CREATE ROLE
Создает роли. Роль — это набор привилегий. Пользователь, которому назначена роль, получает все привилегии этой роли.
Синтаксис:
CREATE ROLE [IF NOT EXISTS | OR REPLACE] name1 [, name2 [,...]] [ON CLUSTER cluster_name]
[IN access_storage_type]
[SETTINGS variable [= value] [MIN [=] min_value] [MAX [=] max_value] [CONST|READONLY|WRITABLE|CHANGEABLE_IN_READONLY] | PROFILE 'profile_name'] [,...]
Управление ролями
Одному пользователю можно назначить несколько ролей. Пользователи могут применять назначенные роли в произвольных комбинациях с помощью выражения SET ROLE. Конечный объем привилегий — это комбинация всех привилегий всех примененных ролей. Если у пользователя имеются привилегии, присвоенные его аккаунту напрямую, они также прибавляются к привилегиям, присвоенным через роли.
Роли по умолчанию применяются при входе пользователя в систему. Установить роли по умолчанию можно с помощью выражений SET DEFAULT ROLE или ALTER USER.
Для отзыва роли используется выражение REVOKE.
Для удаления роли используется выражение DROP ROLE. Удаленная роль автоматически отзывается у всех пользователей, которым была назначена.
Примеры
CREATE ROLE accountant;
GRANT SELECT ON db.* TO accountant;
Такая последовательность запросов создаст роль accountant
, у которой есть привилегия на чтение из базы данных accounting
.
Назначить роль accountant
аккаунту mira
:
GRANT accountant TO mira;
После назначения роли пользователь может ее применить и выполнять разрешенные ей запросы. Например:
SET ROLE accountant;
SELECT * FROM db.*;