Только роли, у которых есть атрибут LOGIN, могут быть использованы в качестве начального имени роли для подключения к базе данных. Роль с атрибутом LOGIN можно считать тем же самым, что и “пользователь базы данных”. Чтобы создать роль с привилегией на вход, используйте один из следующих способов:

CREATE ROLE name LOGIN;
CREATE USER name;

(CREATE USER эквивалентно CREATE ROLE, за исключением того, что CREATE USER по умолчанию включает LOGIN, в то время как CREATE ROLE - нет).

Суперпользователь базы данных обходит все проверки разрешений, за исключением права на вход в систему. Это опасное привилегированное положение и не следует использовать его небрежно; лучше выполнять большую часть работы от имени роли, которая не является суперпользователем. Чтобы создать нового суперпользователя базы данных, используйте CREATE ROLE name SUPERUSER. Вы должны выполнить это в роли, которая уже является суперпользователем.

Роли должны явно быть предоставлены разрешения на создание баз данных (за исключением суперпользователей, так как они обходят все проверки разрешений). Чтобы создать такую

Роли должны быть явно предоставлены разрешения на создание других ролей (за исключением суперпользователей, так как они обходят все проверки разрешений). Чтобы создать такую роль, используйте CREATE ROLE name CREATEROLE. Роль с привилегией CREATEROLE может изменять и удалять роли, которые были предоставлены пользователю CREATEROLE с опцией ADMIN. Такое предоставление происходит автоматически, когда пользователь CREATEROLE, который не является суперпользователем, создает новую роль, так что по умолчанию пользователь CREATEROLE может изменять и удалять роли, которые он создал. Изменение роли включает большинство изменений, которые можно сделать с помощью ALTER ROLE, включая, например, изменение паролей. Это также включает модификации роли, которые можно сделать с помощью команд COMMENT и SECURITY LABEL.

Однако, CREATEROLE не предоставляет возможность создавать роли SUPERUSER, и не дает никаких полномочий над уже существующими ролями SUPERUSER. Кроме того, CREATEROLE не дает возможности создавать пользователей с правами REPLICATION, а также не позволяет предоставлять или отзывать привилегии REPLICATION и изменять свойства ролей таких пользователей. Однако, оно позволяет использовать команды ALTER ROLE ... SET и ALTER ROLE ... RENAME для ролей REPLICATION, а также использовать команды COMMENT ON ROLE, SECURITY LABEL ON ROLE и DROP ROLE. Наконец, CREATEROLE не дает возможности предоставлять или отзывать привилегию BYPASSRLS.

Роли должны явно быть предоставлены разрешения на инициирование потоковой репликации (за исключением суперпользователей, так как они обходят все проверки разрешений). Роль, используемая для потоковой репликации, должна также иметь разрешение LOGIN. Чтобы создать такую роль, используйте CREATE ROLE name REPLICATION LOGIN.

Важность пароля возникает только в том случае, если метод аутентификации клиента требует от пользователя предоставить пароль при подключении к базе данных. Методы аутентификации password и md5 используют пароли. Пароли базы данных отличаются от паролей операционной системы. Укажите пароль при создании роли с помощью CREATE ROLE name PASSWORD 'string'.

Роль наследует привилегии ролей, членом которых она является, по умолчанию. Однако, чтобы создать роль, которая не наследует привилегии по умолчанию, используйте CREATE ROLE name NOINHERIT. Кроме того, наследование может быть переопределено для отдельных грантов, используя WITH INHERIT TRUE или WITH INHERIT FALSE.

Роль должна явно получить разрешение на обход каждой политики защиты на уровне строк (RLS) (за исключением суперпользователей, так как они обходят все проверки разрешений). Для создания такой роли используйте CREATE ROLE name BYPASSRLS в качестве суперпользователя.

Ограничение на количество соединений может указывать, сколько одновременных соединений может установить роль. -1 (по умолчанию) означает отсутствие ограничения. Укажите ограничение на соединение при создании роли с помощью CREATE ROLE name CONNECTION LIMIT 'integer'.