Greenplum数据库使用roles管理数据库访问权限。角色的概念包含用户和组的概念。一个角色可以是一个数据库用户、一个数据库组或者两者间距。角色可以拥有数据库对象（例如表），并可以将这些对象上的权限赋予其他角色，依此来控制对对象的访问。角色可以是其他角色的成员，因此成员角色可以继承其父角色的对象权限。

每个Greenplum数据库系统都包含一组数据库角色（用户和组）。这些角色与运行服务器的操作系统管理的用户和组相互独立。但是，为方便起见，可能希望维护操作系统用户名和Greenplum数据库角色名之间的关系，因为许多客户端应用程序使用当前操作系统用户名作为其默认值。

在Greenplum数据库中，用户通过master实例登录并连接，然后master实例验证其角色和访问权限。然后，master服务器以当前登录的角色的身份，将命令发布到幕后的segment实例。

角色在系统级别定义，这意味着它们对系统中的所有数据库都有效。

为了引导Greenplum数据库系统，新初始化的系统始终包含一个预定义的超级用户角色（也称为系统用户）。该角色将与初始化Greenplum数据库系统的操作系统用户具有相同的名称。通常，此角色已命名为gpadmin。为了创建更多角色，您首先必须以此初始角色进行连接。

角色和权限的安全最佳实践

保护gpadmin系统用户 Greenplum需要UNIX用户标识来安装和初始化Greenplum数据库系统。在Greenplum文档中，该系统用户称为gpadmin。该gpadmin是Greenplum数据库中的默认数据库超级用户，也是Greenplum安装文件系统及基础数据文件的所有者。此默认管理员帐户是Greenplum数据库设计的基础。没有它，系统无法运行，并且无法限制此gpadmin用户ID的访问权限。针对特定目的，使用角色来管理谁有权访问数据库。应该只在系统维护任务时使用gpadmin账户，如扩展和升级。以此用户ID登录Greenplum主机的任何人都可以读取，更改或删除任何数据，包括系统目录数据和数据库访问权限。因此，保护gpadmin用户ID并仅提供对基本系统管理员的访问权限非常重要。管理员只应执行某些系统维护任务（如升级或扩展）时以gpadmin账户登录Greenplum。数据库用户永远不应登录为gpadmin，ETL或生产工作永远不应该以gpadmin运行。
为登录的每个用户分配不同的角色。为了记录和审计，允许每个允许登录Greenplum数据库的用户拥有自己的数据库角色。对于应用程序或Web服务，考虑为每个应用程序或服务创建不同的角色。参阅创建新角色（用户）。
使用组来管理访问权限。参阅角色成员。
限制具有SUPERUSER角色属性的用户。 只有系统管理员才能获得超级用户权限。参阅变更角色属性。

创建新角色（用户）

用户级角色被视为可以登录数据库并启动数据库会话的数据库角色。因此，当你使用CREATE ROLE命令创建新的用户级角色时，必须指定LOGIN权限。例如：

CREATE ROLE jsmith WITH LOGIN;

1	CREATE ROLE jsmith WITH LOGIN;

数据库角色可以具有许多属性，这些属性定义角色可以在数据库中执行的任务类型。可以在创建角色时设置这些属性，也可以稍后使用ALTER ROLE命令。关于可以设置的角色属性的说明，参阅Table 1。

变更角色属性

数据库角色可以具有许多属性，这些属性定义角色可以在数据库中执行的任务类型。

属性	描述
SUPERUSER \| NOSUPERUSER	确定角色是否为超级用户。您必须自己是超级用户才能创建新的超级用户。默认值是NOSUPERUSER。
CREATEDB \| NOCREATEDB	确定是否允许角色创建数据库。默认值是NOCREATEDB。
CREATEROLE \| NOCREATEROLE	确定是否允许角色创建和管理其他角色。默认值是NOCREATEROLE。
INHERIT \| NOINHERIT	确定角色是否继承其所属角色的权限。具有INHERIT属性的角色继承可以自动使用已授予其直接或间接成员的所有角色的任何数据库权限。默认值是INHERIT。
LOGIN \| NOLOGIN	确定是否允许角色登录。具有该LOGIN属性的角色可以被认为是用户。没有此属性的角色对于管理数据库权限（组）非常有用。默认值是NOLOGIN。
CONNECTION LIMIT connlimit	如果角色可以登录，则指定角色可以使用的并发连接数。默认值-1表示没有限制。
CREATEEXTTABLE \| NOCREATEEXTTABLE	确定是否允许角色创建外部表。默认值是NOCREATEEXTTABLE。具有该CREATEEXTTABLE属性的角色，默认外部表类型是可读的，注意使用文件或执行的外部表只能由超级用户创建。
PASSWORD ‘password‘	设置角色的密码。如果您不打算使用密码身份验证，则可以省略此选项。如果未指定密码，则密码将设置为空，并且该用户的密码验证将始终失败。可以选择将空密码明确写为PASSWORD NULL。
ENCRYPTED \| UNENCRYPTED	控制是否将新密码在pg_authid系统目录中存储为哈希字符串。如果没有指定ENCRYPTED，或者指定UNENCRYPTED，则默认行为由password_encryption配置参数决定，该参数默认值为on。如果提供password字符串已经是哈希格式，无论是否指定ENCRYPTED或UNENCRYPTED都原样存储。有关保护登录密码的其他信息，参阅保护Greenplum数据库中的密码。
VALID UNTIL ‘timestamp‘	设置角色密码失效的日期和时间。如果省略，密码将始终有效。
RESOURCE QUEUE queue_name	将角色分配给指定的资源队列以进行工作负载管理。任何角色问题的声明都受资源队列限制的约束。注意RESOURCE QUEUE属性不可继承；必须为每个用户级别（LOGIN）角色分别设置。
DENY {deny_interval \| deny_point}	限制时间间隔期间的访问，按日期或日期时间指定。更多信息，参阅基于时间的身份验证。

可以在创建角色时设置这些属性，也可在使用ALTER ROLE命令。例如：

ALTER ROLE jsmith WITH PASSWORD 'passwd123';
ALTER ROLE admin VALID UNTIL 'infinity';
ALTER ROLE jsmith LOGIN;
ALTER ROLE jsmith RESOURCE QUEUE adhoc;
ALTER ROLE jsmith DENY DAY 'Sunday';

ALTER ROLE jsmith WITH PASSWORD 'passwd123';

ALTER ROLE admin VALID UNTIL 'infinity';

ALTER ROLE jsmith LOGIN;

ALTER ROLE jsmith RESOURCE QUEUE adhoc;

ALTER ROLE jsmith DENY DAY 'Sunday';

因服务的特定设置，角色还可以具有特定于角色的默认值。例如，要为角色设置默认方案搜索路径：

ALTER ROLE admin SET search_path TO myschema, public;

1	ALTER ROLE admin SET search_path TO myschema, public;

角色成员

将用户组合在一起以便于管理对象权限通常很方便：这样，可以将权限授予整个组或从组中撤销。在Greenplum数据库中，通过创建表示组的角色，然后将组角色的成员身份授予单个用户角色来完成的。

使用CREATE ROLE此SQL创建一个新的组角色。例如：

CREATE ROLE admin CREATEROLE CREATEDB;

