华为云用户手册

查看GUC参数 GaussDB (DWS)的GUC参数影响数据库的系统行为，用户可根据业务场景和数据量查看并调整GUC参数取值。 查看GUC参数方式一：集群创建成功后，用户可在GaussDB(DWS) 管理控制台上查看常用的数据库参数。 查看GUC参数方式二：成功连接集群后，通过SQL命令的方式查看数据库GUC参数。 使用SHOW命令。 使用如下命令查看单个参数： 1 SHOW server_version; server_version显示数据库版本信息的参数。 使用如下命令查看所有参数： 1 SHOW ALL; 使用pg_settings视图。 使用如下命令查看单个参数： 1 SELECT * FROM pg_settings WHERE NAME='server_version'; 使用如下命令查看所有参数： 1 SELECT * FROM pg_settings; 父主题： GUC参数

使用压缩 表压缩可以在创建表时开启，压缩表能够使表中的数据以压缩格式存储，意味着占用相对少的内存。 对于I/O读写量大，CPU富足（计算相对小）的场景，选择高压缩比；反之选择低压缩比。建议依据此原则进行不同压缩下的测试和对比，以选择符合自身业务情况的最优压缩比。压缩比通过COMPRESSION参数指定，其支持的取值如下： 列存表为：YES/NO/LOW/MIDDLE/HIGH，默认值为LOW。 行存表为：YES/NO，默认值为NO。（行存表压缩功能暂未商用，如需使用请联系技术支持工程师） 各压缩级别所适用的业务场景说明如下： 压缩级别 所适用的业务场景 低级别压缩 系统CPU使用率高，存储磁盘空间充足。 中度压缩 系统CPU使用率适中，但存储磁盘空间不是特别充足。 高级别压缩 系统CPU使用率低，磁盘空间不充裕。 例如，创建一个名为customer_t3的列存压缩表： 1 2 3 4 5 6 7 CREATE TABLE customer_t3 ( state_ID CHAR(2), state_NAME VARCHAR2(40), area_ID NUMBER ) WITH (ORIENTATION = COLUMN,COMPRESSION=middle);

示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 --创建表 CREATE TABLE sections_t1 ( section NUMBER(4) , section_name VARCHAR2(30), manager_id NUMBER(6), place_id NUMBER(4) ) DISTRIBUTE BY hash(manager_id); --声明变量 DECLARE section NUMBER(4) := 280; section_name VARCHAR2(30) := 'Info support'; manager_id NUMBER(6) := 103; place_id NUMBER(4) := 1400; new_colname VARCHAR2(10) := 'sec_name'; BEGIN --执行查询 EXECUTE IMMEDIATE 'insert into sections_t1 values(:1, :2, :3, :4)' USING section, section_name, manager_id,place_id; --执行查询（重复占位符） EXECUTE IMMEDIATE 'insert into sections_t1 values(:1, :2, :3, :1)' USING section, section_name, manager_id; --执行ALTER语句（建议采用“||”拼接数据库对象构造DDL语句） EXECUTE IMMEDIATE 'alter table sections_t1 rename section_name to ' || new_colname; END; / --查询数据 SELECT * FROM sections_t1; --删除表 DROP TABLE sections_t1;

语法 语法请参见图1。 图1 noselect::= using_clause子句的语法参见图2。 图2 using_clause-2 对以上语法格式的解释如下： USING IN bind_argument用于指定存放传递给动态SQL值的变量，在dynamic_noselect_string中存在占位符时使用，即动态SQL语句执行时，bind_argument将替换相对应的占位符。要注意的是，bind_argument只能是值、变量或表达式，不能是表名、列名、数据类型等数据库对象。如果存储过程需要通过声明参数传递数据库对象来构造动态SQL语句（常见于执行DDL语句时），建议采用连接运算符“||”拼接dynamic_select_clause。另外，动态语句允许出现重复的占位符，相同占位符只能与唯一一个bind_argument按位置一一对应。

