Verwalten des Zugriffs auf Collaborations, Ressourcen und Daten¶

Übersicht¶

Der Zugriff auf Collaborations und die Möglichkeit, Aktionen in einer Collaboration durchzuführen, werden über die folgenden Mechanismen verwaltet:

Berechtigung zur Installation von Anwendungen für das Konto ist für die Installation der Data Clean Room-Anwendung erforderlich. ACCOUNTADMIN verfügt standardmäßig darüber.
Berechtigung zum Ausführen bestimmter Collaboration-API-Prozeduren wird von DCR-Berechtigungen verwaltet.
Die Berechtigung zum Ausführen bestimmter rollenbasierter Aktionen in einer Collaboration wird von Collaboration-Rollen verwaltet. Diese Rollen bestimmen, was ein Benutzer in einer bestimmten Collaboration tun kann. Die :ref:` Definition der Collaboration<label-dcr_collaboration_spec_yaml>` muss Sie als Analyseausführenden auflisten, um eine Analyse durchführen zu können. Sie müssen als Datenanbieter aufgeführt sein, um Daten für einen bestimmten Anbieter von Analysen freizugeben.

Diese Mechanismen überlappen sich, und alle Anforderungen müssen erfüllt sein, um eine bestimmte Aktion auf einer bestimmten Ressource ausführen zu können. Beispiel: Damit Sie eine Tabelle my_data für user_1 in der bestehenden Collaboration collab_1 freigeben können, müssen alle folgenden Anforderungen erfüllt werden:

Sie müssen ein bestimmter Datenanbieter für user_1 in der Collaboration sein, und``user_1`` muss ein Analyseausführender in dieser Collaboration sein (Collaboration-Rrolle).
Sie müssen die Berechtigung haben, die entsprechende Collaboration-API-Prozeduren zur Verknüpfung des Datenangebots mit der Collaboration aufzurufen (DCR-Berechtigung).
Sie müssen die REFERENCE_USAGE-Berechtigung mit GRANT OPTION für die Tabelle my_data haben, um sie als Datenangebotsressource zu registrieren (RBAC-Berechtigung).

Unter diesem Thema wird beschrieben, wie Sie DCR-Berechtigungen verwalten. Datenrichtlinien und Rollen für die Collaboration werden separat beschrieben.

Verwenden von DCR-Berechtigungen zum Verwalten von Berechtigungen für Konten, Objekte und Prozeduren¶

Die SAMOOHA_APP_ROLE-Rolle hat die Berechtigungen, alle Prozeduren in der Collaboration-API auszuführen. Diese Rolle hat möglicherweise einen umfassenderen Zugriff, als Sie einigen Gruppen von Benutzern in Ihrem Konto gewähren möchten. Obwohl Collaboration-Rollen die Aktionen eines Benutzers einschränken, können Sie auch bestimmte Rollen mit genaueren und eingeschränkteren Berechtigungen bereitstellen.

Nachdem die Snowflake Data Clean Rooms-App installiert wurde, können bestimmten Benutzern zusätzliche Data Clean Room-spezifische Berechtigungen zugewiesen werden.

Um einem Benutzer detaillierte API-Berechtigungen zu erteilen, führen Sie die folgenden Schritte aus:

Erstellen Sie eine Rolle.
Erteilen Sie der Rolle die Nutzungsberechtigung für das verwendete Warehouse.
Rufen Sie bei Bedarf GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE auf, um einer Rolle die entsprechenden Berechtigungen für eine bestimmte Collaboration zu erteilen.
Rufen Sie bei Bedarf GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE auf, um der Rolle entsprechende Berechtigungen für alle Collaborations im Konto zu erteilen.
Weisen Sie dem Benutzer die Rolle zu, der nun Collaboration-Prozeduren aufrufen kann, um an der Zusammenarbeit teilnehmen zu können.

Beispiel:GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE( 'JOIN COLLABORATION', 'collab_join_role' ) gewährt die collab_join_role-Berechtigung zum Aufrufen von JOIN ,REVIEW ,RUN ,LEAVE ,VIEW_DATA_OFFERINGS und vieler anderer API-Prozeduren, die erforderlich sind, um einer Collaboration beizutreten und diese zu nutzen. Im Gegensatz dazu gewährt GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry_1', 'registry_reader_role') der registry_reader_role die Berechtigung zum Lesen aus einer einzelnen Registry. Sie können derselben Rolle mehrere Gruppen von Berechtigungen erteilen.

Erfahren Sie, welche DCR-Berechtigungen gewährt werden müssen, um eine bestimmte Collaboration-API-Prozedur aufrufen zu können, wenn Sie SAMOOHA_APP_ROLE nicht verwenden.

Das folgende Beispiel zeigt das Erstellen einer Rolle mit dem Namen COLLABORATION_CREATOR, die eine Collaboration erstellen, eine benutzerdefinierte Registry erstellen und Datenangebote registrieren kann, sowie das Zuweisen der Rolle zum aktuellen Benutzer.

CREATE ROLE IF NOT EXISTS COLLABORATION_CREATOR;

-- Grant warehouse access to the role.
GRANT USAGE ON WAREHOUSE APP_WH TO ROLE COLLABORATION_CREATOR;

-- COLLABORATION_CREATOR needs these manual account-level privileges,
-- which are required by the CREATE COLLABORATION DCR privilege.
GRANT APPLY ROW ACCESS POLICY ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE APPLICATION ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE DATABASE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE LISTING ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT IMPORT SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT MANAGE SHARE TARGET ON ACCOUNT TO ROLE COLLABORATION_CREATOR;

GRANT ROLE COLLABORATION_CREATOR TO USER alexander_hamilton;

-- Grant DCR account-level privileges using GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE.
-- This procedure requires the ACCOUNTADMIN role.