1	CREATE ROLE admin CREATEROLE CREATEDB;

一旦组角色存在后, 可以使用GRANT和REVOKE命令，来添加和删除成员（用户角色）。例如：

GRANT admin TO john, sally;REVOKE admin FROM bob;

1	GRANT admin TO john, sally;REVOKE admin FROM bob;

为了管理对象权限，您只能为组级角色授予适当的权限（参阅Table 2）。然后，成员用户角色将继承组角色的对象权限。例如：

GRANT ALL ON TABLE mytable TO admin;
GRANT ALL ON SCHEMA myschema TO admin;
GRANT ALL ON DATABASE mydb TO admin;

GRANT ALL ON TABLE mytable TO admin;

GRANT ALL ON SCHEMA myschema TO admin;

GRANT ALL ON DATABASE mydb TO admin;

角色属性LOGIN、SUPERUSER、CREATEDB、 CREATEROLE、CREATEEXTTABLE和RESOURCE QUEUE 永远不会像数据库对象上的普通权限那样被继承。用户成员实际上必须SET ROLE具有这些属性的特定角色，才能使用该属性。在上面的例子中，我们给出了CREATEDB和CREATEROLE到了admin角色。如果sally是admin角色的成员，她可以发出以下命令来承担父角色的角色属性：

=> SET ROLE admin;

1	=> SET ROLE admin;

管理对象权限

当对象（表、视图、序列、数据库、函数、语言、模式或表空间）时，会为其分配一个所有者。所有者通常是执行创建语句的角色。对于大多数类型的对象，初始状态是只有所有者（或超级用户）可以对该对象执行任何操作。要允许其他角色使用它，必须授予权限。 Greenplum Database支持每种对象类型的以下权限：

对象类型	权限
表、视图、序列	SELECT INSERT UPDATE DELETE RULE ALL
外部表	SELECT RULE ALL
数据库	CONNECT CREATE TEMPORARY \| TEMP ALL
函数	EXECUTE
过程语言	USAGE
模式	CREATE USAGE ALL
自定义协议	SELECT INSERT UPDATE DELETE RULE ALL

Note: 您必须单独为每个对象授予权限。例如，授予数据库上ALL权限，并不授予对该数据库中的对象的完全访问权限。它只授予数据库级别的（CONNECT、CREATE、TEMPORARY）到数据库本身的权限。

使用GRANT此SQL命令为对象赋予指定的角色权限。例如，要授予名为jsmith的角色在名为mytable的表上插入权限：

GRANT INSERT ON mytable TO jsmith;

1	GRANT INSERT ON mytable TO jsmith;

同样，授予jsmith仅为名为table2表中的名为col1的查询权限，表2：

GRANT SELECT (col1) on TABLE table2 TO jsmith;

1	GRANT SELECT (col1) on TABLE table2 TO jsmith;

要撤消权限，使用REVOKE命令。例如：

REVOKE ALL 权限 ON mytable FROM jsmith;

1	REVOKE ALL 权限 ON mytable FROM jsmith;

也可以使用DROP OWNED和REASSIGN OWNED命令用于管理已弃用角色所拥有的对象（注意：只有对象的所有者或超级用户才能删除对象或重新分配所有权）。例如：

REASSIGN OWNED BY sally TO bob;
DROP OWNED BY visitor;

1 2	REASSIGN OWNED BY sally TO bob; DROP OWNED BY visitor;

模拟行级访问控制

Greenplum数据库不支持行级访问或行级标记的安全性。可以使用视图来限制所选行的行来模拟行级访问。可以通过向表中添加额外的列来存储敏感度信息，然后使用视图来控制基于此列的行级访问来模拟行级标签。然后，可以授予角色访问视图而不是基本表的权限。

加密数据

Greenplum数据库安装了一个可选的加密解密函数模块pgcrypto。该pgcrypto函数允许数据库管理员以加密形式存储某些数据列。这为敏感数据增加了额外的保护层，没有加密密钥，任何人都无法读取以加密形式存储在Greenplum数据库中的数据，也无法直接从磁盘读取数据。

Note: 该pgcrypto数据库服务器内运行，这意味着在pgcrypto和客户端应用程序之间，所有数据和密码以明文形式移动。为获得最佳安全性，还应考虑在客户端和Greenplum主服务器之间使用SSL连接。

要使用pgcrypto函数，在每个要使用此函数的数据库中，注册pgcrypto扩展。例如：

$ psql -d testdb -c "CREATE EXTENSION pgcrypto"

1	$ psql -d testdb -c "CREATE EXTENSION pgcrypto"

有关各个函数的更多信息，参阅PostgreSQL文档中的pgcrypto。

保护Greenplum数据库中的密码

在其默认配置中，Greenplum Database以MD5哈希值形式，将登录用户密码保存在pg_authid系统目录，而不是保存明文密码。任何能够查看此pg_authid表的人都可以看到哈希字符串，但没有密码。这还可确保在将数据库转储到备份文件时隐藏密码。

使用以下任何命令设置密码时执行哈希函数

CREATE USER name WITH ENCRYPTED PASSWORD ‘password’
CREATE ROLE name WITH LOGIN ENCRYPTED PASSWORD ‘password’
ALTER USER name WITH ENCRYPTED PASSWORD ‘password’
ALTER ROLE name WITH ENCRYPTED PASSWORD ‘password’

当password_encryption系统配置参数为on（这是默认值）时， ENCRYPTED关键字可以被省略。当命令未指定ENCRYPTED或UNENCRYPTED时， password_encryption配置参数决定是存储明文密码还是哈希密码。

Note: SQL命令语法和password_encryption配置变量，包括术语加密。但是密码在技术上并不是加密。它们是被哈希，因此无法解密。

哈希是在通过将明文密码和角色名称串起来，然后计算的。 MD5哈希生成一个前缀为md5字符的32字节十六进制字符串。哈希密码保存在pg_authid系统表rolpassword的列。

尽管不被推荐，但密码可以以明文形式保存在数据库中，通过UNENCRYPTED命令关键词，或者将password_encryption配置变量参数设置为off。注意，更改配置值不会影响现有密码，只会影响新创建或更新的密码。

要全局地设置password_encryption，在命令行中使用gpadmin用户执行这些命令：

$ gpconfig -c password_encryption -v 'off'
$ gpstop -u

1 2	$ gpconfig -c password_encryption -v 'off' $ gpstop -u

要在会话中设置password_encryption，使用SQL的SET命令。例如：

SET password_encryption = 'on';

1	SET password_encryption = 'on';

密码可以使用SHA-256哈希算法而不是默认的MD5哈希算法进行哈希。该算法生成一个前缀为sha256字符的64字节十六进制字符串。

Note:

虽然SHA-256使用更强的加密算法并生成更长的哈希字符串，但它不能被用于MD5认证方法。要使用SHA-256密码哈希，必须在pg_hba.conf配置文件中，将认证方法设置为password，以便明文密码被发送给Greenplum数据库。由于明文密码是通过网络发送的，因此在使用SHA-256时使用SSL进行客户端连接非常重要。另一方面，默认md5认证方法，身份验证方法在将密码发送到Greenplum数据库之前对密码进行两次哈希处理。一次是在密码和角色名称上，然后再次在客户端和服务器之间共享盐值，因此明文密码永远不会发送到网络。

要启用SHA-256哈希，更改password_hash_algorithm配置参数的默认值从md5为sha-256。该参数可以全局设置或在会话级别设置。要全局地设置password_hash_algorithm，在命令行中使用gpadmin用户执行这些命令：

$ gpconfig -c password_hash_algorithm -v 'sha-256'
$ gpstop -u

1 2	$ gpconfig -c password_hash_algorithm -v 'sha-256' $ gpstop -u

要全局地设置password_hash_algorithm，SQL的SET命令。例如：

SET password_hash_algorithm = 'sha-256';

1	SET password_hash_algorithm = 'sha-256';

基于时间的身份验证

Greenplum数据库使管理员可以按角色限制对特定时间的访问。使用CREATE ROLE或ALTER ROLE命令，指定基于时间的约束。

有关详细信息，参阅Greenplum数据库安全配置指南.

