CREATE ROLE
CREATE ROLE — создать роль в базе данных
Синтаксис
CREATE ROLEимя
[ [ WITH ]параметр
[ ... ] ] Здесьпараметр
: SUPERUSER | NOSUPERUSER | CREATEDB | NOCREATEDB | CREATEROLE | NOCREATEROLE | INHERIT | NOINHERIT | LOGIN | NOLOGIN | REPLICATION | NOREPLICATION | BYPASSRLS | NOBYPASSRLS | CONNECTION LIMITпредел_подключений
| [ ENCRYPTED ] PASSWORD 'пароль
' | PASSWORD NULL | VALID UNTIL 'дата_время
' | IN ROLEимя_роли
[, ...] | IN GROUPимя_роли
[, ...] | ROLEимя_роли
[, ...] | ADMINимя_роли
[, ...] | USERимя_роли
[, ...] | SYSIDuid
| PROFILEимя_профиля
Описание
CREATE ROLE
добавляет новую роль в кластер баз данных Postgres Pro. Роль — это сущность, которая может владеть объектами и иметь определённые права в базе; роль может представлять «пользователя», «группу» или и то, и другое, в зависимости от варианта использования. За информацией об управлении пользователями и проверке подлинности обратитесь к Главе 20 и Главе 19. Чтобы выполнить эту команду, необходимо быть суперпользователем или иметь право CREATEROLE
.
Учтите, что роли определяются на уровне кластера баз данных, так что они действуют во всех базах в кластере.
Во время создания роли можно сразу назначить создаваемую роль членом существующей роли, а также назначить существующие роли членами создаваемой роли. Правила, по которым включаются начальные параметры членства в роли, описаны ниже в предложениях IN ROLE
, ROLE
и ADMIN
. Команда GRANT позволяет управлять назначением членов ролей и даёт возможность изменять эти параметры после создания новой роли.
Параметры
имя
Имя создаваемой роли.
SUPERUSER
NOSUPERUSER
Эти предложения определяют, будет ли эта роль «суперпользователем», который может переопределить все ограничения доступа в базе данных. Статус суперпользователя несёт опасность и назначать его следует только в случае необходимости. Создать нового суперпользователя может только суперпользователь. В отсутствие этих предложений по умолчанию подразумевается
NOSUPERUSER
.CREATEDB
NOCREATEDB
Эти предложения определяют, сможет ли роль создавать базы данных. Указание
CREATEDB
даёт новой роли это право, аNOCREATEDB
запрещает роли создавать базы данных. По умолчанию подразумеваетсяNOCREATEDB
. Только суперпользователи или роли с правомCREATEDB
могут указыватьCREATEDB
.CREATEROLE
NOCREATEROLE
Эти предложения определяют, сможет ли роль создавать, изменять и удалять другие роли, добавлять для них комментарии и изменять метку безопасности в любых ролях. Подробнее возможности, предоставляемые этим правом, описаны в Создание роли. Если предложение не указано, по умолчанию используется
NOCREATEROLE
.INHERIT
NOINHERIT
Эти предложения влияют на статус наследования членства, когда данная роль добавляется как член другой роли, как в текущей, так и в будущих командах. В частности, они контролируют статус наследования членства, добавленного этой командой с помощью предложения
IN ROLE
, а в более поздних командах — с помощью предложенияROLE
. Они также используются по умолчанию для статуса наследования при добавлении данной роли в качестве члена с помощью командыGRANT
. Если предложение не указано, по умолчанию используетсяINHERIT
.В версиях Postgres Pro до 16 наследование было атрибутом на уровне роли, который управлял для этой роли всеми проверками членства во время выполнения.
