GBase8s数据库CREATE ROLE 语句

使用 CREATE ROLE 语句声明并注册新的角色。

该语句是 SQL ANSI/ISO 标准的扩展。

用法

CREATE ROLE 创建一个新角色并在系统目录中注册。角色可以用来将数据库对象上的一组权限标

识符和一组访问特权相关联。系统目录维护被授权给用户或其它角色的角色（以及他们相应的特

权）的信息。

只有数据库管理员（DBA）可以使用 CREATE ROLE 创建一个新角色。DBA 可以将完成某些工

作任务所需的特权（如 engineer ）指定给某个角色，然后可以使用 GRANT 语句将该角色指定给

某个特定的用户，而不是将相同的特权集授权给每个用户。

角色名称是权限标识符。它不能是对数据库服务器或对数据库服务器的操作系统已知的用户名。角

色名称不能已经列在 sysusers 系统目录表的 username 列，也不能已经列在 systabauth 、

syscolauth 、sysfragauth 、sysprocauth 或 sysroleauth 系统目录表的 grantor 或 grantee 列

中。

角色名称不能与已经列在 sysxtdtypeauth 系统目录表的 grantor 或 grantee 列中的任何用户或角

色名称匹配，也不能与任何内置角色（

EXTEND 或 DBSECADM ）匹配。

如果包含了 IF NOT EXISTS 关键字，则当指定名称的角色已经在当前数据库中注册时，数据库服

务器不采取操作（而非向应用程序发生异常）。

创建角色之后，DBA 可以使用 GRANT 语句将该角色指定给 PUBLIC 、用户、或其它角色，并

授予该角色特定的特权。（然而，角色不能持有数据库级别特权。） 角色被成功授权到用户或

PUBLIC 后，用户必须使用 SET ROLE 语句来启用该角色。只有那样用户才能使用角色的特权。

例如，要创建角色 engineer ，请输入以下语句：

CREATE ROLE engineer;

要将访问特权授予角色 engineer ，DBA 可以发出在被授予者列表中包括 engineer 的 GRANT

语句：

GRANT USAGE ON LANGUAGE SPL TO engineer;

要将角色 engineer 指定给用户 kaycee ，DBA 可以发出这样的语句：

GRANT engineer TO kaycee;

要激活角色 engineer ，用户 kaycee 必须发出以下的语句：

SET ROLE engineer;

如果该 SET ROLE 语句成功，则用户 kaycee 将获得除了 kaycee 作为个人或作为 PUBLIC 已经

持有的特权意外的授权给角色 engineer 的所有特权。

一个用户可以被授予多个角色，但是在某一时刻对任一用户只能启用一个非缺省的角色，此角色由

SET ROLE 指定。

需要 SET ROLE 来显式地启用角色的一个例外是 DBA 在 GRANT DEFAULT ROLE role TO user

语句中指定的任何缺省角色。如果此语句执行成功，则当 user 连接到数据库时，缺省角色自动被

启用。任何角色都可以作为缺省角色。（类似的， GBase 8s DBSA 授予 EXTEND 角色的用户不

需要执行 SET ROLE 就能创建和删除外部例程和共享库。）

CREATE ROLE 当与 GRANT 和 SET ROLE 语句一起使用时，允许 DBA 为角色创建一组特

权，然后将角色授权给许多用户，而不是将同一特权集合逐一授权给许多用户。

使用 GRANT DEFAULT ROLE 和 SET ROLE DEFAULT 语句，default roles 使 DBA 可以为角色

创建特权，该角色在任何持有那个角色的用户连接到数据库时将自动激活。当应用程序执行需要特

定访问权限的操作时，此功能很有用，但是应用程序并不包括 SET ROLE 语句。

REVOKE 语句可以取消角色的访问特权，从角色中除去用户，或为一个或多个用户取消角色的缺

省状态。角色保持存在直到 DBA 或者使用 WITH GRANT OPTION 关键字授权其角色的用户使用

DROP ROLE 语句来删除角色。

重要： 用户定义角色（GRANT 语句分配给该角色的自由裁量存取权限）的范围是当前数据库。当

GRANT DEFAULT ROLE 或者 SET ROLE 语句激活角色时，该角色和它的特权只在当前数据库中生

效。作为安全防范措施，用户从角色接收自由访问特权不能通过视图或触发器操作提供当前数据库

之外的访问。