配置数据库授权

描述如何通过使用角色和权限在用户级别限制对数据库数据的授权访问。

访问权限和角色

Greenplum数据库使用角色管理数据库访问权限。角色的概念包括了用户和组的概念。一个角色可以是一个数据库用户、组或者两者皆有。角色可以拥有数据库对象（例如表）并且可以把那些对象上的特权指派给其他角色以控制对那些对象的访问。角色可以是其他角色的成员，因此成员角色可以继承其父角色的对象特权。

每一个Greenplum数据库系统都包含一组数据库角色（用户和组）。那些角色独立于服务器所运行的操作系统管理的用户和组。不过，为了方便用户可能想要维护操作系统用户名和Greenplum数据库角色名之间的关系，因为很多客户端应用使用当前的操作系统用户名作为默认的数据库用户名。

在Greenplum数据库中，用户通过Master实例登入和连接，Master实例会验证它们的角色和访问特权。然后Master将在幕后用当前登入的角色向Segment实例发出命令。

角色被定义在系统层面上，因此它们对系统中的所有数据库都有效。

要让Greenplum数据库系统自举，刚刚初始化好的系统总是包含一个预定义的超级用户角色（也被称作系统该用户）。这个角色将和初始化Greenplum数据库系统的操作系统用户具有相同的名称。习惯上，这个角色被命名为gpadmin。要创建更多角色，用户首先必须作为这个初始角色连接。

管理对象特权

当一个对象（表、视图、序列、数据库、函数、语言、方案或表空间）被创建时，它会被指派一个拥有者。拥有者通常就是执行创建语句的角色。对于大部分种类的对象，初始状态只有拥有者（或者超级用户）可以对该对象做任何事情。要允许其他角色使用对象，必须授予特权。对每一类对象，Greenplum数据库支持下面的特权：

对象类型	特权
表、视图、序列	SELECT、INSERT、UPDATE、DELETE、RULE、ALL
外部表	SELECT、RULE、ALL
数据库	CONNECT、CREATE、TEMPORARY \| TEMP、ALL
函数	EXECUTE
Procedural Languages	USAGE
方案	CREATE、USAGE、ALL

特权必须为每个对象单独授予。例如，在一个数据库上授予ALL并不会为该数据库中的对象授予完全的访问。它只授予所有的数据库级别特权（CONNECT, CREATE, TEMPORARY）给数据库本身。

使用SQL命令GRANT把对象上的特权给一个特定角色。例如：

GRANT INSERT ON mytable TO jsmith;

1	GRANT INSERT ON mytable TO jsmith;

T要收回特权，可使用REVOKE命令。例如：

REVOKE ALL PRIVILEGES ON mytable FROM jsmith;

1	REVOKE ALL PRIVILEGES ON mytable FROM jsmith;

用户还可以使用DROP OWNED以及REASSIGN OWNED命令来管理弃用角色所拥有的对象（注意：只有对象的拥有者或者超级用户可以删除一个对象或者重新指派拥有关系）。例如：

 REASSIGN OWNED BY sally TO bob;                   
 DROP OWNED BY visitor;

1 2	REASSIGN OWNED BY sally TO bob; DROP OWNED BY visitor;

使用SHA-256加密

Greenplum数据库的访问控制大概能对应桔皮书的“C2”级安全性，而不是“B1”级。Greenplum数据库当前支持对象级别的访问特权。行级或者列级访问不被支持，标记安全性也不被支持。

行级和列级访问可以使用限制被选择的行列的视图来模拟。行级标签可以通过为表增加存储敏感度信息的额外列模拟，然后使用视图来控制基于该列的行级访问。然后可以为角色授予对视图的访问而不是对基表的访问。虽然这些变通方案不能提供和“B1”级安全性相同的安全性，但对于很多组织来说它们仍然是一种可行的替代方案。

要使用SHA-256加密，用户必须在系统或者会话级别上设置一个参数。这一节介绍如何使用一个服务器参数来实现SHA-256加密的口令存储。注意为了使用SHA-256加密进行存储，客户端认证方法必须被设置为password而不是默认的MD5（详见配置SSL客户端连接）。这意味着口令在网络上以明文方式传输，因此我们高度推荐用户设置SSL来加密客户端和服务器之间的通信信道。

用户可以在系统范围或者以会话为基础设置选择的加密方法。可用的加密方法是SHA-256以及MD5（为了向后兼容性）。

在系统范围设置加密方法

要在整个Greenplum系统（Master及其Segment）上设置password_hash_algorithm服务器参数：

作为超级用户登入Greenplum数据库实例。
执行gpconfig把password_hash_algorithm设置为SHA-256：
$ gpconfig -c password_hash_algorithm -v 'SHA-256'
1
$ gpconfig -c password_hash_algorithm -v 'SHA-256'
验证设置：
$ gpconfig -s
1
$ gpconfig -s
将看到：
Master value: SHA-256Segment value: SHA-256
1
Master value: SHA-256Segment value: SHA-256

为单个会话设置加密方法

要为单个会话设置password_hash_algorithm服务器参数：

作为超级用户登入Greenplum数据库实例。
设置password_hash_algorithm为SHA-256：
## set password_hash_algorithm = 'SHA-256'
1
## set password_hash_algorithm = 'SHA-256'
验证设置：
## show password_hash_algorithm;
1
## show password_hash_algorithm;
将会看到：
SHA-256
1
SHA-256

下面是展示新设置效果的例子：

作为超级用户登入并且验证口令哈希算法设置：
## show password_hash_algorithm password_hash_algorithm ------------------------------- SHA-256
1
2
3
## show password_hash_algorithm password_hash_algorithm
-------------------------------
SHA-256
创建一个带有口令且有登录特权的新角色。
create role testdb with password 'testdb12345#' LOGIN;
1
create role testdb with password 'testdb12345#' LOGIN;
更改客户端认证方法以允许SHA-256加密口令的存储：
在Master上打开pg_hba.conf文件并且加入下面的行：
host all testdb 0.0.0.0/0 password
1
host all testdb 0.0.0.0/0 password
重启集群。
作为刚创建好的用户testdb登入数据库。
psql -U testdb
1
psql -U testdb
在提示下输入正确的口令。
验证口令被存储为SHA-256哈希。
口令的哈希被存储在pg_authid.rolpasswod中。
作为超级用户登入。
执行下列查询：
## SELECT rolpassword FROM pg_authid WHERE rolname = 'testdb'; Rolpassword ----------- sha256<64 hexadecimal characters>
1
2
3
4
5
   ## SELECT rolpassword FROM pg_authid WHERE rolname = 'testdb';
   Rolpassword
   -----------
   sha256<64
   hexadecimal characters>