FORALL批量查询语句 语法图 图5 forall::= 变量index会自动定义为integer类型并且只在此循环里存在。index的取值介于low_bound和upper_bound之间。 示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 CREATE TABLE hdfs_t1 ( title NUMBER(6), did VARCHAR2(20), data_peroid VARCHAR2(25), kind VARCHAR2(25), interval VARCHAR2(20), time DATE, isModified VARCHAR2(10) ) DISTRIBUTE BY hash(did); INSERT INTO hdfs_t1 VALUES( 8, 'Donald', 'OConnell', 'DOCONNEL', '650.507.9833', to_date('21-06-1999', 'dd-mm-yyyy'), 'SH_CLERK' ); CREATE OR REPLACE PROCEDURE proc_forall() AS BEGIN FORALL i IN 100..120 insert into hdfs_t1(title) values(i); END; / --调用函数 CALL proc_forall(); --查询存储过程调用结果 SELECT * FROM hdfs_t1 WHERE title BETWEEN 100 AND 120; --删除存储过程和表 DROP PROCEDURE proc_forall; DROP TABLE hdfs_t1;

FOR_LOOP（integer变量）语句 语法图 图3 for_loop::= 变量name会自动定义为integer类型并且只在此循环里存在。变量name介于lower_bound和upper_bound之间。 当使用REVERSE关键字时，lower_bound必须大于等于upper_bound，否则循环体不会被执行。 示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 --从0到5进行循环 CREATE OR REPLACE PROCEDURE proc_for_loop() AS BEGIN FOR I IN 0..5 LOOP DBMS_OUTPUT.PUT_LINE('It is '||to_char(I) || ' time;') ; END LOOP; END; / --调用函数 CALL proc_for_loop(); --删除存储过程 DROP PROCEDURE proc_for_loop;

FOR_LOOP查询语句 语法图 图4 for_loop_query::= 变量target会自动定义，类型和query的查询结果的类型一致，并且只在此循环中有效。target的取值就是query的查询结果。 示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 --循环输出查询结果。 CREATE OR REPLACE PROCEDURE proc_for_loop_query() AS record VARCHAR2(50); BEGIN FOR record IN SELECT spcname FROM pg_tablespace LOOP dbms_output.put_line(record); END LOOP; END; / --调用函数 CALL proc_for_loop_query(); --删除存储过程 DROP PROCEDURE proc_for_loop_query;

配置集群参数 查询TopSQL资源监控信息之前，需要先配置相关的GUC参数，以便能查询到作业的资源监控历史信息或归档信息。步骤如下： 登录GaussDB(DWS)管理控制台。 在“集群管理”页面，找到所需要的集群，单击集群名称，进入集群详情页面。 单击“参数修改”标签页，可以看到当前集群的参数值。 修改参数resource_track_duration值为合适的值，单击“保存”按钮进行保存。 enable_resource_record开关打开后，会引起存储空间膨胀及轻微性能影响，不用时请关闭。 返回集群管理页面，单击右上角的刷新按钮，等待集群参数配置完成。

示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 --创建存储过程proc_staffs CREATE OR REPLACE PROCEDURE proc_staffs ( section NUMBER(6), salary_sum out NUMBER(8,2), staffs_count out INTEGER ) IS BEGIN SELECT sum(salary), count(*) INTO salary_sum, staffs_count FROM staffs where section_id = section; END; / --创建存储过程proc_return. CREATE OR REPLACE PROCEDURE proc_return AS v_num NUMBER(8,2); v_sum INTEGER; BEGIN proc_staffs(30, v_sum, v_num); --调用语句 dbms_output.put_line(v_sum||'#'||v_num); RETURN; --返回语句 END; / --调用存储过程proc_return. CALL proc_return(); --清除存储过程 DROP PROCEDURE proc_staffs; DROP PROCEDURE proc_return; --创建函数func_return. CREATE OR REPLACE FUNCTION func_return returns void language plpgsql AS $$ DECLARE v_num INTEGER := 1; BEGIN dbms_output.put_line(v_num); RETURN; --返回语句 END $$; -- 调用函数func_return CALL func_return(); 1 -- 清除函数 DROP FUNCTION func_return;

