имя
Имя создаваемой роли.
SUPERUSER
NOSUPERUSER
Эти предложения определяют, будет ли эта роль «суперпользователем», который может переопределить все ограничения доступа в базе данных. Статус суперпользователя несёт опасность и назначать его следует только в случае необходимости. Создать нового суперпользователя может только суперпользователь. В отсутствие этих предложений по умолчанию подразумевается
NOSUPERUSER
.CREATEDB
NOCREATEDB
Эти предложения определяют, сможет ли роль создавать базы данных. Указание
CREATEDB
даёт новой роли это право, аNOCREATEDB
запрещает роли создавать базы данных. По умолчанию подразумеваетсяNOCREATEDB
.CREATEROLE
NOCREATEROLE
Эти предложения определяют, сможет ли роль создавать, изменять и удалять другие роли, добавлять для них комментарии и изменять метку безопасности, а также выдавать или отбирать членство в любых ролях. Подробнее возможности, предоставляемые этим правом, описаны в Создание роли. Если предложение не указано, по умолчанию используется
NOCREATEROLE
.INHERIT
NOINHERIT
Эти предложения определяют, будет ли роль «наследовать» права ролей, членом которых она является. Роль с атрибутом
INHERIT
может автоматически использовать в базе данных любые права, назначенные всем ролям, в которые она включена, непосредственно или опосредованно. БезINHERIT
членство в другой роли позволяет только выполнитьSET ROLE
и переключиться на эту роль; правами, назначенными другой роли, можно будет пользоваться только после этого. По умолчанию подразумеваетсяINHERIT
.LOGIN
NOLOGIN
Эти предложения определяют, разрешается ли новой роли вход на сервер; то есть, может ли эта роль стать начальным авторизованным именем при подключении клиента. Можно считать, что роль с атрибутом
LOGIN
соответствует пользователю. Роли без этого атрибута бывают полезны для управления доступом в базе данных, но это не пользователи в обычном понимании. По умолчанию подразумевается вариантNOLOGIN
, за исключением вызоваCREATE ROLE
в виде CREATE USER.REPLICATION
NOREPLICATION
Эти предложения определяют, будет ли роль ролью репликации. Чтобы роль могла подключаться к серверу в режиме репликации (в режиме физической или логической репликации) и создавать/удалять слоты репликации, у неё должен быть этот атрибут (либо это должна быть роль суперпользователя). Роль, имеющая атрибут
REPLICATION
, обладает очень большими привилегиями и поэтому этот атрибут должны иметь только роли, фактически используемые для репликации. По умолчанию подразумевается вариантNOREPLICATION
. Создавать роли с атрибутомREPLICATION
разрешено только суперпользователям.BYPASSRLS
NOBYPASSRLS
Эти предложения определяют, будут ли для роли игнорироваться все политики защиты на уровне строк (RLS). По умолчанию подразумевается вариант
NOBYPASSRLS
. Создавать роли с атрибутомBYPASSRLS
разрешено только суперпользователям.Заметьте, что pg_dump по умолчанию отключает
row_security
(устанавливает значениеOFF
), чтобы гарантированно было выгружено всё содержимое таблицы. Если пользователь, запускающий pg_dump, не будет иметь необходимых прав, он получит ошибку. Однако суперпользователи и владелец выгружаемой таблицы всегда обходят защиту RLS.CONNECTION LIMIT
предел_подключений
Если роли разрешён вход, этот параметр определяет, сколько параллельных подключений может установить роль. Значение -1 (по умолчанию) снимает ограничение. Заметьте, что под это ограничение подпадают только обычные подключения. Ни подготовленные транзакции, ни соединения фоновых рабочих процессов в расчёт не берутся.
- [
ENCRYPTED
]PASSWORD
'пароль
'PASSWORD NULL
Задаёт пароль роли. (Пароль полезен только для ролей с атрибутом
LOGIN
, но задать его можно и для ролей без такого атрибута.) Если проверка подлинности по паролю не будет использоваться, этот параметр можно опустить. При указании пустого значения будет задан пароль NULL, что не позволит данному пользователю пройти проверку подлинности по паролю. При желании пароль NULL можно установить явно, указавPASSWORD NULL
.Примечание
Если задана пустая строка, пароль также будет сброшен в NULL, но в Postgres Pro до версии 10 было не так. В ранних версиях пустая строка могла приниматься или нет, в зависимости от метода аутентификации и версии сервера, а libpq не давала использовать такой пароль в любом случае. Во избежание неоднозначности указывать пустую строку в качестве пароля не следует.