用时间限制访问

Greenplum数据库让管理员能够限制角色在特定时间的访问。可使用CREATE ROLE或者ALTER ROLE命令指定基于时间的约束。

可以用日期或者日期和时间限制访问。无需删除和重建角色就可以移除这些约束。

基于时间的约束只适用于它们指派给的角色。如果角色是另一个有时间约束的角色的成员，时间约束不会被继承。

基于时间的约束仅在登录时被实施。SET ROLE以及SET SESSION AUTHORIZATION命令不受任何基于时间的约束的影响。

要为角色设置基于时间的约束，要求超级用户或者CREATEROLE特权。没有人可以为超级用户增加基于时间的约束。

有两种方法增加基于时间的约束。在CREATE ROLE或者ALTER ROLE命令中使用关键词DENY，后面接上下面的一种形式：。

访问被限制的一个日子，以及可选的时间。例如，在周三不能访问。
一个区间——也就是一个开始日期和结束日期以及可选的时间——在其间访问被限制。例如，从周三下午10点到周四上午8点期间不能访问。

用户可以指定多个限制，例如，周三的任何时间都不能访问并且在周五的下午3点到5点之间不能访问。

有两种方法指定一个日子。使用后面跟着带单引号的英语中平日术语的DAY或者0到6之间的一个数字，如下表所示。

英语术语	数字
DAY ‘Sunday’	DAY 0
DAY ‘Monday’	DAY 1
DAY ‘Tuesday’	DAY 2
DAY ‘Wednesday’	DAY 3
DAY ‘Thursday’	DAY 4
DAY ‘Friday’	DAY 5
DAY ‘Saturday’	DAY 6

日子中的时间可以以12小时制或者24小时制指定。在词TIME后面接上带单引号的说明。只能指定小时和分钟并且用分号分隔（:）。如果使用12小时制，在最后加上AM或者PM。下面的例子展示了多种时间说明。

TIME '14:00'     # 24-hour time implied
TIME '02:00 PM'  # 12-hour time specified by PM 
TIME '02:00'     # 24-hour time implied. This is equivalent to TIME '02:00 AM'.

TIME '14:00' # 24-hour time implied

TIME '02:00 PM' # 12-hour time specified by PM

TIME '02:00' # 24-hour time implied. This is equivalent to TIME '02:00 AM'.

Important: 基于时间的约束根据服务器时间实施。不考虑时区。

要指定一个时间区间，在其间访问被禁止，可以用词BETWEEN和AND指定两个日子/时间说明。如下所示。DAY总是需要的。

BETWEEN DAY 'Monday' AND DAY 'Tuesday' 
BETWEEN DAY 'Monday' TIME '00:00' AND
        DAY 'Monday' TIME '01:00'
BETWEEN DAY 'Monday' TIME '12:00 AM' AND
        DAY 'Tuesday' TIME '02:00 AM'
BETWEEN DAY 'Monday' TIME '00:00' AND
        DAY 'Tuesday' TIME '02:00'
        DAY 2 TIME '02:00'

BETWEEN DAY 'Monday' AND DAY 'Tuesday'

BETWEEN DAY 'Monday' TIME '00:00' AND

DAY 'Monday' TIME '01:00'

BETWEEN DAY 'Monday' TIME '12:00 AM' AND

DAY 'Tuesday' TIME '02:00 AM'

BETWEEN DAY 'Monday' TIME '00:00' AND

DAY 'Tuesday' TIME '02:00'

DAY 2 TIME '02:00'

最后三个语句等效。

Note: 区间不能在周六之后回卷。

下面的语法不正确：

DENY BETWEEN DAY 'Saturday' AND DAY 'Sunday'

1	DENY BETWEEN DAY 'Saturday' AND DAY 'Sunday'

正确的说明是使用两个DENY子句，如下所示：

DENY DAY 'Saturday'
DENY DAY 'Sunday'

1 2	DENY DAY 'Saturday' DENY DAY 'Sunday'

下面的例子展示了创建带有基于时间约束的角色并且修改角色以增加基于时间的约束。只有基于时间约束所需的语句被显示。更多有关创建和修改角色的细节请见 Greenplum数据库参考指南中CREATE ROLE 和 ALTER ROLE的描述。

例 1 – 创建带有基于时间约束的新角色

在周末不允许访问。

 CREATE ROLE generaluser
 DENY DAY 'Saturday'
 DENY DAY 'Sunday'
 ...

CREATE ROLE generaluser

DENY DAY 'Saturday'

DENY DAY 'Sunday'

...

例 2 – 修改角色以增加基于时间的约束

每晚的凌晨2点到4点之间不允许访问。

ALTER ROLE generaluser
 DENY BETWEEN DAY 'Monday' TIME '02:00' AND DAY 'Monday' TIME '04:00'
 DENY BETWEEN DAY 'Tuesday' TIME '02:00' AND DAY 'Tuesday' TIME '04:00'
 DENY BETWEEN DAY 'Wednesday' TIME '02:00' AND DAY 'Wednesday' TIME '04:00'
 DENY BETWEEN DAY 'Thursday' TIME '02:00' AND DAY 'Thursday' TIME '04:00'
 DENY BETWEEN DAY 'Friday' TIME '02:00' AND DAY 'Friday' TIME '04:00'
 DENY BETWEEN DAY 'Saturday' TIME '02:00' AND DAY 'Saturday' TIME '04:00'
 DENY BETWEEN DAY 'Sunday' TIME '02:00' AND DAY 'Sunday' TIME '04:00'
  ...

ALTER ROLE generaluser

DENY BETWEEN DAY 'Monday' TIME '02:00' AND DAY 'Monday' TIME '04:00'

DENY BETWEEN DAY 'Tuesday' TIME '02:00' AND DAY 'Tuesday' TIME '04:00'

DENY BETWEEN DAY 'Wednesday' TIME '02:00' AND DAY 'Wednesday' TIME '04:00'

DENY BETWEEN DAY 'Thursday' TIME '02:00' AND DAY 'Thursday' TIME '04:00'

DENY BETWEEN DAY 'Friday' TIME '02:00' AND DAY 'Friday' TIME '04:00'

DENY BETWEEN DAY 'Saturday' TIME '02:00' AND DAY 'Saturday' TIME '04:00'

DENY BETWEEN DAY 'Sunday' TIME '02:00' AND DAY 'Sunday' TIME '04:00'

...

例 3 – 修改角色以增加基于时间的约束

在周三或者周五下午的3点到5点间不允许访问。

ALTER ROLE generaluser
 DENY DAY 'Wednesday'
 DENY BETWEEN DAY 'Friday' TIME '15:00' AND DAY 'Friday' TIME '17:00'

ALTER ROLE generaluser

DENY DAY 'Wednesday'

DENY BETWEEN DAY 'Friday' TIME '15:00' AND DAY 'Friday' TIME '17:00'

删除基于时间的约束

要移除基于时间的约束，请使用ALTER ROLE命令。输入后面跟着要删除的日子/时间说明的关键词DROP DENY FOR。

DROP DENY FOR DAY 'Sunday'

1	DROP DENY FOR DAY 'Sunday'

任何含有DROP子句中全部或者部分条件的约束都会被移除。例如，如果一条现有的约束否定周一和周二的访问，并且DROP子句移除周一的约束，则这一条现有的约束会被完全删除。DROP子句会完全移除所有与DROP子句中约束交叠的约束。即便发生交叠的约束包含有比DROP子句更多的限制，它们也会被完全删除。

例 1 - 从一个角色移除一条基于时间的限制

 ALTER ROLE generaluser
 DROP DENY FOR DAY 'Monday'
    ...

