操作

注意

固定数据库角色

操作

数据库角色从概念上与操作系统用户是完全无关的。 在实际使用中把它们对应起来可能比较方便，但不是必须的。 数据库角色在整个数据库集群中是全局的（而不是每个库不同）。 要创建一个角色，使用 SQL 命令 CREATE ROLE：

CREATE ROLE name; name 遵循 SQL 标识的规则： 要么完全没有特殊字符，要么用双引号包围（实际上你通常会给命令增加额外的选项，比如 LOGIN）。 要删除一个现有角色，使用类似的命令 DROP ROLE：

DROP ROLE name; 为了方便，程序 createuser 和 dropuser 提供了对了这些 SQL 命令的封装。 我们可以在 shell 命令上直接调用它们：

createuser name dropuser name 要判断一套现有用户，检查 pg_role 系统表，比如

SELECT usename FROM pg_role; psql 的元命令 \\du 也可以用于列出现有角色。

注意

为了能初创数据库系统，新建立的数据库总是包含一个预定义的角色。 这个角色将总是"超级用户"， 并且缺省时（除非在运行 initdb 时更改过）他将和初始化该数据库集群的用户有相同的名称。 通常，这个角色叫postgres。 为了创建更多角色，你必须首先以这个初始用户角色联接。

每一个和数据库的连接都必须由一个角色身份进行， 这个角色决定在该连接上发出的命令的初始权限。 和特定数据库联接的角色名是由初始化联接请求的应用以相关的方式声明的， 比如，psql 程序使用-U命令行选项声明它代表的进行联接的角色。 许多应用以当前操作系统的用户名为缺省（这样的应用包括 createuser 和 psql）。 所以，在系统用户和数据库角色之间有某种命名关系会让我们工作方便很多。

一个客户端联接可以用来联接的数据库角色集合是由客户认证设置决定的， （因此，一个客户端并不局限于以它的操作系统用户同名的角色进行联接， 就象你登录系统的名称不一定要是你的真实姓名一样。） 因为角色的身份决定了一个已连接地客户端可用的权限， 所以在多用户环境里仔细配置这些内容是非常重要的。

固定数据库角色

db_owner 在数据库中有全部权限。

db_accessadmin 可以添加或删除用户 ID。

db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。

db_ddladmin 可以发出 ALL DDL，但不能发出 GRANT、REVOKE 或 DENY 语句。

db_backupoperator 可以发出 DBCC、CHECKPOINT 和 BACKUP 语句。

db_datareader 可以选择数据库内任何用户表中的所有数据。

db_datawriter 可以更改数据库内任何用户表中的所有数据。

db_denydatareader 不能选择数据库内任何用户表中的任何数据。

db_denydatawriter 不能更改数据库内任何用户表中的任何数据。