21.2. Атрибуты роли#

21.2. Атрибуты роли
21.2. Атрибуты роли
Назад НаверхГлава 21. Роли базы данныхНачало Далее

21.2. Атрибуты роли

Роль базы данных может иметь несколько атрибутов, которые определяют ее привилегии и взаимодействуют с системой аутентификации клиента.

login privilege

Только роли, у которых есть атрибут LOGIN, могут быть использованы в качестве начального имени роли для подключения к базе данных. Роль с атрибутом LOGIN можно считать тем же самым, что и пользователь базы данных. Чтобы создать роль с привилегией на вход, используйте один из следующих способов: 

CREATE ROLE name LOGIN;
CREATE USER name;

(CREATE USER эквивалентно CREATE ROLE, за исключением того, что CREATE USER по умолчанию включает LOGIN, в то время как CREATE ROLE - нет).

superuser status

Суперпользователь базы данных обходит все проверки разрешений, за исключением права на вход в систему. Это опасное привилегированное положение и не следует использовать его небрежно; лучше выполнять большую часть работы от имени роли, которая не является суперпользователем. Чтобы создать нового суперпользователя базы данных, используйте CREATE ROLE name SUPERUSER. Вы должны выполнить это в роли, которая уже является суперпользователем.

database creation

Роли должны явно быть предоставлены разрешения на создание баз данных (за исключением суперпользователей, так как они обходят все проверки разрешений). Чтобы создать такую

role creation

Чтобы роль могла создавать другие роли, ей явно должны быть предоставлены соответствующие разрешения (за исключением суперпользователей, так как они обходят все проверки разрешений). Для создания такой роли используйте CREATE ROLE name CREATEROLE. Роль с привилегией CREATEROLE также может изменять и удалять другие роли, а также назначать или отзывать их членство. Изменение роли включает в себя большинство изменений, которые можно сделать с помощью ALTER ROLE, включая, например, изменение паролей. Это также включает изменения роли, которые можно сделать с помощью команд COMMENT и SECURITY LABEL.

Однако, CREATEROLE не предоставляет возможность создавать роли SUPERUSER, и не дает никаких полномочий над уже существующими ролями SUPERUSER. Кроме того, CREATEROLE не дает возможности создавать пользователей с правами REPLICATION, а также не позволяет предоставлять или отзывать привилегии REPLICATION и изменять свойства ролей таких пользователей. Однако, оно позволяет использовать команды ALTER ROLE ... SET и ALTER ROLE ... RENAME для ролей REPLICATION, а также использовать команды COMMENT ON ROLE, SECURITY LABEL ON ROLE и DROP ROLE. Наконец, CREATEROLE не дает возможности предоставлять или отзывать привилегию BYPASSRLS.

Поскольку привилегия CREATEROLE позволяет пользователю назначать или отзывать членство даже в ролях, к которым у него (пока что) нет доступа, пользователь с привилегией CREATEROLE может получить доступ к возможностям каждой предопределенной роли в системе, включая высокопривилегированные роли, такие как pg_execute_server_program и pg_write_server_files.

initiating replication

Роли должны явно быть предоставлены разрешения на инициирование потоковой репликации (за исключением суперпользователей, так как они обходят все проверки разрешений). Роль, используемая для потоковой репликации, должна также иметь разрешение LOGIN. Чтобы создать такую роль, используйте CREATE ROLE name REPLICATION LOGIN.

password

Важность пароля возникает только в том случае, если метод аутентификации клиента требует от пользователя предоставить пароль при подключении к базе данных. Методы аутентификации password и md5 используют пароли. Пароли базы данных отличаются от паролей операционной системы. Укажите пароль при создании роли с помощью CREATE ROLE name PASSWORD 'string'.

inheritance of privileges

В роли по умолчанию разрешено наследовать привилегии ролей, к которым она принадлежит. Однако, чтобы создать роль без этого разрешения, используйте CREATE ROLE name NOINHERIT.

bypassing row-level security

Роль должна явно получить разрешение на обход каждой политики безопасности на уровне строк (RLS) (за исключением суперпользователей, так как они обходят все проверки разрешений). Для создания такой роли используйте CREATE ROLE name BYPASSRLS в качестве суперпользователя.

connection limit

Ограничение на количество соединений может указывать, сколько одновременных соединений может установить роль. -1 (по умолчанию) означает отсутствие ограничения. Укажите ограничение на соединение при создании роли с помощью CREATE ROLE name CONNECTION LIMIT 'integer'.

Атрибуты роли могут быть изменены после создания с помощью команды ALTER ROLE. См. страницы справки для команд CREATE ROLE и ALTER ROLE для получения подробной информации.

Роль также может иметь специфичные для роли значения по умолчанию для многих настроек времени выполнения, описанных в Глава 19. Например, если по какой-то причине вы хотите отключить сканирование индексов (подсказка: не очень хорошая идея) каждый раз при подключении, вы можете использовать: 

ALTER ROLE myname SET enable_indexscan TO off;

Это сохранит настройку (но не применит ее немедленно). В последующих подключениях этой роли будет казаться, что была выполнена команда SET enable_indexscan TO off прямо перед началом сессии. Вы все равно можете изменить эту настройку во время сессии; она будет только по умолчанию. Чтобы удалить ролевую настройку по умолчанию, используйте команду ALTER ROLE rolename RESET varname. Обратите внимание, что ролевые настройки по умолчанию, привязанные к ролям без привилегии LOGIN, довольно бесполезны, так как они никогда не будут вызваны.

Назад Наверх Далее
21.1. Роли базы данных Начало 21.3. Членство в роли