ALTER ROLE generaluser

DROP DENY FOR DAY 'Monday'

...

这个语句将为例2中的generaluser角色移除所有与周一约束交叠的约束，即便其中有额外的约束。

CREATE ROLE

定义一个新的数据库角色（用户或组）。

概要

CREATE ROLE name [[WITH] option [ ... ]]

1	CREATE ROLE name [[WITH] option [ ... ]]

其中option可以是：

      SUPERUSER | NOSUPERUSER
    | CREATEDB | NOCREATEDB
    | CREATEROLE | NOCREATEROLE
    | CREATEUSER | NOCREATEUSER
    | CREATEEXTTABLE | NOCREATEEXTTABLE 
      [ ( attribute='value'[, ...] ) ]
           where attributes and value are:
           type='readable'|'writable'
           protocol='gpfdist'|'http'
    | INHERIT | NOINHERIT
    | LOGIN | NOLOGIN
    | REPLICATION | NOREPLICATION
    | CONNECTION LIMIT connlimit
    | [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password'
    | VALID UNTIL 'timestamp' 
    | IN ROLE rolename [, ...]
    | ROLE rolename [, ...]
    | ADMIN rolename [, ...]
    | USER rolename [, ...]
    | SYSID uid [, ...]
    | RESOURCE QUEUE queue_name
    | RESOURCE GROUP group_name
    | [ DENY deny_point ]
    | [ DENY BETWEEN deny_point AND deny_point]

SUPERUSER | NOSUPERUSER

| CREATEDB | NOCREATEDB

| CREATEROLE | NOCREATEROLE

| CREATEUSER | NOCREATEUSER

| CREATEEXTTABLE | NOCREATEEXTTABLE

[ ( attribute='value'[, ...] ) ]

where attributes and value are:

type='readable'|'writable'

protocol='gpfdist'|'http'

| INHERIT | NOINHERIT

| LOGIN | NOLOGIN

| REPLICATION | NOREPLICATION

| CONNECTION LIMIT connlimit

| [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password'

| VALID UNTIL 'timestamp'

| IN ROLE rolename [, ...]

| ROLE rolename [, ...]

| ADMIN rolename [, ...]

| USER rolename [, ...]

| SYSID uid [, ...]

| RESOURCE QUEUE queue_name

| RESOURCE GROUP group_name

| [ DENY deny_point ]

| [ DENY BETWEEN deny_point AND deny_point]

描述

CREATE ROLE在Greenplum数据库系统中添加了新角色。角色是可以拥有数据库对象并具有数据库特权的实体。根据角色的使用方式，可以将角色视为用户，组或两者。您必须具有CREATEROLE特权或是数据库超级用户才能使用此命令。

请注意，角色是在系统级别定义的，并且对于Greenplum数据库系统中的所有数据库均有效。

参数

name

新角色的名称。

SUPERUSER

NOSUPERUSER

如果指定了SUPERUSER，则定义的角色将是超级用户，该超级用户可以覆盖数据库中的所有访问限制。超级用户状态很危险，应仅在真正需要时使用。您必须自己是超级用户才能创建新的超级用户。默认值为NOSUPERUSER。

CREATEDB

NOCREATEDB

如果指定了CREATEDB，将允许所定义的角色创建新数据库。 NOCREATEDB（默认值）将使角色无法创建数据库。

CREATEROLE

NOCREATEROLE

如果指定了CREATEROLE，则允许定义的角色创建新角色，更改其他角色和删除其他角色。 NOCREATEROLE（默认值）将拒绝角色创建新角色或修改其他角色。

CREATEUSER

NOCREATEUSER

这些子句已经过时，但仍然被SUPERUSER和NOSUPERUSER的拼写接受。请注意，它们不等同于CREATEROLE和NOCREATEROLE子句。

CREATEEXTTABLE

NOCREATEEXTTABLE

如果指定了CREATEEXTTABLE，则允许定义的角色创建外部表。如果未指定，则默认type为readable，默认protocol为gpfdist。有效类型为gpfdist，gpfdists，http和https。 NOCREATEEXTTABLE（默认类型）拒绝该角色创建外部表。请注意，使用file或execute协议的外部表只能由超级用户创建。

使用GRANT…ON PROTOCOL命令允许用户创建和使用具有自定义协议类型的外部表，包括Greenplum数据库附带的s3和pxf协议。

INHERIT

NOINHERIT

如果指定了该属性，则INHERIT（默认设置）允许该角色使用为其直接或间接所属的所有角色授予的任何数据库特权。使用NOINHERIT时，另一个角色的成员资格仅授予SET ROLE权限给该另一个角色。

NOLOGIN

如果指定，则LOGIN允许角色登录数据库。可以将具有LOGIN属性的角色视为用户。具有NOLOGIN的角色对于管理数据库特权很有用，并且可以视为组。如果未指定，则NOLOGIN为默认值，除非CREATE ROLE通过其替代拼写CREATE USER被调用时。

REPLICATION

NOREPLICATION

这些子句确定是允许角色启动流复制还是使系统进入和退出备份模式。具有REPLICATION属性的角色是具有很高特权的角色，并且仅应在实际用于复制的角色上使用。如果未指定，则NOREPLICATION是默认值。

CONNECTION LIMIT connlimit

此角色可以建立的并发连接的最大数量。默认值-1表示没有限制。

PASSWORD password

使用LOGIN属性设置角色的用户密码。如果您不打算使用密码身份验证，则可以忽略此选项。如果未指定密码，则密码将设置为null，并且该用户的密码身份验证将始终失败。空密码可以有选择地显式写为PASSWORD NULL。

ENCRYPTED

UNENCRYPTED

这些关键字控制密码是否以加密方式存储在系统catalog中。（如果未指定，则默认行为由配置参数password_encryption决定。）如果显示的密码字符串已经采用MD5加密格式，则将按原样存储加密，而不管是否指定了ENCRYPTED或UNENCRYPTED（因为系统无法解密指定的加密密码字符串）。这允许在转储/还原期间重新加载加密的密码。

VALID UNTIL ‘timestamp’

VALID UNTIL子句设置日期和时间，之后该角色的密码将不再有效。如果省略此子句，密码将永不过期。

IN ROLE rolename

将新角色添加为命名角色的成员。请注意，没有任何选项可以将新角色添加为管理员。使用单独的GRANT命令来执行此操作。

ROLE rolename

将命名角色添加为该角色的成员，从而使该新角色成为一个组。

ADMIN rolename

ADMIN子句类似于ROLE，但是被提及的角色被使用WITH ADMIN OPTION加入到新角色中，从而赋予他们将这个角色的成员资格授予其他人的权利。

RESOURCE GROUP group_name

要分配给新角色的资源组的名称。该角色将受限于资源组配置的并发事务，内存和CPU限制。您可以将一个资源组分配给一个或多个角色。

如果未为新角色指定资源组，则会自动为该角色分配角色的默认资源组，为SUPERUSER角色分配admin_group，为非管理员角色分配default_group。

