Postgresql 中文操作指南

22.2. Role Attributes #

数据库角色可以具有许多定义其权限并与客户端身份验证系统交互的属性。

  • login privilege

    • 只有具有 LOGIN 属性的角色才能用作数据库连接的初始角色名称。具有 LOGIN 属性的角色可以被认为与“数据库用户”相同。要创建具有登录权限的角色,请使用以下任一方式:

CREATE ROLE name LOGIN;
CREATE USER name;

  • CREATE USER 等效于 CREATE ROLE,除了 CREATE USER 默认包含 LOGIN,而 CREATE ROLE 不包含。)

    • superuser status

  • 数据库超级用户绕过所有权限检查,但登录权限除外。这是一个危险的特权,不应粗心使用;最好以不是超级用户角色的身份完成大部分工作。要创建新的数据库超级用户,请使用 CREATE ROLE _name SUPERUSER_。您必须以已经是超级用户的角色执行此操作。

    • database creation

  • 必须明确授予角色创建数据库的权限(超级用户除外,因为他们绕过所有权限检查)。要创建这样的角色,请使用 CREATE ROLE _name CREATEDB_。

    • role creation

  • 必须明确授予角色创建更多角色的权限(超级用户除外,因为他们绕过所有权限检查)。要创建这样的角色,请使用 CREATE ROLE _name CREATEROLE_。具有 CREATEROLE 权限的角色可以改变和删除已授予 CREATEROLE 用户的带有 ADMIN 选项的角色。当一个不是超级用户的 CREATEROLE 用户创建新角色时,会自动授予这样的权限,因此默认情况下,CREATEROLE 用户可以改变和删除他们创建的角色。改变角色包括可以使用 ALTER ROLE 做的大多数更改,例如,更改密码。它还包括可以使用 COMMENTSECURITY LABEL 命令对角色进行的修改。

  • 但是, CREATEROLE 不会传达创建 SUPERUSER 角色的能力,也不会传达对已经存在的 SUPERUSER 角色的任何权力。此外, CREATEROLE 不会传达创建 REPLICATION 用户的能力,也没有授予或撤销 REPLICATION 权限的能力,也没有修改此类用户的角色属性的能力。但是,它确实允许 ALTER ROLE …​ SETALTER ROLE …​ RENAME 用在 REPLICATION 角色上,以及使用 COMMENT ON ROLESECURITY LABEL ON ROLEDROP ROLE 。最后, CREATEROLE 不赋予授予或撤销 BYPASSRLS 权限的能力。

    • initiating replication

  • 必须明确授予角色启动流复制的权限(超级用户除外,因为他们绕过所有权限检查)。用于流复制的角色还必须具有 LOGIN 权限。要创建这样的角色,请使用 CREATE ROLE _name REPLICATION LOGIN_。

    • password

  • 密码只有在客户端身份验证方法要求用户连接到数据库时提供密码时才有意义。passwordmd5 身份验证方法使用密码。数据库密码与操作系统密码是分开的。在创建角色时使用 CREATE ROLE _name PASSWORD 'string'_ 指定密码。

    • inheritance of privileges

  • 角色默认情况下继承其所属角色的权限。但是,要创建默认情况下不继承权限的角色,请使用 CREATE ROLE _name NOINHERIT_。或者,可以通过使用 WITH INHERIT TRUEWITH INHERIT FALSE 覆盖单个权限的继承。

    • bypassing row-level security

  • 必须明确授予角色绕过每项行级安全 (RLS) 策略的权限(超级用户除外,因为他们绕过所有权限检查)。要创建这样的角色,请以超级用户身份使用 CREATE ROLE _name BYPASSRLS_。

    • connection limit

  • 连接限制可以指定角色可以建立多少并发连接。-1(默认值)表示没有限制。在角色创建时使用 CREATE ROLE _name CONNECTION LIMIT 'integer'_ 指定连接限制。

角色的属性可以在创建后使用 ALTER ROLE 进行修改。有关详细信息,请参见 CREATE ROLEALTER ROLE 命令的参考页面。

角色还可以对 Chapter 20中描述的许多运行时配置设置拥有特定于角色的默认设置。例如,如果出于某种原因,希望在每次连接时禁用索引扫描(提示:这不是一个好主意),则可以使用:

ALTER ROLE myname SET enable_indexscan TO off;

这将保存设置(但不会立即设置它)。在此角色后续的连接中,它将显示为 SET enable_indexscan TO off 在会话开始之前已被执行。你仍然可以在会话期间更改此设置;它将只是默认设置。要删除特定于角色的默认设置,请使用 ALTER ROLE _rolename RESET varname_ 。请注意,附加到没有 LOGIN 权限的角色的特定于角色的默认设置几乎没用,因为它们永远不会被调用。

当非超级用户使用 CREATEROLE 权限创建角色时,创建的角色会自动授予创建用户,就像引导超级用户执行了 GRANT created_user TO creating_user WITH ADMIN TRUE, SET FALSE, INHERIT FALSE 命令一样。由于 CREATEROLE 用户只能对现有角色行使特殊权限(如果他们在该角色上有 ADMIN OPTION),因此此授予仅足以允许 CREATEROLE 用户管理他们创建的角色。但是,由于它使用 INHERIT FALSE, SET FALSE 创建,因此 CREATEROLE 用户不会继承创建角色的权限,也不能使用 SET ROLE 访问该角色的权限。但是,由于拥有 ADMIN OPTION 的任何用户可以让另一个用户加入该角色,因此 CREATEROLE 用户可以通过使用 INHERIT 和/或 SET 选项将该角色授予他们自己,从而获得创建角色的访问权限。因此,权限默认情况下不被继承且 SET ROLE 默认情况下不是授予的是针对事故的保护措施,而不是安全功能。还要注意,由于此自动授予是由引导用户授予的,因此 CREATEROLE 用户无法删除或更改它;但是,任何超级用户都可以撤消它、修改它和/或向其他 CREATEROLE 用户发出此类其他授予。任何在任何给定时间在角色上有 ADMIN OPTIONCREATEROLE 用户都可以对其进行管理。