It is frequently convenient to group users together to ease management of privileges: that way, privileges can be granted to, or revoked from, a group as a whole. In <productname>PostgreSQL</productname> this is done by creating a role that represents the group, and then granting <firstterm>membership</firstterm> in the group role to individual user roles. 権限の管理を簡単にするために、ユーザをグループにまとめることはしばしば便利です。 グループ全体に対して権限を与えることも、取り消すこともできます。 PostgreSQLでは、グループを表すロールを作成することで行われます。 そして、そのグループロールに個々のユーザロールのメンバ資格を与えます。

To set up a group role, first create the role: グループロールを設定するには、まずロールを作成します。

CREATE ROLE name;

Typically a role being used as a group would not have the <literal>LOGIN</literal> attribute, though you can set it if you wish. 通常、グループとして使用されるロールにはLOGIN属性を持たせません。 しかし、そうしたければ持たせることもできます。

Once the group role exists, you can add and remove members using the <link linkend="sql-grant"><command>GRANT</command></link> and <link linkend="sql-revoke"><command>REVOKE</command></link> commands: グループロールをいったん作成すれば、GRANTおよびREVOKEコマンドを使用してメンバの追加と削除を行うことができます。

GRANT group_role TO role1, ... ;
REVOKE group_role FROM role1, ... ;

You can grant membership to other group roles, too (since there isn't really any distinction between group roles and non-group roles). The database will not let you set up circular membership loops. Also, it is not permitted to grant membership in a role to <literal>PUBLIC</literal>. 他のグループロールへのメンバ資格を与えることもできます。 （グループロールと非グループロールとの間には実際には区別がないからです。） データベースはグループのメンバ資格がループし、循環するような設定はさせません。 また、ロール内のメンバ資格をPUBLICに付与することはできません。

The members of a group role can use the privileges of the role in two ways. First, member roles that have been granted membership with the <literal>SET</literal> option can do <link linkend="sql-set-role"><command>SET ROLE</command></link> to temporarily <quote>become</quote> the group role. In this state, the database session has access to the privileges of the group role rather than the original login role, and any database objects created are considered owned by the group role not the login role. Second, member roles that have been granted membership with the <literal>INHERIT</literal> option automatically have use of the privileges of those directly or indirectly a member of, though the chain stops at memberships lacking the inherit option. As an example, suppose we have done: グループロールのメンバは、2つの方法でロールの権限を使用できます。 1つ目として、メンバ資格がSETオプションで付与されたメンバロールは、SETオプションを使用して、一時的にグループロール「になる」ことができます。 この状態では、データベースセッションは、元のログインロールではなくグループロールの権限にアクセスでき、作成されたデータベースオブジェクトは、ログインロールではなくグループロールによって所有されているとみなされます。 2つ目として、INHERITオプションでメンバ資格が付与されたメンバロールは、直接的または間接的にメンバであるメンバの権限を自動的に使用できます。ただし、この連鎖は継承オプションを持たないメンバ資格で停止します。 例えば、以下の状態を想定します。

CREATE ROLE joe LOGIN;
CREATE ROLE admin;
CREATE ROLE wheel;
CREATE ROLE island;
GRANT admin TO joe WITH INHERIT TRUE;
GRANT wheel TO admin WITH INHERIT FALSE;
GRANT island TO joe WITH INHERIT TRUE, SET FALSE;

Immediately after connecting as role <literal>joe</literal>, a database session will have use of privileges granted directly to <literal>joe</literal> plus any privileges granted to <literal>admin</literal> and <literal>island</literal>, because <literal>joe</literal> <quote>inherits</quote> those privileges. However, privileges granted to <literal>wheel</literal> are not available, because even though <literal>joe</literal> is indirectly a member of <literal>wheel</literal>, the membership is via <literal>admin</literal> which was granted using <literal>WITH INHERIT FALSE</literal>. After: ロールjoeとして接続した直後、データベースはjoeに直接付与された権限に加えて、adminとislandに付与された権限を「継承」するため、これらの権限を使用できます。 ただし、wheelに付与された権限は使用できません。これは、joeが間接的にwheelのメンバであるにもかかわらず、メンバシップはadminを介して付与され、WITH INHERIT FALSEを使用して付与されたためです。

SET ROLE admin;

the session would have use of only those privileges granted to <literal>admin</literal>, and not those granted to <literal>joe</literal> or <literal>island</literal>. After: を行った後、セッションは、adminに付与された権限のみを使用し、joeやislandに付与された権限は使用しません。

SET ROLE wheel;

the session would have use of only those privileges granted to <literal>wheel</literal>, and not those granted to either <literal>joe</literal> or <literal>admin</literal>. The original privilege state can be restored with any of: を行った後、セッションはwheelに与えられた権限のみを使用できるようになり、joeやadminに与えられた権限は使用できなくなります。 元の状態の権限に戻すには、以下のいずれかを行います。

SET ROLE joe;
SET ROLE NONE;
RESET ROLE;

The role attributes <literal>LOGIN</literal>, <literal>SUPERUSER</literal>, <literal>CREATEDB</literal>, and <literal>CREATEROLE</literal> can be thought of as special privileges, but they are never inherited as ordinary privileges on database objects are. You must actually <command>SET ROLE</command> to a specific role having one of these attributes in order to make use of the attribute. Continuing the above example, we might choose to grant <literal>CREATEDB</literal> and <literal>CREATEROLE</literal> to the <literal>admin</literal> role. Then a session connecting as role <literal>joe</literal> would not have these privileges immediately, only after doing <command>SET ROLE admin</command>. LOGIN、SUPERUSER、CREATEDB、およびCREATEROLEロール属性は、特別な権限とみなすことができますが、データベースオブジェクトに対する通常の権限のように継承されません。 こうした属性の1つを使用できるようにするためには、その属性を特定のロールに設定するように実際にSET ROLEを行う必要があります。 上の例を続けると、adminロールにCREATEDB権限とCREATEROLE権限を付与することを選ぶことができます。 こうすると、joeロールとして接続するセッションでは、すぐさまこれらの権限を持ちません。 SET ROLE adminを行った後で、この権限を持ちます。

To destroy a group role, use <link linkend="sql-droprole"><command>DROP ROLE</command></link>: グループロールを削除するには、DROP ROLEを使用してください。

DROP ROLE name;

Any memberships in the group role are automatically revoked (but the member roles are not otherwise affected). グループロール内のメンバ資格も自動的に取り上げられます。 （しかし、メンバロールには何も影響ありません。）