Пароль всегда хранится в системных каталогах в зашифрованном виде. Ключевое слово
ENCRYPTED
не имеет эффекта, но принимается для обратной совместимости. Метод шифрования определяется параметром конфигурации password_encryption. Если представленная строка пароля уже зашифрована с применением MD5 или SCRAM, она сохраняется как есть вне зависимости от значенияpassword_encryption
(так как система не может расшифровать переданный зашифрованной пароль, чтобы зашифровать его по другому алгоритму). Это позволяет пересохранять зашифрованные пароли при выгрузке/восстановлении.VALID UNTIL
'дата_время
'Предложение
VALID UNTIL
устанавливает дату и время, после которого пароль роли перестаёт действовать. Если это предложение отсутствует, срок действия пароля будет неограниченным.IN ROLE
имя_роли
В предложении
IN ROLE
перечисляются одна или несколько существующих ролей, в которые будет немедленно включена новая роль. (Заметьте, что добавить новую роль с правами администратора таким образом нельзя; для этого надо отдельно выполнить командуGRANT
.)IN GROUP
имя_роли
IN GROUP
— устаревшее написание предложенияIN ROLE
.ROLE
имя_роли
В предложении
ROLE
перечисляются одна или несколько существующих ролей, которые автоматически становятся членами создаваемой роли. (По сути таким образом новая роль становится «группой».)ADMIN
имя_роли
Предложение
ADMIN
подобноROLE
, но перечисленные в нём роли включаются в новую роль с атрибутомWITH ADMIN OPTION
, что даёт им право включать в эту роль другие роли.USER
имя_роли
Предложение
USER
является устаревшим написанием предложенияROLE
.SYSID
uid
Предложение
SYSID
игнорируется, но принимается для обратной совместимости.
Примечания
Для изменения атрибутов роли применяется ALTER ROLE, а для удаления роли — DROP ROLE. Все атрибуты, заданные в CREATE ROLE
, могут быть изменены позднее командами ALTER ROLE
.
Для добавления и удаления членов ролей, используемых в качестве групп, рекомендуется использовать GRANT и REVOKE.
Предложение VALID UNTIL
определяет срок действия только пароля, но не роли как таковой. В частности, ограничение срока пароля не действует при входе пользователя без проверки подлинности по паролю.
Атрибут INHERIT
управляет наследованием назначаемых прав (то есть правами доступа к объектам баз данных и членством в ролях). Его действие не распространяется на специальные атрибуты, устанавливаемые командами CREATE ROLE
и ALTER ROLE
. Например, членства в роли с правом CREATEDB
недостаточно для получения права создавать базы данных, даже если установлен атрибут INHERIT
; чтобы воспользоваться правом создавать базы данных, необходимо переключиться на эту роль, выполнив SET ROLE.
Атрибут INHERIT
устанавливается по умолчанию в целях обратной совместимости: в предыдущих выпусках Postgres Pro пользователи всегда обладали всеми правами групп, в которые они были включены. Однако NOINHERIT
по смыслу ближе к тому, что описано в стандарте SQL.
Будьте осторожны с правом CREATEROLE
. На роли, создаваемые командой CREATEROLE
, не распространяется концепция наследования. Это значит, что даже если роль не имеет определённого права, но может создавать другие роли, она вполне способна создать другую роль с отличным набором прав (за исключением создания ролей с правами суперпользователя). Например, если роль «user» имеет право CREATEROLE
, но не CREATEDB
, она тем не менее может создать новую роль с правом CREATEDB
. Поэтому роль с правом CREATEROLE
следует воспринимать как роль почти суперпользователя.
Postgres Pro включает программу createuser, которая предоставляет ту же функциональность, что и команда CREATE ROLE
(на самом деле она вызывает эту команду), но может запускаться в командной оболочке.
Ограничение CONNECTION LIMIT
действует только приблизительно; если одновременно запускаются два сеанса, тогда как для этой роли остаётся только одно «свободное место», может так случиться, что будут отклонены оба подключения. Кроме того, это ограничение не распространяется на суперпользователей.
Указывая в этой команде незашифрованный пароль, следует проявлять осторожность. Пароль будет передаваться на сервер открытым текстом и может также записываться в историю команд клиента или в протокол работы сервера. Команда createuser, однако, передаёт пароль зашифрованным. Кроме того, в psql есть команда \password
, с помощью которой можно безопасно сменить пароль позже.
Примеры
Создание роли, для которой разрешён вход, но не задан пароль:
CREATE ROLE jonathan LOGIN;
Создание роли с паролем:
CREATE USER davide WITH PASSWORD 'jw8s0F4';
(CREATE USER
действует так же, как CREATE ROLE
, но подразумевает ещё и атрибут LOGIN
.)
Создание роли с паролем, действующим до конца 2004 г., то есть пароль перестаёт действовать в первую же секунду 2005 г.
CREATE ROLE miriam WITH LOGIN PASSWORD 'jw8s0F4' VALID UNTIL '2005-01-01';
Создание роли, которая может создавать базы данных и управлять ролями:
CREATE ROLE admin WITH CREATEDB CREATEROLE;
Совместимость
Оператор CREATE ROLE
описан в стандарте SQL, но стандарт требует поддержки только следующего синтаксиса:
CREATE ROLEимя
[ WITH ADMINимя_роли
]
Возможность создавать множество начальных администраторов и все другие параметры CREATE ROLE
относятся к расширениям Postgres Pro.
В стандарте SQL определяются концепции пользователей и ролей, но в нём они рассматриваются как отдельные сущности, а все команды создания пользователей считаются внутренней спецификой СУБД. В Postgres Pro мы решили объединить пользователей и роли в единую сущность, так что роли получили дополнительные атрибуты, не описанные в стандарте.
Поведение, наиболее близкое к описанному в стандарте SQL, можно получить, если создавать пользователей с атрибутом NOINHERIT
, а роли — с атрибутом INHERIT
.