KingbaseES系统权限介绍

系统权限是执行特定操作的权限。这些权限包括：CREATE DATABASE、CREATE USER、CREATE ROLE 的权限等，KingbaseES的特权如下所示：

1、SUPERUSER NOSUPERUSER

这些子句决定新角色是否是一个“超级用户”，它可以越过数据库内的所有访问限制。超级用户状态很危险并且只应该在确实需要时才用。要创建一个新超级用户，你必须自己是一个超级用户。如果没有指定，默认值是NOSUPERUSER。

2、CREATEDB NOCREATEDB

这些子句定义一个角色创建数据库的能力。如果指定了CREATEDB，被定义的角色将被允许创建新的数据库。指定NOCREATEDB 将否定一个角色创建数据库的能力。如果没有指定，默认值是NOCREATEDB。

3、CREATEROLE NOCREATEROLE

这些子句决定一个角色是否被允许创建新的角色（也就是执行CREATE ROLE）。一个带有CREATEROLE特权的角色也能修改和删除其他角色。如果没有指定，默认值是NOCREATEROLE。

4、INHERIT NOINHERIT

如果新的角色是其他角色的成员，这些子句决定新角色是否从那些角色中“继承”特权，把新角色作为成员的角色称为新角色的父角色。一个带有INHERIT 属性的角色能够自动使用已经被授予给其直接或间接父角色的任何数据库特权。如果没有INHERIT，在另一个角色中的成员关系只会把SET ROLE 的能力授予给那个其他角色，只有在这样做后那个其他角色的特权才可用。如果没有指定，默认值是INHERIT。

5、LOGIN NOLOGIN

这些子句决定一个角色是否被允许登录，也就是在客户端连接期间该角色是否能被给定为初始会话认证名称。一个具有LOGIN 属性的角色可以被考虑为一个用户。没有这个属性的角色对于管理数据库特权很有用，但是却不是用户这个词的通常意义。如果没有指定，默认值是NOLOGIN， 不过当CREATE ROLE 被通过CREATE USER 调用时默认值会是LOGIN。

6、REPLICATION NOREPLICATION

这些子句决定一个角色是否为复制角色。角色必须具有这个属性（或者成为一个超级用户）才能以复制模式（物理复制或者逻辑复制）连接到服务器以及创建或者删除复制槽。一个具有REPLICATION 属性的角色是一个具有非常高特权的角色，并且只应被用于确实需要复制的角色上。如果没有指定，默认值是 NOREPLICATION。

7、BYPASSRLS NOBYPASSRLS

这些子句决定是否一个角色可以绕过每一条行级安全性（RLS）策略。默认是 NOBYPASSRLS。注意 sys_dump 将默认把 row_security 设置为 OFF，以确保一个表的所有内容被转储出来。如果运行 sys_dump 的用户不具有适当的权限，将会返回一个错误。超级用户和被转储表的拥有者总是可以绕过 RLS。

限制系统特权 ：由于系统特权非常强大，创建用户是默认只拥有LOGIN权限。LOGIN、SUPERUSER、CREATEDB和CREATEROLE等特权被认为是一种特殊权限，但是它们从来不会像数据库对象上的普通权限那样被继承。要使用这些属性，你必须使用SET ROLE到一个有这些属性之一的特定角色。

系统特权的授予和撤销 ：可以在创建用户的时候指定特权，或者使用alter语句修改用户特权，例如，向test授予CREATEDB特权：Alter user test createdb ;然后又撤销：Alter user test nocreatedb ;。

只有两种类型的用户可以向其他用户授予系统权限或撤销这些权限

1、被授予特定系统特权的用户

2、具有超级权限的用户