示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 --创建存储过程proc_staffs CREATE OR REPLACE PROCEDURE proc_staffs ( section NUMBER(6), salary_sum out NUMBER(8,2), staffs_count out INTEGER ) IS BEGIN SELECT sum(salary), count(*) INTO salary_sum, staffs_count FROM staffs where section_id = section; END; / --创建存储过程proc_return. CREATE OR REPLACE PROCEDURE proc_return AS v_num NUMBER(8,2); v_sum INTEGER; BEGIN proc_staffs(30, v_sum, v_num); --调用语句 dbms_output.put_line(v_sum||'#'||v_num); RETURN; --返回语句 END; / --调用存储过程proc_return. CALL proc_return(); --清除存储过程 DROP PROCEDURE proc_staffs; DROP PROCEDURE proc_return; --创建函数func_return. CREATE OR REPLACE FUNCTION func_return returns void language plpgsql AS $$ DECLARE v_num INTEGER := 1; BEGIN dbms_output.put_line(v_num); RETURN; --返回语句 END $$; -- 调用函数func_return CALL func_return(); 1 -- 清除函数 DROP FUNCTION func_return;

冷热切换策略 目前冷热切换的策略名称支持LMT（last modify time）和HPN（hot partition number），LMT指按分区的最后更新时间切换，HPN指保留热分区的个数切换。 LMT：表示切换[day]时间前修改的热分区数据为冷分区，将该数据迁至OBS表空间中。其中[day]为整型，范围[0，36500]，单位为天。 如下图中，设置day为2，即在冷热切换时，根据分区数据的最晚修改时间，保留2日内所修改的分区为热分区，其余数据为冷分区数据。假设当前时间为4月30日，4月30日对[4-26]分区进行了delete操作，4月29日对[4-27]分区进行了insert操作，故在冷热切换时，保留[4-26][4-27][4-29][4-30]四个分区为热分区。 HPN：表示保留HPN个有数据的分区为热分区。分区顺序按照分区的Sequence ID来确定，分区的Sequence ID是根据分区边界值的大小，内置生成的序号，此序号不对外呈现。对于RANGE分区，分区的边界值越大，分区对应的Sequence ID越大；对于LIST分区，分区边界枚举值中的最大值越大，分区对应的Sequence ID越大。在冷热切换时，需要将数据迁移至OBS表空间中。其中HPN为整型，范围为[0,1600]。其中HPN为0时，表示不保留热分区，在进行冷热切换时，将所有有数据的分区都转为冷分区并存储在OBS上。 如下图中，设置HPN为3，即在冷热切换时，保留最新的3个有数据的分区为热分区数据，其余分区均切为冷分区。

使用示例 创建列存冷热数据管理表，指定热数据有效期LMT为100天。 1 2 3 4 5 6 7 8 CREATE TABLE lifecycle_table(i int, val text) WITH (ORIENTATION = COLUMN, storage_policy = 'LMT:100') PARTITION BY RANGE (i) ( PARTITION P1 VALUES LESS THAN(5), PARTITION P2 VALUES LESS THAN(10), PARTITION P3 VALUES LESS THAN(15), PARTITION P8 VALUES LESS THAN(MAXVALUE) )ENABLE ROW MOVEMENT; 切换冷数据至OBS表空间。 自动切换：每日0点调度框架自动触发，无需关注切换情况。 可自定义自动切换时间：根据业务情况调整自动触发时间，修改为每天早晨6点30分。 1 SELECT * FROM pg_obs_cold_refresh_time('lifecycle_table', '06:30:00'); 手动切换。 执行如下操作手动切换单表： 1 ALTER TABLE lifecycle_table refresh storage; 执行如下操作批量切换所有冷热表： 1 SELECT pg_catalog.pg_refresh_storage(); 查看冷热表数据分布情况。 查看单表数据分布情况： 1 SELECT * FROM pg_catalog.pg_lifecycle_table_data_distribute('lifecycle_table'); 查看所有冷热表数据分布情况： 1 SELECT * FROM pg_catalog.pg_lifecycle_node_data_distribute();

