使用 CREATE ROLE 语句声明并注册新的角色。
该语句是 SQL ANSI/ISO 标准的扩展。
CREATE ROLE 创建一个新角色并在系统目录中注册。角色可以用来将数据库对象上的一组权限标识符和一组访问特权相关联。系统目录维护被授权给用户或其它角色的角色(以及他们相应的特权)的信息。
只有数据库管理员(DBA)可以使用 CREATE ROLE 创建一个新角色。DBA 可以将完成某些工作任务所需的特权(如 engineer )指定给某个角色,然后可以使用 GRANT 语句将该角色指定给某个特定的用户,而不是将相同的特权集授权给每个用户。
角色名称是权限标识符。它不能是对数据库服务器或对数据库服务器的操作系统已知的用户名。角色名称不能已经列在 sysusers 系统目录表的 username 列,也不能已经列在 systabauth 、syscolauth 、sysfragauth 、sysprocauth 或 sysroleauth 系统目录表的 grantor 或 grantee 列中。
角色名称不能与已经列在 sysxtdtypeauth 系统目录表的 grantor 或 grantee 列中的任何用户或角色名称匹配,也不能与任何内置角色( EXTEND 或 DBSECADM )匹配。
如果包含了 IF NOT EXISTS 关键字,则当指定名称的角色已经在当前数据库中注册时,数据库服务器不采取操作(而非向应用程序发生异常)。
创建角色之后,DBA 可以使用 GRANT 语句将该角色指定给 PUBLIC 、用户、或其它角色,并授予该角色特定的特权。(然而,角色不能持有数据库级别特权。) 角色被成功授权到用户或 PUBLIC 后,用户必须使用 SET ROLE 语句来启用该角色。只有那样用户才能使用角色的特权。
CREATE ROLE engineer;
GRANT USAGE ON LANGUAGE SPL TO engineer;
GRANT engineer TO kaycee;
SET ROLE engineer;
如果该 SET ROLE 语句成功,则用户kaycee 将获得除了 kaycee 作为个人或作为 PUBLIC 已经持有的特权意外的授权给角色 engineer 的所有特权。
一个用户可以被授予多个角色,但是在某一时刻对任一用户只能启用一个非缺省的角色,此角色由 SET ROLE 指定。
需要 SET ROLE 来显式地启用角色的一个例外是 DBA 在 GRANT DEFAULT ROLE role TO user 语句中指定的任何缺省角色。如果此语句执行成功,则当 user 连接到数据库时,缺省角色自动被启用。任何角色都可以作为缺省角色。(类似的, GBase 8s DBSA 授予 EXTEND 角色的用户不需要执行 SET ROLE 就能创建和删除外部例程和共享库。)
CREATE ROLE 当与 GRANT 和 SET ROLE 语句一起使用时,允许 DBA 为角色创建一组特权,然后将角色授权给许多用户,而不是将同一特权集合逐一授权给许多用户。
使用 GRANT DEFAULT ROLE 和 SET ROLE DEFAULT 语句,default roles 使 DBA 可以为角色创建特权,该角色在任何持有那个角色的用户连接到数据库时将自动激活。当应用程序执行需要特定访问权限的操作时,此功能很有用,但是应用程序并不包括 SET ROLE 语句。
REVOKE 语句可以取消角色的访问特权,从角色中除去用户,或为一个或多个用户取消角色的缺省状态。角色保持存在直到 DBA 或者使用 WITH GRANT OPTION 关键字授权其角色的用户使用 DROP ROLE 语句来删除角色。