您可以将admin_group资源组分配给具有SUPERUSER属性的任何角色。

您可以将default_group资源组分配给任何角色。

您不能将为外部组件创建的资源组分配给角色。

RESOURCE QUEUE queue_name

新用户级别角色将分配到的资源队列的名称。只能将具有LOGIN特权的角色分配给资源队列。特殊关键字NONE表示将角色分配给默认资源队列。一个角色只能属于一个资源队列。

具有SUPERUSER属性的角色不受资源队列限制。对于超级用户角色，无论分配的资源队列施加什么限制，查询总是立即运行。

DENY deny_point

DENY BETWEEN deny_point AND deny_point

DENY和DENY BETWEEN关键字设置在登录时强制执行的基于时间的约束。 DENY设置拒绝访问的日期或日期和时间。 DENY BETWEEN设置一个拒绝访问的时间间隔。两者都使用具有以下格式的参数deny_point：

DAY day [ TIME 'time' ]

1	DAY day [ TIME 'time' ]

deny_point参数的两个部分使用以下格式：

对于day:

{'Sunday' | 'Monday' | 'Tuesday' |'Wednesday' | 'Thursday' | 'Friday' | 'Saturday' | 0-6 }

1	{'Sunday' \| 'Monday' \| 'Tuesday' \|'Wednesday' \| 'Thursday' \| 'Friday' \| 'Saturday' \| 0-6 }

对于time:

{ 00-23 : 00-59 | 01-12 : 00-59 { AM | PM }}

1	{ 00-23 : 00-59 \| 01-12 : 00-59 { AM \| PM }}

DENY BETWEEN子句使用两个deny_point参数：

DENY BETWEEN deny_point AND deny_point

1	DENY BETWEEN deny_point AND deny_point

有关基于时间的约束的更多信息和示例，请参阅Greenplum数据库管理员指南中的“管理角色和特权”。

注解

添加和删除角色成员（管理组）的首选方法是使用GRANT和REVOKE。

VALID UNTIL子句仅为密码而不是角色定义过期时间。使用非基于密码的身份验证方法登录时，不会强制使用到期时间。

INHERIT属性控制可授予特权（数据库对象和角色成员的访问特权）的继承。它不适用于由CREATE ROLE和ALTER ROLE设置的特殊角色属性。例如，即使设置了INHERIT，具有CREATEDB特权的角色成员也不会立即授予创建数据库的能力。这些特权/属性永远不会被继承： SUPERUSER，CREATEDB，CREATEROLE， CREATEEXTTABLE，LOGIN，RESOURCE GROUP和RESOURCE QUEUE。必须在每个用户级角色上设置属性。

由于向后兼容，INHERIT属性是默认属性。在以前的Greenplum数据库版本中，用户始终可以访问其所属组的所有特权。但是，NOINHERIT提供与SQL标准中指定的语义更接近的匹配。

使用CREATEROLE特权时要小心。对于CREATEROLE-role的特权，没有继承的概念。这意味着，即使一个角色没有特定的特权，但被允许创建其他角色，它也可以轻松地创建另一个角色，而该角色的特权不同于其自己的角色（创建具有超级用户特权的角色除外）。例如，如果角色具有CREATEROLE特权，但没有CREATEDB特权，则它可以使用CREATEDB特权创建新角色。因此，将具有CREATEROLE特权的角色视为几乎超级用户角色。

超级用户绝不执行CONNECTION LIMIT选项。

使用此命令指定未加密的密码时必须小心。密码将以明文形式传输到服务器，并且也可能会记录在客户端的命令历史记录或服务器日志中。但是，客户端程序createuser传输加密的密码。另外，psql包含命令\password，可用于稍后安全地更改密码。

示例

创建一个可以登录但不提供密码的角色：

CREATE ROLE jonathan LOGIN;

1	CREATE ROLE jonathan LOGIN;

创建一个属于资源队列的角色：

CREATE ROLE jonathan LOGIN RESOURCE QUEUE poweruser;

1	CREATE ROLE jonathan LOGIN RESOURCE QUEUE poweruser;

使用有效期至2016年底的密码创建角色（CREATE USER与CREATE ROLE相同，只不过它暗含了LOGIN）：

CREATE USER joelle WITH PASSWORD 'jw8s0F4' VALID UNTIL '2017-01-01';

1	CREATE USER joelle WITH PASSWORD 'jw8s0F4' VALID UNTIL '2017-01-01';

创建一个可以创建数据库并管理其他角色的角色：

CREATE ROLE admin WITH CREATEDB CREATEROLE;

1	CREATE ROLE admin WITH CREATEDB CREATEROLE;

创建一个角色，该角色在星期日不允许登录访问：

CREATE ROLE user3 DENY DAY 'Sunday';

1	CREATE ROLE user3 DENY DAY 'Sunday';

创建一个可以创建类型为’gpfdist’的可读可写外部表的角色：

CREATE ROLE jan WITH CREATEEXTTABLE(type='readable', protocol='gpfdist')   CREATEEXTTABLE(type='writable', protocol='gpfdist');

1	CREATE ROLE jan WITH CREATEEXTTABLE(type='readable', protocol='gpfdist') CREATEEXTTABLE(type='writable', protocol='gpfdist');

创建一个角色，分配一个资源组：

CREATE ROLE bill RESOURCE GROUP rg_light;

1	CREATE ROLE bill RESOURCE GROUP rg_light;

兼容性

SQL标准定义了用户和角色的概念，但是将它们视为不同的概念，并将所有定义用户的命令留给数据库实现指定。在Greenplum数据库中，用户和角色被统一为单一类型的对象。因此，角色具有比标准中更多的可选属性。

CREATE ROLE在SQL标准中，但是该标准仅需要以下语法：

CREATE ROLE name [WITH ADMIN rolename]

1	CREATE ROLE name [WITH ADMIN rolename]

Greenplum数据库扩展是允许多个初始管理员，以及CREATE ROLE的所有其他选项。

通过为用户提供NOINHERIT属性，而为角色赋予INHERIT属性，可以最接近地逼近SQL标准指定的行为。

ALTER ROLE

更改一个数据库角色（用户或组）。

概要

ALTER ROLE name [ [ WITH ] option [ ... ] ]
其中 option 可以是：
    SUPERUSER | NOSUPERUSER
  | CREATEDB | NOCREATEDB
  | CREATEROLE | NOCREATEROLE
  | CREATEEXTTABLE | NOCREATEEXTTABLE  [ ( attribute='value' [, ...] )
     where attributes and values are:
       type='readable'|'writable'
       protocol='gpfdist'|'http'
  | INHERIT | NOINHERIT
  | LOGIN | NOLOGIN
  | REPLICATION | NOREPLICATION
  | CONNECTION LIMIT connlimit
  | [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password'
  | VALID UNTIL 'timestamp'
ALTER ROLE name RENAME TO new_name
ALTER ROLE { name | ALL } [ IN DATABASE database_name ] SET configuration_parameter { TO | = } { value | DEFAULT }
ALTER ROLE { name | ALL } [ IN DATABASE database_name ] SET configuration_parameter FROM CURRENT
ALTER ROLE { name | ALL } [ IN DATABASE database_name ] RESET configuration_parameter
ALTER ROLE { name | ALL } [ IN DATABASE database_name ] RESET ALL
ALTER ROLE name RESOURCE QUEUE {queue_name | NONE}
ALTER ROLE name RESOURCE GROUP {group_name | NONE}