冷热数据管理的约束限制 目前冷热表只支持列存2.0版本的分区表，外表不支持冷热分区。 仅支持从热数据切换为冷数据，不支持从冷数据切换为热数据。对于已经切冷分区再次插入数据，数据直接会进入OBS，不会改变分区的冷热属性。 对于同一分区在同一DN只会存在冷或热的一种情况，对于同一分区在不同DN可能存在部分DN为热数据，部分DN为冷数据。 对于同时存在冷热分区的表，查询时会变慢，因为冷数据存储在OBS上，读写速度和时延都比在本地查询要慢。 只支持修改冷热表的冷热切换策略，不支持修改冷热表的冷数据的表空间。 冷热表的分区操作约束： 不支持对冷分区的数据进行exchange操作。 Merge partition分区只支持热分区和热分区合并、冷分区和冷分区合并，不支持冷热分区合并。 ADD/Merge/Split Partition等分区操作不支持指定表空间为OBS表空间。 不支持创建时指定和修改冷热表分区的表空间。 冷热切换不是只要满足条件就立刻进行冷热数据切换，依赖用户手动调用切换命令，或者通过调度器调用切换命令后才真正进行数据切换。目前自动调度时间为每日0点，可进行修改。 目前冷热切换规则只支持LMT和HPN两种。 冷热数据表不支持物理细粒度备份和恢复，由于物理备份时只备份热数据，在备份恢复前后OBS上冷数据为同一份，不支持truncate和drop table等涉及删除文件操作语句的备份恢复操作。

冷热数据简介 海量大数据场景下，随着业务和数据量的不断增长，数据存储与消耗的资源也日益增长。根据业务系统中用户对不同时期数据的不同使用需求，对膨胀的数据本身进行“冷热”分级管理，不仅可以提高数据分析性能还能降低业务成本。 例如，在网络流量分析系统中，用户可能对最近一个月内安全事件和网络访问情况感兴趣，而很少关注几个月前的数据。针对这样的一些场景，可以将数据按照时间分为：热数据、冷数据。 冷热数据主要从数据访问频率、更新频率进行划分。 Hot（热数据）：访问、更新频率较高，未来被调用的概率较高的数据，对访问的响应时间要求很高的数据。 Cold（冷数据）：不允许更新或更新频率比较低，访问频率比较低，对访问的响应时间要求不高的数据。 用户可以定义冷热管理表，将符合规则的冷数据切换至OBS上进行存储，可以按照分区自动进行冷热数据的判断和迁移。

变量声明 变量声明语法请参见图1。 图1 declare_variable::= 对以上语法格式的解释如下： variable_name，为变量名。 type，为变量类型。 value，是该变量的初始值（如果不给定初始值，则初始为NULL）。value也可以是表达式。 示例 1 2 3 4 5 6 DECLARE emp_id INTEGER := 7788; --定义变量并赋值 BEGIN emp_id := 5*7784; --变量赋值 END; /

%TYPE属性 %TYPE主要用于声明某个与其他变量类型（例如，表中某列的类型）相同的变量。假如想定义一个my_name变量，它的变量类型与employee的firstname类型相同，可使用如下定义： my_name employee.firstname%TYPE 这样定义可以带来两个好处，首先，不用预先知道employee 表的firstname类型具体是什么。其次，即使之后firstname类型有了变化，也不需要再次修改my_name的类型。