LOGIN
NOLOGIN
Эти предложения определяют, разрешается ли новой роли вход на сервер; то есть, может ли эта роль стать начальным авторизованным именем при подключении клиента. Можно считать, что роль с атрибутом
LOGIN
соответствует пользователю. Роли без этого атрибута бывают полезны для управления доступом в базе данных, но это не пользователи в обычном понимании. По умолчанию подразумевается вариантNOLOGIN
, за исключением вызоваCREATE ROLE
в видеCREATE USER
.REPLICATION
NOREPLICATION
Эти предложения определяют, будет ли роль ролью репликации. Чтобы роль могла подключаться к серверу в режиме репликации (в режиме физической или логической репликации) и создавать/удалять слоты репликации, у неё должен быть этот атрибут (либо это должна быть роль суперпользователя). Роль, имеющая атрибут
REPLICATION
, обладает очень большими привилегиями и поэтому этот атрибут должны иметь только роли, фактически используемые для репликации. По умолчанию подразумевается вариантNOREPLICATION
. Выдавать атрибутREPLICATION
могут только суперпользователи или роли сREPLICATION
.BYPASSRLS
NOBYPASSRLS
Эти предложения определяют, будут ли для роли игнорироваться все политики защиты на уровне строк (RLS). По умолчанию подразумевается вариант
NOBYPASSRLS
. Выдавать атрибутBYPASSRLS
могут только суперпользователи или роли сBYPASSRLS
.Заметьте, что pg_dump по умолчанию отключает
row_security
(устанавливает значениеOFF
), чтобы гарантированно было выгружено всё содержимое таблицы. Если пользователь, запускающий pg_dump, не будет иметь необходимых прав, он получит ошибку. Однако суперпользователи и владелец выгружаемой таблицы всегда обходят защиту RLS.CONNECTION LIMIT
предел_подключений
Если роли разрешён вход, этот параметр определяет, сколько параллельных подключений может установить роль. Значение -1 (по умолчанию) снимает ограничение. Заметьте, что под это ограничение подпадают только обычные подключения. Ни подготовленные транзакции, ни соединения фоновых рабочих процессов в расчёт не берутся.
- [
ENCRYPTED
]PASSWORD
'пароль
'PASSWORD NULL
Задаёт пароль роли. (Пароль полезен только для ролей с атрибутом
LOGIN
, но задать его можно и для ролей без такого атрибута.) Если проверка подлинности по паролю не будет использоваться, этот параметр можно опустить. При указании пустого значения будет задан пароль NULL, что не позволит данному пользователю пройти проверку подлинности по паролю. При желании пароль NULL можно установить явно, указавPASSWORD NULL
.Примечание
Если задана пустая строка, пароль также будет сброшен в NULL, но в Postgres Pro до версии 10 было не так. В ранних версиях пустая строка могла приниматься или нет, в зависимости от метода аутентификации и версии сервера, а libpq не давала использовать такой пароль в любом случае. Во избежание неоднозначности указывать пустую строку в качестве пароля не следует.
Пароль всегда хранится в системных каталогах в зашифрованном виде. Ключевое слово
ENCRYPTED
не имеет эффекта, но принимается для обратной совместимости. Метод шифрования определяется параметром конфигурации password_encryption. Если представленная строка пароля уже зашифрована с применением MD5 или SCRAM, она сохраняется как есть вне зависимости от значенияpassword_encryption
(так как система не может расшифровать переданный зашифрованной пароль, чтобы зашифровать его по другому алгоритму). Это позволяет пересохранять зашифрованные пароли при выгрузке/восстановлении.VALID UNTIL
'дата_время
'Предложение
VALID UNTIL
устанавливает дату и время, после которого пароль роли перестаёт действовать. Если это предложение отсутствует, срок действия пароля будет неограниченным.IN ROLE
имя_роли
С предложением
IN ROLE
новая роль автоматически становится членом указанных существующих ролей. Для нового члена будет включён атрибутSET
и отключён атрибутADMIN
. АтрибутINHERIT
будет включён, если не указан атрибутNOINHERIT
.IN GROUP
имя_роли
IN GROUP
— устаревшее написание предложенияIN ROLE
.ROLE
имя_роли
С предложением
ROLE
одна или нескольких указанных существующих ролей автоматически добавляются как члены новой роли с включённым атрибутомSET
. Фактически это делает новую роль «группой». Для ролей, указанных в этом предложении с атрибутомINHERIT
, будет включён атрибутINHERIT
в новом членстве. Для новых участников атрибутADMIN
будет отключён.ADMIN
имя_роли
Предложение
ADMIN
работает подобноROLE
, но перечисленные в нём роли добавляются как члены новой роли с включённым атрибутомADMIN
, что даёт им право включать в новою роль другие роли.USER
имя_роли
Предложение
USER
является устаревшим написанием предложенияROLE
.SYSID
uid
Предложение
SYSID
игнорируется, но принимается для обратной совместимости.PROFILE
имя_профиля
Задаёт профиль роли. Если это предложение опущено, роли назначается профиль
default
(за подробностями обратитесь к описанию CREATE PROFILE).
