openGauss每日一练第19天 | 用户和角色管理

课程地址

课程学习

数据库中关于用户角色这部分有一个大家熟知的特性：三权分立，即从安全性考虑将系统管理的权限分离出安全管理员和审计管理员，这里暂时先不考虑三权分立这个特性，仅从user/role 开发运维层面进行整理。

官方文档
用户：使用CREATE USER和ALTER USER可以创建和管理数据库用户。openGauss包含一个或多个已命名数据库。用户和角色在整个openGauss范围内是共享的，但是其数据并不共享。即用户可以连接任何数据库，但当连接成功后，任何用户都只能访问连接请求里声明的那个数据库。

非三权分立下，openGauss用户帐户只能由系统管理员或拥有CREATEROLE属性的安全管理员创建和删除。三权分立时，用户帐户只能由初始用户和安全管理员创建。

角色：角色是一组用户的集合。通过GRANT把角色授予用户后，用户即具有了角色的所有权限。推荐使用角色进行高效权限分配。例如，可以为设计、开发和维护人员创建不同的角色，将角色GRANT给用户后，再向每个角色中的用户授予其工作所需数据的差异权限。在角色级别授予或撤消权限时，这些更改将作用到角色下的所有成员。

openGauss提供了一个隐式定义的拥有所有角色的组PUBLIC，所有创建的用户和角色默认拥有PUBLIC所拥有的权限。关于PUBLIC默认拥有的权限请参考GRANT。要撤销或重新授予用户和角色对PUBLIC的权限，可通过在GRANT和REVOKE指定关键字PUBLIC实现。

要查看所有角色，请查询系统表PG_ROLES：

课程作业

1、创建test10_tbs的表空间，在这个表空间中创建数据库testdb10

CREATE TABLESPACE test10_tbs RELATIVE LOCATION 'tablespace/test10_tbs1';
CREATE DATABASE testdb10 WITH TABLESPACE = test10_tbs;

2、使用create user创建用户user10，登录数据库testdb10，创建测试表t1和t2

--创建一个名叫user10的数据库用户，其密码为kunpeng@1234，并将数据库testdb10所有的权限都授予用户user10：
 CREATE USER user10 IDENTIFIED BY 'kunpeng@1234';
 GRANT ALL ON DATABASE testdb10 TO user10;

\q
gsql -r -d testdb10 -U user10

create schema user10;
create table t1 (col1 int, col2 char(10));
create table t2 (col1 int, col2 char(10));
\q

3、使用create role创建角色role10，登录数据库testdb10

gsql -r 
--创建一个新的名叫role10的角色，并将数据库testdb所有的权限都授予用户role10：
角色role10对数据库testdb10具有的权限和用户user1一模一样。
  CREATE ROLE role10 IDENTIFIED BY 'kunpeng@1234';
  GRANT ALL ON DATABASE testdb10 TO role10;
\du
--原因：由于数据库用户role10是使用create role语句创建的，目前还不被允许登录到openGauss数据库管理系统。
alter user role10 LOGIN;
\du
\q
 gsql -d testdb10  -U role10  -W kunpeng@1234 -r

4、将表t1直接删除，将前面创建的表空间和数据库、表t2转给role10，删除用户user10

-- 由于用户user10名下有数据库testdb10，以及表空间、表，需要转给role10后才能删除
alter database testdb10 owner to role10;
alter tablespace test10_tbs owner to role10;

--回收用户user10对testdb10数据库的权限：
 REVOKE ALL ON DATABASE testdb10 FROM user10;

--在testdb中属于用户user10的数据库对象的处理方法可以是：假如该对象还有用，可以将该对象转移给其他用户；假如该对象没有用，可以直接删除掉该对象
                      
--假设表t1已经没有用了，我们可以删除表t1：
\c testdb10 user10
 drop table t1;

--假设表t2还有用将表t2转移给用户user1：
REASSIGN OWNED BY user10 to role10;

drop user if exists user10;

5、最后删除role10

删除role10，需要将role10下的testdb10、test10_tbs转移或者删除

drop role if exists role10;
drop database if exists testdb10;
drop tablespace if exists test10_tbs;
drop role if exists role10;