变量作用域 变量的作用域表示变量在代码块中的可访问性和可用性。只有在它的作用域内，变量才有效。 变量必须在declare部分声明，即必须建立BEGIN-END块。块结构也强制变量必须先声明后使用，即变量在过程内有不同作用域、不同的生存期。 同一变量可以在不同的作用域内定义多次，内层的定义会覆盖外层的定义。 在外部块定义的变量，可以在嵌套块中使用。但外部块不能访问嵌套块中的变量。 示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 DECLARE emp_id INTEGER :=7788; --定义变量并赋值 outer_var INTEGER :=6688; --定义变量并赋值 BEGIN DECLARE emp_id INTEGER :=7799; --定义变量并赋值 inner_var INTEGER :=6688; --定义变量并赋值 BEGIN dbms_output.put_line('inner emp_id ='||emp_id); --显示值为7799 dbms_output.put_line('outer_var ='||outer_var); --引用外部块的变量 END; dbms_output.put_line('outer emp_id ='||emp_id); --显示值为7788 END; /

示例 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 CREATE OR REPLACE PROCEDURE proc_case_branch(pi_result in integer, pi_return out integer) AS BEGIN CASE pi_result WHEN 1 THEN pi_return := 111; WHEN 2 THEN pi_return := 222; WHEN 3 THEN pi_return := 333; WHEN 6 THEN pi_return := 444; WHEN 7 THEN pi_return := 555; WHEN 8 THEN pi_return := 666; WHEN 9 THEN pi_return := 777; WHEN 10 THEN pi_return := 888; ELSE pi_return := 999; END CASE; raise info 'pi_return : %',pi_return ; END; / CALL proc_case_branch(3,0); --删除存储过程 DROP PROCEDURE proc_case_branch;

password_encryption_type 参数说明：该字段决定采用何种加密方式对用户密码进行加密存储。 参数类型：SIGHUP 取值范围：整型，0、1、2 表1 取值说明 取值 密码存储格式 支持使用驱动 0 采用md5方式对密码加密，密码存储方式为MD5加密后密文。 支持GaussDB自研驱动及开源驱动。 1 采用sha256方式对密码加密，兼容postgres客户端的MD5用户认证方式。 密码存储方式为MD5+SHA256综合后的密文。 支持GaussDB自研驱动及开源驱动。 2 采用sha256方式对密码加密，密码存储方式为SHA256加密后密文。 支持GaussDB自研驱动。 md5为不安全的加密算法，不建议用户使用。 如果当前集群为8.0.0及以下版本升级到当前版本，该参数的默认值为保持前向兼容和原低版本集群一致。例如，8.0.0版本的password_encryption_type默认值为1，在8.0.0集群升级到8.1.1版本后，password_encryption_type默认值保持向前兼容仍旧是1。 在password_encryption_type参数值为2时创建的用户，密码已使用SHA256算法保存，此时切换参数值并不会改变数据库内的密码存储方式，因此，这种情况下若使用MD5的开源客户端可能仍无法连接。 password_encryption_type参数值为1时，pg_hba认证方式设置为MD5或者SHA256都会进行两种加密方式的判断，确保功能兼容。 默认值：1

password_reuse_time 参数说明：在使用ALTER USER或者ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用天数检查。 参数类型：SIGHUP 修改密码时会检查配置参数password_reuse_time和password_reuse_max。 当password_reuse_time和password_reuse_max都为正数时，只要满足其中任一个，即可认为密码可以重用。 当password_reuse_time为0时，表示不限制密码重用天数，仅限制密码重用次数。 当password_reuse_max为0时，表示不限制密码重用次数，仅限制密码重用天数。 当password_reuse_time和password_reuse_max都为0时，表示不对密码重用进行限制。 取值范围：浮点型，0~3650，单位为天。 0表示不检查密码可重用天数。 正数表示新密码不能为该值指定的天数内使用过的密码。 默认值：60

ssl_renegotiation_limit 参数说明：指定在会话密钥重新协商之前，通过SSL加密通道可以传输的流量。这个重新协商流量限制机制可以减少攻击者针对大量数据使用密码分析法破解密钥的几率，但是也带来较大的性能损失。流量是指发送和接收的流量总和。 参数类型：USERSET 参数建议保持默认设置，即禁用重协商机制。不建议通过gs_guc工具或其他方式直接在postgresql.conf文件中设置ssl_renegotiation_limit参数，即使设置也不会生效。 取值范围：整型，0~INT_MAX，单位为KB。其中0表示禁用重新协商机制。 默认值：0

