DCL

(Data Control Language)：数据控制语言，用来定义访问权限和安全级别。

USER

SHOW USERS

所需权限

查看所有的用户，需要admin权限。

语法图

ShowUserStmt

展示用户

show users;

CREATE USER

CREATE USER 语句创建库用户，使你可以控制数据库的表的权限。

事项说明

角色名:

• 不区分大小写

• 必须以字母或下划线开头

• 必须仅包含字母，数字或下划线

• 必须介于1到63个字符之间

• 创建用户后，必须授予他们对数据库和表的权限

• 在secure集群上，你必须为用户创建客户端证书，并且用户必须验证其对集群的访问权限

所需权限

用户必须在 system.users 表上具有insert和update权限

语法图

CreateUserStmt

参数介绍

创建用户(不含密码，不判断用户是否存在)

create user beagledata;

创建用户(包含密码，不判断用户是否存在)

create user beagledata with password 'beagledatapwd';

创建用户(包含密码，并判断用户是否存在)

create user if not exists beagledata with password 'beagledatapwd';

创建后需要赋予权限(否则后期无法进行密码更新)

grant admin to beagledata with admin option;

DROP USER

所需权限

用户必须拥有system.users表的delete权限。

用户被删除前，必须删除该用户的所有权限。

语法图

DropUserStmt

参数介绍

展示针对单个表的权限

show grants on hubble.orders for beagledata;

+--------+------------+------------+
| Table  |     User   | Privileges |
+--------+------------+------------+
| orders | beagledata | CREATE     |
| orders | beagledata | INSERT     |
| orders | beagledata | UPDATE     |
+--------+------------+------------+
(3 rows)

展示针对用户的所有权限：

show grants for beagledata;

回收表的权限（被收回的权限需是显式授权给用户的权限）：

revoke create,insert,update on hubble.orders from beagledata;

删除用户（当用户显式授权未全部收回时，无法删除用户）：

drop user beagledata;

ALTER USER

该ALTER USER语句可用于添加、更改或删除用户的密码以及更改用户的角色选项

所需权限

• 仅在非root用户的secure集群中支持密码创建和更改
• 用户需要对system.users表有INSERT和UPDATE权限

语法图

AlterUserStmt

参数介绍

修改密码示例

alter user beagledata with password "password123";

ROLE

该SHOW ROLES语句列出了所有数据库的角色

SHOW ROLES

查看所有数据库上的角色，需要admin权限。

语法图

ShowRoleStmt

展示角色语句

show roles;

CREATE ROLE

CREATE ROLE语句创建SQL角色

所需权限

创建一个角色，需要超管或admin权限，root用户默认是admin权限。

语法图

CreateRoleStmt
IfNotExists
RoleSpec

参数介绍

创建角色示例

create role uat;

DROP ROLE

该DROP ROLE语句删除一个或多个角色

事项说明

• 该admin角色不能被删除，并且root必须始终是 的成员admin。
• 如果角色具有特权，则不能删除它。用于REVOKE删除权限。
• 拥有对象（如数据库、表、模式和类型）的角色在所有权转移给另一个角色之前不能被删除。

所需权限

删除一个角色，需要admin权限。

语法图

DropRoleStmt
RolenameList

参数介绍

删除示例：

drop role uat;

PRIVILEGE

显示权限授予

使用以下语法显示授予用户对数据库对象的权限，DATABASE省略时，将列出当前数据库中的模式、表和类型

show grants [ON [DATABASE | SCHEMA | TABLE | TYPE] <targets...>] [FOR <users...>]

显示角色授权

使用以下语法显示集群中用户的角色授予

show grants  on role [<roles...>] [FOR <users...>]

SHOW GRANTS

列出所有数据库对象的权限信息。

show grants ;

列出角色是admin的用户。

show grants on role admin;

列出admin角色的权限信息。

show grants for admin;

列出某个数据库的权限信息。

show grants on database my_hubble_database;

列出beagledata用户在数据库my_hubble_database的权限信息。

show grants on database my_hubble_database for beagledata;

列出某张表的权限信息。

show grants on table my_hubble_table;

GRANT

用于添加一个角色或者角色中的一个用户。

所需权限

授予角色成员资格的用户必须是角色管理员或者是admin角色的成员

• 用户 和 角色 可以作为角色成员 。
• root 用户会自动作为 admin 角色 且对所有数据库拥有 ALL 权限。
• 角色成员会自动继承其角色的所有权限。

GRANT用于控制每一个角色或者用户和指定数据库或数据表上拥有的sql权限，对于指定语句所需要的权限，请查看各自相关sql语句的文档。

支持的权限如下：

语法图

GrantStmt
PrivElemList
PrivElem
PrivType
ObjectType
UserSpecList

参数介绍

给用户授予数据库的权限

grant create on database hubbletest to beagledata;

show  grants on database hubbletest;

给角色授予数据库的权限

grant create on database hubbletest to uat;

show  grants for uat;

给用户授予表的权限

grant delete  on table hubbletest.orders to beagledata;

show  grants  on table hubbletest.orders;

REVOKE

该REVOKE语句撤销用户和或角色的权限。

所需权限

• 要撤消权限，撤消权限的用户必须GRANT对目标数据库、模式、表或用户定义类型具有权限。除了GRANT特权之外，撤销特权的用户还必须对目标对象具有被撤销的特权。例如，一个用户将SELECT一个表的权限撤销给另一个用户，就必须拥有该表的GRANT和SELECT权限。

• 要撤销角色成员资格，撤销角色成员资格的用户必须是角色管理员（即，带有 的成员WITH ADMIN OPTION）或admin角色成员。要删除admin角色的成员资格，用户必须拥有WITH ADMIN OPTION该admin角色。

支持的权限如下：

语法图

RevokeStmt
PrivElemList
PrivElem
PrivType
ObjectType
UserSpecList

参数介绍

回收用户的数据库的权限

revoke create on database hubbletest from beagledata;

show grants on database hubbletest;

回收给角色的数据库的权限

revoke create on database hubbletest from uat;

show grants on database hubbletest for uat;

回收给用户授予的表的权限

revoke delete on table hubbletest.orders from beagledata;

show grants on table hubbletest.orders;