Примечания
Для изменения атрибутов роли применяется ALTER ROLE
, а для удаления роли — DROP ROLE
. Все атрибуты, заданные в CREATE ROLE
, могут быть изменены позднее командами ALTER ROLE
.
Для добавления и удаления членов ролей, используемых в качестве групп, рекомендуется использовать GRANT
и REVOKE
.
Предложение VALID UNTIL
определяет срок действия только пароля, но не роли как таковой. В частности, ограничение срока пароля не действует при входе пользователя без проверки подлинности по паролю.
Определённые здесь атрибуты роли не наследуются, т. е. членство в роли, например, с правом CREATEDB
, не позволит её участнику создавать новые базы данных, даже если членство было выдано с атрибутом INHERIT
. Разумеется, если в выдаче членства есть атрибут SET
, роль участника сможет выполнить команду SET ROLE
для роли createdb, а затем создать новую базу данных.
При выдаче членства с помощью предложений IN ROLE
, ROLE
и ADMIN
праводателем является роль, выполняющая эту команду.
Атрибут INHERIT
устанавливается по умолчанию в целях обратной совместимости: в предыдущих выпусках Postgres Pro пользователи всегда обладали всеми правами групп, в которые они были включены. Однако NOINHERIT
по смыслу ближе к тому, что описано в стандарте SQL.
Postgres Pro включает программу createuser, которая предоставляет ту же функциональность, что и команда CREATE ROLE
(на самом деле она вызывает эту команду), но может запускаться в командной оболочке.
Ограничение CONNECTION LIMIT
действует только приблизительно; если одновременно запускаются два сеанса, тогда как для этой роли остаётся только одно «свободное место», может так случиться, что будут отклонены оба подключения. Кроме того, это ограничение не распространяется на суперпользователей.
Указывая в этой команде незашифрованный пароль, следует проявлять осторожность. Пароль будет передаваться на сервер открытым текстом и может также записываться в историю команд клиента или в протокол работы сервера. Команда createuser, однако, передаёт пароль зашифрованным. Кроме того, в psql есть команда \password
, с помощью которой можно безопасно сменить пароль позже.
Примеры
Создание роли, для которой разрешён вход, но не задан пароль:
CREATE ROLE jonathan LOGIN;
Создание роли с паролем:
CREATE USER davide WITH PASSWORD 'jw8s0F4';
(CREATE USER
действует так же, как CREATE ROLE
, но подразумевает ещё и атрибут LOGIN
.)
Создание роли с профилем:
CREATE ROLE davide WITH PROFILE admin_profile;
Создание роли с паролем, действующим до конца 2004 г., то есть пароль перестаёт действовать в первую же секунду 2005 г.
CREATE ROLE miriam WITH LOGIN PASSWORD 'jw8s0F4' VALID UNTIL '2005-01-01';
Создание роли, которая может создавать базы данных и управлять ролями:
CREATE ROLE admin WITH CREATEDB CREATEROLE;
Совместимость
Оператор CREATE ROLE
описан в стандарте SQL, но стандарт требует поддержки только следующего синтаксиса:
CREATE ROLEимя
[ WITH ADMINимя_роли
]
Возможность создавать множество начальных администраторов и все другие параметры CREATE ROLE
относятся к расширениям Postgres Pro.
В стандарте SQL определяются концепции пользователей и ролей, но в нём они рассматриваются как отдельные сущности, а все команды создания пользователей считаются внутренней спецификой СУБД. В Postgres Pro мы решили объединить пользователей и роли в единую сущность, так что роли получили дополнительные атрибуты, не описанные в стандарте.
Наиболее близкое к описанному в стандарте SQL поведение можно получить, если создавать пользователей по стандарту SQL как роли PostgreSQL с атрибутом NOINHERIT
, а роли по стандарту SQL как роли PostgreSQL с атрибутом INHERIT
.