password_lock_time 参数说明：该参数指定账户被锁定后自动解锁的时间。 参数类型：SIGHUP password_lock_time和failed_login_attempts必须都为正数时锁定和解锁功能才能生效。 参数password_lock_time的整数部分表示天数，小数部分可以换算成时、分、秒。 取值范围：浮点型，0~365，单位为天。 0表示密码验证失败时，自动锁定功能不生效。 正数表示账户被锁定后，当锁定时间超过password_lock_time设定的值时，账户将会被自行解锁。 默认值：1

failed_login_attempts 参数说明：在任意时候，如果输入密码错误的次数达到failed_login_attempts则当前账户被锁定，password_lock_time秒后被自动解锁。 例如，登录时输入密码失败，ALTER USER时修改密码失败等。 参数类型：SIGHUP 取值范围：整型，0~1000 0表示自动锁定功能不生效。 正整数表示当错误密码次数达到failed_login_attempts设定的值时，当前账户将被锁定。 默认值：10 failed_login_attempts和password_lock_time必须都为正数时锁定和解锁功能才能生效。 failed_login_attempts会与客户端SSL连接模式共同决定用户的密码错误次数。当PGSSLMODE取值是allow或prefer时，客户的一次密码连接请求会生成两次连接请求：一次是尝试SSL连接，另一次是尝试非SSL连接。此时，用户感知到的密码错误次数是failed_login_attempts除以2。

session_timeout 参数说明：表明与服务器建立链接后，不进行任何操作的最长时间。 参数类型：USERSET 取值范围：整型，0-86400，最小单位为秒（s），0表示关闭超时设置。 默认值：10min GaussDB(DWS) gsql客户端中有自动重连机制，所以针对初始化用户本地连接，超时后gsql表现的现象为断开后重连。 pooler连接池到其它CN和DN的连接，不受session_timeout参数控制。

ssl_ciphers 参数说明：指定SSL支持的加密算法列表。 参数类型：POSTMASTER 取值范围：字符串，如果指定多个加密算法，加密算法之间需要以分号分割。 默认值：ALL 配置参数ssl_ciphers的默认值为ALL，表示支持下列所有加密算法。如果对加密算法没有特殊要求，建议用户使用该默认值。 TLS1_3_RFC_AES_128_GCM_SHA256 TLS1_3_RFC_AES_256_GCM_SHA384 TLS1_3_RFC_CHACHA20_POLY1305_SHA256 TLS1_3_RFC_AES_128_CCM_SHA256 TLS1_3_RFC_AES_128_CCM_8_SHA256 SSL连接认证目前只支持配置标准协议TLS1.3的加密算法，TLS1.3的性能更优、安全性更好。同时也兼容与标准协议TLS1.2的客户端之间的SSL连接认证。

password_reuse_max 参数说明：在使用ALTER USER或者ALTER ROLE修改用户密码时，该参数指定是否对新密码进行可重用次数检查。 参数类型：SIGHUP 修改密码时会检查配置参数password_reuse_time和password_reuse_max。 当password_reuse_time和password_reuse_max都为正数时，只要满足其中任一个，即可认为密码可以重用。 当password_reuse_time为0时，表示不限制密码重用天数，仅限制密码重用次数。 当password_reuse_max为0时，表示不限制密码重用次数，仅限制密码重用天数。 当password_reuse_time和password_reuse_max都为0时，表示不对密码重用进行限制。 取值范围：整型，0~1000 0表示不检查密码可重用次数。 正整数表示新密码不能为该值指定的次数内使用过的密码。 默认值：0

enable_copy_server_files 参数说明：是否开启copy服务器端文件的权限。 参数类型：POSTMASTER 取值范围：布尔型 on表示开启copy服务端文件的权限。 off表示不开启copy服务端文件的权限。 默认值：true copy from/to file要求具有系统管理员权限的用户才能使用，但是，在三权分立开启的状态下，系统管理员与初始用户的权限不同，可以通过使用enable_copy_server_file控制系统管理员的copy权限，避免系统管理员权限升级。

