用户 

⚫ 用户 

 使用数据库系统服务的个体 

 职责单一,往往附属于某个组织或部门 

⚫ 用户可以做什么 

 使用工具连接数据库 

 访问数据库对象 

 执行SQL语句


角色 

⚫ 角色 

 角色是一组用户的集合,按照数据库系统中承担的责任划分具有不同权限的角色;角色用来作 为权限集合的载体。 

 角色代表了一个或一组数据库用户的行为约束。 

⚫ openGauss提供了一个隐式定义的拥有所有角色的组PUBLIC,所有创建的用户和角色默 认拥有PUBLIC所拥有的权限。 

⚫ 要撤销或重新授予用户和角色对PUBLIC的权限,可通过在GRANT和REVOKE指定关键字 PUBLIC实现。


用户与角色

⚫ 用户是实体,角色是行为。 

⚫ 用户可被赋予一个或多个角色。

⚫ 角色是一种权限集合,不应该具有登录数据库并执行SQL的能力。 

⚫ 对用户权限的管理,可以简化为对角色权限的管理。 

⚫ 在openGauss中,用户和角色使用相同的操作方式与维护方式。


用户角色相关操作

⚫ 创建类操作,查看CREATE USER语法。(CREATE ROLE与CREATE USER相同)。

openGauss的用户与角色_数据库

⚫ 修改类操作,查看ALTER USER语法。

openGauss的用户与角色_数据库_02

⚫ 查询类操作: 

 openGauss的用户、角色属性维护在pg_authid系统表中,pg_user、pg_roles视图也可以查询 用户、角色信息。 

 使用\d命令查看pg_authid表详细信息。 

 使用select命令查询pg_authid中的相关信息。

postgres=# \d pg_authid 

postgres=# select * from pg_authid;

⚫ 删除类操作: 

 查看DROP USER语法。 

 当用户拥有数据库对象时,默认是RESTRICT无法删除用户的,需要使用CASCADE选项。

openGauss的用户与角色_数据库_03


设置用户账号有效期 

⚫ 创建新用户时,需要限制用户的操作期限(有效开始时间和有效结束时间)。 

⚫ 不在有效操作期内的用户需要重新设定帐号的有效操作期。 

 创建用户并指定用户的有效开始时间和有效结束时间。

CREATE USER joe WITH PASSWORD 'Bigdata@123' VALID BEGIN '2015-10-10 08:00:00' VALID UNTIL '2016- 10-10 08:00:00';

 用户已不在有效使用期内,需要重新设定帐号的有效期,这包括有效开始时间和有效结束时间。

ALTER USER joe WITH VALID BEGIN '2016-11-10 08:00:00' VALID UNTIL '2017-11-10 08:00:00';


 注意:若在“CREATE ROLE”或“ALTER ROLE”语法中不指定“VALID BEGIN”,表示不对 用户的开始操作时间做限定;若不指定“VALID UNTIL”,表示不对用户的结束操作时间做限 定;若两者均不指定,表示该用户一直有效。


手动锁定和解锁帐户命令

⚫ 以手动锁定和解锁用户user_read为例,命令格式如下。 

⚫ 手动锁定:

ALTER USER user_read ACCOUNT LOCK;

 显示如下结果表示锁定成功

ALTER ROLE

⚫ 手动解锁:

ALTER USER user_read ACCOUNT UNLOCK;

 显示如下结果表示解锁成功

ALTER ROLE


私有用户 

⚫ 背景: 

 对于有多个业务部门,各部门间使用不同的数据库用户进行业务操作,同时同级的数据库维护部门使用管理员用户进 行维护操作的场景下,业务部门希望在未经授权的情况下,管理员用户只能对各部门的数据进行控制操作(DROP、 ALTER、TRUNCATE),不能进行访问操作(INSERT、DELETE、UPDATE、SELECT、COPY)。即针对管理员用户, 表对象的控制权和访问权要能够分离,以提高普通用户数据安全性。 

 三权分立情况下,管理员对其他用户放在属于各自模式下的表无权限。但是,这种无权限包含了无控制权限,因此不 能满足上面的诉求。为此,openGauss提供了私有用户方案。即在非三权分立模式下,创建具有INDEPENDENT属性 的私有用户。 

⚫ 定义:

CREATE USER user_independent WITH INDEPENDENT IDENTIFIED BY "1234@abc";

 针对该用户的对象,数据库管理员在未经其授权前,只能进行控制操作(DROP、ALTER、TRUNCATE),无权进行 INSERT、DELETE、SELECT、UPDATE、COPY、GRANT、REVOKE、ALTER OWNER操作。