ALTER ROLE name [ [ WITH ] option [ ... ] ]

其中 option 可以是：

SUPERUSER | NOSUPERUSER

| CREATEDB | NOCREATEDB

| CREATEROLE | NOCREATEROLE

| CREATEEXTTABLE | NOCREATEEXTTABLE [ ( attribute='value' [, ...] )

where attributes and values are:

type='readable'|'writable'

protocol='gpfdist'|'http'

| INHERIT | NOINHERIT

| LOGIN | NOLOGIN

| REPLICATION | NOREPLICATION

| CONNECTION LIMIT connlimit

| [ ENCRYPTED | UNENCRYPTED ] PASSWORD 'password'

| VALID UNTIL 'timestamp'

ALTER ROLE name RENAME TO new_name

ALTER ROLE { name | ALL } [ IN DATABASE database_name ] SET configuration_parameter { TO | = } { value | DEFAULT }

ALTER ROLE { name | ALL } [ IN DATABASE database_name ] SET configuration_parameter FROM CURRENT

ALTER ROLE { name | ALL } [ IN DATABASE database_name ] RESET configuration_parameter

ALTER ROLE { name | ALL } [ IN DATABASE database_name ] RESET ALL

ALTER ROLE name RESOURCE QUEUE {queue_name | NONE}

ALTER ROLE name RESOURCE GROUP {group_name | NONE}

描述

ALTER ROLE更改Greenplum数据库角色的属性。此命令有几种变体

WITH option

修改可以在CREATE ROLE中指定的大多数角色属性。 (包含了所有可能的属性，但不包括添加或删除成员身份的选项；为那些选项使用 GRANT 和 REVOKE 。) 在这个命令中没提到的属性将保留她们原来的值。超级用户可以为任何角色修改任何设置。拥有 CREATEROLE 权限的角色可以修改任意的这些设置，但是仅限于非超级用户和非replication角色。普通用户只可以修改自己的密码。

RENAME

更改角色的名称。数据库超级用户可以重命名任何角色。角色有 CREATEROLE 特权可以重命名非超级用户角色。无法重命名当前会话用户（以其他用户身份连接重命名角色）。因为MD5加密的密码使用角色名称作为密钥，如果密码为MD5加密，则重命名角色将清除其密码。

SET | RESET

为指定的配置参数更改角色的会话默认值，对于所有数据库，或者在IN DATABASE子句指定数据库时，仅对命名数据库中的会话进行更改。如果指定了all而不是角色名，则会更改所有角色的设置。在IN DATABASE 使用ALL实际上与使用命令ALTER DATABASE…SET…一样。

每当角色随后启动新会话时，指定的值将成为会话默认值，覆盖服务器配置文件（postgresql.conf）中存在的,或从postgres命令行接收到的任何设置。这只会发生在登录时，执行SET ROLE 或者 SET SESSION AUTHORIZATION 不会触发设置新的值

附加到角色的数据库特定设置将覆盖所有数据库的设置。特定数据库或特定角色的设置将覆盖所有角色的设置。

对于没有LOGIN权限的角色，会话默认值无效。普通角色可以更改自己的会话默认值。超级用户可以更改任何人的会话默认值。具有CREATEROLE权限的角色可以更改非超级用户角色的默认值。普通角色只能为自己设置默认值。某些配置变量不能这样设置，或者只能在超级用户发出命令时设置。有关所有用户可设置配置参数的信息，请参阅Greenplum数据库参考指南。只有超级用户才能更改所有数据库中所有角色的设置。

RESOURCE QUEUE

将角色分配给工作负载管理资源队列。在发出查询时，角色将受到分配资源队列的限制。指定NONE将角色分配给默认资源队列。一个角色只能属于一个资源队列。对于没有LOGIN特权的角色，会话默认值没有任何作用。参考CREATE RESOURCE QUEUE 获取更多信息。

RESOURCE GROUP

为角色分配资源组。然后，角色将受制于为资源组配置的并发事务、内存和CPU限制。可以将单个资源组分配给一个或多个角色。不能将为外部组件创建的资源组分配给角色。参考CREATE RESOURCE GROUP获取更多信息。

参数

name

将被修改属性的角色名。

new_name

该角色的新名称。

database_name

将要设置配置参数的数据库名。

config_parameter=value

将指定配置参数的此角色会话默认值设置为给定值。如果 value是DEFAULT 指或者指定 RESET ，则角色的指定参数设置会被删除，角色将在新会话里面继承系统层面的默认值，使用RESET ALL 可以清除所有的角色特殊配置。 SET FROM CURRENT 保存会话的当前参数值作为角色指定的值。如果指定了IN DATABASE ，则只会为指定的角色数据库。当随后角色开启新的会话时，指定的参数值成为会话的默认值，覆盖服务器配置文件（postgresql.conf）中存在的,或从 postgres命令行接收到的任何设置。

角色指定的变量设置只会在登录时生效; SET ROLE 和 SET SESSION AUTHORIZATION不会处理指定角色的变量设置。

参阅服务器配置参数来获取更多关于用户可设置参数的信息。

group_name

分配给该角色的资源组名称。指定group_name为 NONE 删除角色当前分配的资源组，基于角色的能力分配一个默认资源组。 SUPERUSER 角色分配 admin_group 资源组，而default_group 资源组则分配给非admin 角色。

不能将为外部组件创建的资源组分配给角色。

queue_name

要分配用户级角色的资源队列的名称。只有LOGIN特权的角色可以分配给资源队列。要从资源队列中取消分配角色并将其置于默认资源队列中，请指定NONE。角色只能属于一个资源队列。

SUPERUSER | NOSUPERUSER

CREATEDB | NOCREATEDB

CREATEROLE | NOCREATEROLE

CREATEUSER | NOCREATEUSER

CREATEUSER 和 NOCREATEUSER 已经过期，但是仍被接受为SUPERUSER和 NOSUPERUSER。注意，它们不等同于CREATEROLE and和NOCREATEROLE子句。

CREATEEXTTABLE | NOCREATEEXTTABLE [(attribute=’value’)]

如果CREATEEXTTABLE 被指定，允许定义的角色创建外部表。如果没被指定，默认类型是readable，并且默认协议是gpfdist。 NOCREATEEXTTABLE（默认）拒绝角色有创建外部表的能力。注意使用的外部表file或execute协议只能由超级用户创建。

INHERIT | NOINHERIT

REPLICATION

NOREPLICATION

CONNECTION LIMIT connlimit

PASSWORD password

ENCRYPTED | UNENCRYPTED

VALID UNTIL ‘timestamp’

这些子句通过CREATE ROLE改变了原来设置的角色属性。

DENY deny_point

DENY BETWEEN deny_point AND deny_point

DENY和DENY BETWEEN关键字设置了在登录时强制执行的基于时间的约束。DENY设置一天或一天的时间来拒绝访问。DENY BETWEEN设置访问被拒绝的间隔。两者都使用以下格式的参数deny_point ：