security_enable_options 参数说明：该参数决定是否允许安全模式下使用grant_to_public、grant_with_grant_option和foreign_table_options三种功能，可根据实际需求进行配置。(该参数仅8.2.0及以上集群版本支持） 参数类型：SIGHUP 取值范围：字符串 grant_to_public，表示允许安全模式下使用grant to public功能。 grant_with_grant_option，表示允许安全模式下使用with grant option功能。 foreign_table_options，表示允许安全模式下使用外表操作功能，不需要显式赋予用户useft权限。 默认值：空 新安装集群场景下，该参数默认值为空，表示安全模式下不允许使用grant_to_public、grant_with_grant_option和foreign_table_options中任何一种功能。 升级场景下，该参数的默认值保持前向兼容，若用户升级前原版本中GUC参数enable_grant_public和enable_grant_option默认为ON，那么升级后security_enable_options参数的默认值为“grant_to_public, grant_with_grant_option”。

audit_system_object 参数说明：该参数决定是否对GaussDB(DWS)数据库对象的CREATE、DROP、ALTER操作进行审计。GaussDB(DWS)数据库对象包括DATABASE、USER、schema、TABLE等。通过修改该配置参数的值，可以只审计需要的数据库对象的操作。 参数类型：SIGHUP 取值范围：整型，0～4194303 0代表关闭GaussDB(DWS)数据库对象的CREATE、DROP、ALTER操作审计功能。 非0代表只审计GaussDB(DWS)的某类或者某些数据库对象的CREATE、DROP、ALTER操作。 取值说明： 该参数的值由22个二进制位的组合求出，这22个二进制位分别代表GaussDB(DWS)的22类数据库对象。如果对应的二进制位取值为0，表示不审计对应的数据库对象的CREATE、DROP、ALTER操作；取值为1，表示审计对应的数据库对象的CREATE、DROP、ALTER操作。这22个二进制位代表的具体审计内容请参见表1。 默认值：12303 表1 audit_system_object取值含义说明 二进制位 含义 取值说明 第0位 是否审计DATABASE对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第1位 是否审计SCHEMA对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第2位 是否审计USER对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第3位 是否审计TABLE对象的CREATE、DROP、ALTER、TRUNCATE操作。 0表示不审计该对象的CREATE、DROP、ALTER、TRUNCATE操作； 1表示审计该对象的CREATE、DROP、ALTER、TRUNCATE操作。 第4位 是否审计INDEX对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第5位 是否审计VIEW对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第6位 是否审计TRIGGER对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第7位 是否审计PROCEDURE/FUNCTION对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第8位 是否审计TABLESPACE对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第9位 是否审计RESOURCE POOL对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作 第10位 是否审计WORKLOAD对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作 第11位 是否审计SERVER FOR HADOOP对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作 第12位 是否审计DATA SOURCE对象的CRAETE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第13位 是否审计NODE GROUP对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第14位 是否审计ROW LEVEL SECURITY对象的CREATE、DROP、ALTER操作。 0表示不审计该对象的CREATE、DROP、ALTER操作； 1表示审计该对象的CREATE、DROP、ALTER操作。 第15位 是否审计TYPE对象的CREATE、DROP、ALTER操作。 0表示不审计TYPE对象的CREATE、DROP、ALTER操作； 1表示审计TYPE对象的CREATE、DROP、ALTER操作。 第16位 是否审计TEXT SEARCH对象（CONFIGURATION和DICTIONARY）的CREATE、DROP、ALTER操作。 0表示不审计TEXT SEARCH对象的CREATE、DROP、ALTER操作； 1表示审计TEXT SEARCH对象的CREATE、DROP、ALTER操作。 第17位 是否审计DIRECTORY对象的CREATE、DROP、ALTER操作。 0表示不审计DIRECTORY对象的CREATE、DROP、ALTER操作； 1表示审计DIRECTORY对象的CREATE、DROP、ALTER操作。 第18位 是否审计SYNONYM对象的CREATE、DROP、ALTER操作。 0表示不审计SYNONYM对象的CREATE、DROP、ALTER操作； 1表示审计SYNONYM对象的CREATE、DROP、ALTER操作。 第19位 是否审计REDACTION POLICY对象的CREATE、DROP、ALTER操作。 0表示不审计REDACTION POLICY对象的CREATE、DROP、ALTER操作； 1表示审计REDACTION POLICY对象的CREATE、DROP、ALTER操作。 第20位 是否审计SEQUENCE对象的CREATE、DROP、ALTER操作。 0表示不审计SEQUENCE对象的CREATE、DROP、ALTER操作； 1表示审计SEQUENCE对象的CREATE、DROP、ALTER操作。 第21位 是否审计NODE对象的CREATE、DROP、ALTER操作。 0表示不审计NODE对象的CREATE、DROP、ALTER操作； 1表示审计NODE对象的CREATE、DROP、ALTER操作。

