Redrock Postgres 搜索 英文
版本: 9.3 / 9.4 / 9.5 / 9.6 / 10 / 11 / 12 / 13 / 14 / 15 / 16

createuser

createuser — 定义新的 PostgreSQL 用户帐户

概要

createuser [connection-option...] [option...] [username]

描述

createuser 创建新的 PostgreSQL 用户(或更确切地说,一个角色)。只有超级用户和具有 CREATEROLE 权限的用户才能创建新用户,因此 createuser 必须由能够以超级用户或具有 CREATEROLE 权限的用户身份连接的人员调用。

如果您希望使用 SUPERUSERREPLICATIONBYPASSRLS 权限创建角色,则必须以超级用户身份连接,而不仅仅是具有 CREATEROLE 权限。成为超级用户意味着能够绕过数据库中的所有访问权限检查,因此不应轻易授予超级用户访问权限。 CREATEROLE 还传达了 非常广泛的权限

createuserSQL 命令 CREATE ROLE 的一个包装器。通过此实用程序创建用户与通过其他方法访问服务器创建用户之间没有实际区别。

选项

createuser 接受以下命令行参数

username

指定要创建的 PostgreSQL 用户的名称。此名称必须不同于此 PostgreSQL 安装中的所有现有角色。

-a role
--with-admin=role

指定一个现有角色,该角色将自动作为具有管理员选项的新角色的成员添加,从而赋予它向其他人授予新角色成员资格的权利。可以通过编写多个 -a 开关来指定多个现有角色。

-c number
--connection-limit=number

为新用户设置最大连接数。默认情况下不设置限制。

-d
--createdb

新用户将被允许创建数据库。

-D
--no-createdb

新用户将不被允许创建数据库。这是默认设置。

-e
--echo

回显 createuser 生成的并发送到服务器的命令。

-E
--encrypted

此选项已过时,但仍出于向后兼容性而被接受。

-g role
--member-of=role
--role=role(已弃用)

指定新角色应自动添加为指定现有角色的成员。可以通过编写多个 -g 开关来指定多个现有角色。

-i
--inherit

新角色将自动继承其作为成员的角色的特权。这是默认设置。

-I
--no-inherit

新角色将不会自动继承其作为成员的角色的特权。

--interactive

如果在命令行上未指定用户名,则提示输入用户名,并且提示输入命令行上未指定的 -d/-D-r/-R-s/-S 中的任何一个选项。(这是 PostgreSQL 9.1 之前的默认行为。)

-l
--login

新用户将被允许登录(即,用户名可以用作初始会话用户标识符)。这是默认设置。

-L
--no-login

新用户将不被允许登录。(没有登录权限的角色仍然可用作管理数据库权限的一种方式。)

-m role
--with-member=role

指定一个现有角色,该角色将自动添加为新角色的成员。可以通过编写多个 -m 开关来指定多个现有角色。

-P
--pwprompt

如果给出,createuser 将提示输入新用户的密码。如果您不打算使用密码认证,则无需此操作。

-r
--createrole

新用户将被允许创建、修改、删除、注释、更改其他角色的安全标签;也就是说,此用户将拥有 CREATEROLE 权限。有关此权限授予哪些功能的更多详细信息,请参见 角色创建

-R
--no-createrole

新用户将不被允许创建新角色。这是默认设置。

-s
--superuser

新用户将是超级用户。

-S
--no-superuser

新用户将不是超级用户。这是默认设置。

-v timestamp
--valid-until=timestamp

设置一个日期和时间,在此之后角色的密码将不再有效。默认情况下,不设置密码到期日期。

-V
--version

打印 createuser 版本并退出。

--bypassrls

新用户将绕过每项行级安全 (RLS) 策略。

--no-bypassrls

新用户将不会绕过行级安全 (RLS) 策略。这是默认设置。

--replication

新用户将拥有 REPLICATION 权限,该权限在 CREATE ROLE 文档中进行了更全面的描述。

--no-replication

新用户将不会拥有 REPLICATION 权限,该权限在 CREATE ROLE 文档中进行了更全面的描述。这是默认设置。

-?
--help

显示有关 createuser 命令行参数的帮助,并退出。

createuser 还接受以下命令行参数作为连接参数

-h host
--host=host

指定服务器运行所在机器的主机名。如果该值以斜杠开头,则将其用作 Unix 域套接字的目录。

-p port
--port=port

指定服务器侦听连接的 TCP 端口或本地 Unix 域套接字文件扩展名。

-U username
--username=username

连接时使用的用户名(不是要创建的用户名)。

-w
--no-password

从不发出密码提示。如果服务器需要密码认证,并且无法通过其他方式(例如 .pgpass 文件)获得密码,则连接尝试将失败。此选项在没有用户输入密码的批处理作业和脚本中很有用。

-W
--password

强制 createuser 提示输入密码(用于连接到服务器,而不是新用户的密码)。

此选项永远不是必需的,因为如果服务器要求密码认证,createuser 将自动提示输入密码。但是,createuser 会浪费一次连接尝试来找出服务器是否需要密码。在某些情况下,值得键入 -W 以避免额外的连接尝试。

环境

PGHOST
PGPORT
PGUSER

默认连接参数

PG_COLOR

指定是否在诊断消息中使用颜色。可能的值为 alwaysautonever

此实用程序与大多数其他 PostgreSQL 实用程序一样,也使用 libpq 支持的环境变量(请参见 第 34.15 节)。

诊断

如果遇到困难,请参阅 CREATE ROLEpsql 以了解潜在问题和错误消息的讨论。数据库服务器必须在目标主机上运行。此外,libpq 前端库使用的任何默认连接设置和环境变量都将适用。

示例

在默认数据库服务器上创建用户 joe

$ createuser joe

在默认数据库服务器上创建用户 joe,并提示输入一些其他属性

$ createuser --interactive joe
Shall the new role be a superuser? (y/n) n
Shall the new role be allowed to create databases? (y/n) n
Shall the new role be allowed to create more new roles? (y/n) n

使用主机 eden、端口 5000 上的服务器创建相同用户 joe,并显式指定属性,查看基础命令

$ createuser -h eden -p 5000 -S -D -R -e joe
CREATE ROLE joe NOSUPERUSER NOCREATEDB NOCREATEROLE INHERIT LOGIN;

创建用户 joe 作为超级用户,并立即分配密码

$ createuser -P -s -e joe
Enter password for new role: xyzzy
Enter it again: xyzzy
CREATE ROLE joe PASSWORD 'md5b5f5ba1a423792b526f799ae4eb3d59e' SUPERUSER CREATEDB CREATEROLE INHERIT LOGIN;

在上述示例中,输入新密码时实际上不会回显,但为了清楚起见,我们显示了输入的内容。如您所见,密码在发送到客户端之前已加密。

另请参阅

dropuserCREATE ROLEcreaterole_self_grant