DAY day [ TIME 'time' ]

1	DAY day [ TIME 'time' ]

deny_point两部分参数使用以下格式：:

对于 day：

{'Sunday' | 'Monday' | 'Tuesday' |'Wednesday' | 'Thursday' | 'Friday' | 'Saturday' | 0-6 }

1	{'Sunday' \| 'Monday' \| 'Tuesday' \|'Wednesday' \| 'Thursday' \| 'Friday' \| 'Saturday' \| 0-6 }

对于time：

{ 00-23 : 00-59 | 01-12 : 00-59 { AM | PM }}

DENY BETWEEN子句使用两种deny_point参数。

DENY BETWEEN deny_point AND deny_point

1	DENY BETWEEN deny_point AND deny_point

有关基于时间的约束和示例的更多信息，参阅Greenplum数据库管理员指南中的“管理角色和特权”。

DROP DENY FOR deny_point

该DROP DENY FOR子句从角色中删除基于时间的约束。它使用上述的deny_point参数。

有关基于时间的约束和示例的更多信息，参阅Greenplum数据库管理员指南中的“管理角色和特权”。

注意

使用 CREATE ROLE 新增角色，使用DROP ROLE 删除角色。

使用 GRANT 和 REVOKE 来增加和删除角色成员。

使用此命令指定未加密的密码时，必须小心。密码将以明文形式发送到服务器，也可能会记录在客户端的命令历史记录或服务器日志中。该 psql命令行客户端包含一个元命令\password可用于安全地更改角色的密码。

还可以将会话默认值与特定数据库而不是角色绑定。如果存在冲突，则特定于角色的设置将覆盖数据库特定的设置。参阅 ALTER DATABASE。

示例

更改角色的密码：

ALTER ROLE daria WITH PASSWORD 'passwd123';

1	ALTER ROLE daria WITH PASSWORD 'passwd123';

删除角色的密码：

ALTER ROLE daria WITH PASSWORD NULL;

1	ALTER ROLE daria WITH PASSWORD NULL;

更改密码失效日期：

ALTER ROLE scott VALID UNTIL 'May 4 12:00:00 2015 +1';

1	ALTER ROLE scott VALID UNTIL 'May 4 12:00:00 2015 +1';

使密码永久有效：

ALTER ROLE luke VALID UNTIL 'infinity';

1	ALTER ROLE luke VALID UNTIL 'infinity';

赋予角色创建其他角色和新数据库的能力：

ALTER ROLE joelle CREATEROLE CREATEDB;

1	ALTER ROLE joelle CREATEROLE CREATEDB;

给角色一个非默认设置maintenance_work_mem参数：

ALTER ROLE admin SET maintenance_work_mem = 100000;

1	ALTER ROLE admin SET maintenance_work_mem = 100000;

给角色一个非默认，指定数据库的参数client_min_messages 值：

ALTER ROLE fred IN DATABASE devel SET client_min_messages = DEBUG;

1	ALTER ROLE fred IN DATABASE devel SET client_min_messages = DEBUG;

将角色分配给资源队列：

ALTER ROLE sammy RESOURCE QUEUE poweruser;

1	ALTER ROLE sammy RESOURCE QUEUE poweruser;

授予创建可写外部表的角色权限：

ALTER ROLE load CREATEEXTTABLE (type='writable');

1	ALTER ROLE load CREATEEXTTABLE (type='writable');

更改角色在星期日不允许登录访问：

ALTER ROLE user3 DENY DAY 'Sunday';

1	ALTER ROLE user3 DENY DAY 'Sunday';

改变角色以消除星期日不允许登录访问的约束：

ALTER ROLE user3 DROP DENY FOR DAY 'Sunday';

1	ALTER ROLE user3 DROP DENY FOR DAY 'Sunday';

指定一个新的资源组给角色：

ALTER ROLE parttime_user RESOURCE GROUP rg_light;

1	ALTER ROLE parttime_user RESOURCE GROUP rg_light;

兼容性

ALTER ROLE 语句是 Greenplum 数据库的扩展

GRANT

定义访问权限。

概要

GRANT { {SELECT | INSERT | UPDATE | DELETE | REFERENCES |
TRIGGER | TRUNCATE } [, ...] | ALL [PRIVILEGES] }
    ON { [TABLE] table_name [, ...]
         | ALL TABLES IN SCHEMA schema_name [, ...] }
    TO { [ GROUP ] role_name | PUBLIC} [, ...] [ WITH GRANT OPTION ]
GRANT { { SELECT | INSERT | UPDATE | REFERENCES } ( column_name [, ...] )
    [, ...] | ALL [ PRIVILEGES ] ( column_name [, ...] ) }
    ON [ TABLE ] table_name [, ...]
    TO { role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { {USAGE | SELECT | UPDATE} [, ...] | ALL [PRIVILEGES] }
    ON { SEQUENCE sequence_name [, ...]
         | ALL SEQUENCES IN SCHEMA schema_name [, ...] }
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { {CREATE | CONNECT | TEMPORARY | TEMP} [, ...] | ALL
[PRIVILEGES] }
    ON DATABASE database_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON DOMAIN domain_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON FOREIGN DATA WRAPPER fdw_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON FOREIGN SERVER server_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { EXECUTE | ALL [PRIVILEGES] }
    ON { FUNCTION function_name ( [ [ argmode ] [ argname ] argtype [, ...]
] ) [, ...]
         | ALL FUNCTIONS IN SCHEMA schema_name [, ...] }
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [PRIVILEGES] }
    ON LANGUAGE lang_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { { CREATE | USAGE } [, ...] | ALL [PRIVILEGES] }
    ON SCHEMA schema_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC} [, ...] [ WITH GRANT OPTION ]
GRANT { CREATE | ALL [PRIVILEGES] }
    ON TABLESPACE tablespace_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT { USAGE | ALL [ PRIVILEGES ] }
    ON TYPE type_name [, ...]
    TO { [ GROUP ] role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]
GRANT parent_role [, ...]
    TO member_role [, ...] [WITH ADMIN OPTION]
GRANT { SELECT | INSERT | ALL [PRIVILEGES] }
    ON PROTOCOL protocolname
    TO username

GRANT { {SELECT | INSERT | UPDATE | DELETE | REFERENCES |

TRIGGER | TRUNCATE } [, ...] | ALL [PRIVILEGES] }

ON { [TABLE] table_name [, ...]

| ALL TABLES IN SCHEMA schema_name [, ...] }

TO { [ GROUP ] role_name | PUBLIC} [, ...] [ WITH GRANT OPTION ]

GRANT { { SELECT | INSERT | UPDATE | REFERENCES } ( column_name [, ...] )

[, ...] | ALL [ PRIVILEGES ] ( column_name [, ...] ) }

ON [ TABLE ] table_name [, ...]

TO { role_name | PUBLIC } [, ...] [ WITH GRANT OPTION ]

GRANT { {USAGE | SELECT | UPDATE} [, ...] | ALL [PRIVILEGES] }

ON { SEQUENCE sequence_name [, ...]

| ALL SEQUENCES IN SCHEMA schema_name [, ...] }