audit_operation_exec 参数说明：该参数决定是否审计GaussDB(DWS)中各类执行成功的操作，由用户根据实际需求进行配置。 参数类型：SIGHUP 取值范围：字符串 none：表示未配置审计项，如果同时配置了其他任何审计项，则none失效。 all：表示对所有操作成功的场景进行审计。如果同时配置了其他任何审计项，则覆盖所有其他审计项的配置。注意，即使配置为all，也不表示对所有的DDL操作进行审计，仍然需要结合audit_system_object，对DDL操作的对象级别进行控制。 login：表示对用户登录成功的场景进行审计。 logout：表示对用户退出进行审计。 database_process：表示对数据库启动、停止、切换、恢复操作进行审计。 user_lock：表示对用户锁定和解锁成功的场景进行审计。 grant_revoke：表示对用户权限授予和回收成功的场景进行审计。 ddl：表示对DDL操作成功的场景进行审计，因为DDL操作由会根据操作对象进行更细粒度控制，仍然沿用审计开关audit_system_object，即由audit_system_object控制对哪些对象的DDL操作进行审计（此处不配置ddl，只要配置了audit_system_object，审计也会生效）。 select：表示对select操作成功的场景进行审计。 copy：表示对copy操作成功的场景进行审计。 userfunc：表示对用户自定义函数、存储过程、匿名块操作成功的场景进行审计。 set：表示对set操作成功的场景进行审计。 transaction：表示对事务操作成功的场景进行审计。 vacuum：表示对vacuum操作成功的场景进行审计。 analyze：表示对analyze操作成功的场景进行审计。 explain：表示对explain操作成功的场景进行审计。 specialfunc：表示对特殊函数调用操作成功的场景进行审计，特殊函数包括：pg_terminate_backend、pg_cancel_backend。 insert：表示对insert操作成功的场景进行审计。 update：表示对update操作成功的场景进行审计。 delete：表示对delete操作成功的场景进行审计。 merge：表示对merge操作成功的场景进行审计。 show：表示对show操作成功的场景进行审计。 checkpoint：表示对checkpoint操作成功的场景进行审计。 barrier：表示对barrier操作成功的场景进行审计。 cluster：表示对cluster操作成功的场景进行审计。 comment：表示对comment操作成功的场景进行审计。 cleanconn：表示对cleanconnection操作成功的场景进行审计。 prepare：表示对PREPARE、EXECUTE、DEALLOCATE操作成功的场景进行审计。 constraints：表示对constraints操作成功的场景进行审计。 cursor：表示对游标操作成功的场景进行审计。 discard：表示对清理当前会话的全局临时表信息操作成功的场景进行审计。 默认值：login, logout, database_process, user_lock, grant_revoke, set, transaction, cursor 建议transaction审计项保留，否则事务内语句都不会被审计。 建议cursor审计项保留，否则cursor内select语句不会被审计。 需注意Data Studio客户端会自动给select语句封装cursor。