-- COLLABORATION_CREATOR: create collaborations, create registries,
-- and register data offerings.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE COLLABORATION', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE REGISTRY', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'REGISTER DATA OFFERING', 'COLLABORATION_CREATOR');

Der folgende Code verwendet die RolleCOLLABORATION_CREATOR, um eine kundenspezifische Registry zu erstellen, und gewährt dann der Rolle EU_SALES_TEAM Lesezugriff auf diese Registry:

USE ROLE COLLABORATION_CREATOR;
USE WAREHOUSE APP_WH;
USE SECONDARY ROLES NONE;

-- Create a custom registry.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.REGISTRY.CREATE_REGISTRY(
  'DATA_REGISTRY_EU',
  'DATA OFFERING');

-- Grant read permission on a registry created by this role to the role EU_SALES_TEAM.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE(
  'READ',
  'REGISTRY',
  'DATA_REGISTRY_EU',
  'EU_SALES_TEAM');

DCR-Berechtigungsanforderungen für Collaboration-API-Prozeduren¶

Wenn Sie eine kundenspezifische Rolle (anstelle von SAMOOHA_APP_ROLE verwenden), fasst die folgende Tabelle die Berechtigungen zusammen, die für die Ausführung der einzelnen Collaboration-API-Prozedur erforderlich sind.

Wenn nicht anders angegeben, sind Berechtigungen in einer Aufzählungsliste in der Regel Alternativen: Sie benötigen nur eine der aufgeführten Berechtigungen, um die angegebene Prozedur auszuführen.


Prozedurname	Zugriffsanforderungen
REGISTER_TEMPLATE	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER TEMPLATE', 'role name')` Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`.
VIEW_REGISTERED_TEMPLATES	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED TEMPLATES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
ADD_TEMPLATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Wenn sich die Vorlage in einer kundenspezifischen Registry befindet oder auf eine Codespezifikation in einer kundenspezifischen Registry verweist, müssen Sie auch über die READ-Berechtigung für die Registry verfügen.
REMOVE_TEMPLATE	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
VIEW_TEMPLATES	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW TEMPLATES', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Um Objekte zu sehen, die in einer kundenspezifischen Registry registriert sind, benötigen Sie außerdem die READ-Berechtigung für diese Registry.
ENABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
DISABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
GET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
SET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
REGISTER_DATA_OFFERING	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER DATA OFFERING', 'role name')` Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`. Außerdem benötigt der Aufrufer folgende RBAC-Berechtigungen: SELECT für die Quelltabelle/Ansicht USAGE für die Datenbank und das Schema, in denen die Quelltabelle enthalten ist. USAGE für alle Richtlinienobjekte, auf die in der Spezifikation verwiesen wird.
LINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Außerdem muss der Aufrufer die REFERENCE_USAGE-Berechtigung mit GRANT OPTION für alle freizugebenden Daten haben. Ist dies nicht der Fall, erhalten Sie die Fehlermeldung, dass eine Referenznutzungsberechtigung fehlt. Erfahren Sie, wie Sie mit diesem Problem umgehen können. Wenn sich das Datenangebot in einer kundenspezifischen Registry befindet, müssen Sie auch über entsprechende Berechtigungen verfügen, die durch den Aufruf von `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')` gewährt werden.
UNLINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Die `UPDATE`-Berechtigung für eine Collaboration gewährt keinen Zugriff auf diese Prozedur. Außerdem kann nur die Rolle, die JOIN aufgerufen hat, die Verknüpfung von Datenangeboten erfolgreich aufheben, da die zugrunde liegende Freigabe der verknüpfenden Rolle gehört.
LINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
UNLINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
VIEW_REGISTERED_DATA_OFFERINGS	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED DATA OFFERINGS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
VIEW_DATA_OFFERINGS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW DATA OFFERINGS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Um Objekte zu sehen, die in einer kundenspezifischen Registry registriert sind, benötigen Sie außerdem die READ-Berechtigung für diese Registry.
REGISTER_CODE_SPEC	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER CODE SPEC', 'role name')` Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`.
VIEW_REGISTERED_CODE_SPECS	Standard-Registry: `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED CODE SPECS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Kundenspezifische Registry: Sie haben Lese- und Schreibberechtigungen für jede kundenspezifische Registry, die Sie selbst erstellt haben. Um auf eine von einem anderen Benutzenden erstellte kundenspezifische Registry zuzugreifen, benötigen Sie `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
VIEW_CODE_SPECS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Um Objekte zu sehen, die in einer kundenspezifischen Registry registriert sind, benötigen Sie außerdem die READ-Berechtigung für diese Registry.
VIEW_UPDATE_REQUESTS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
APPROVE_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
REJECT_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
INITIALIZE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Siehe GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE für zusätzliche erforderliche Rollenberechtigungen.
TEARDOWN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Siehe GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE für zusätzliche erforderliche Rollenberechtigungen.
GET_STATUS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
ENABLE_EXTERNAL_TABLE_ANALYSIS _FOR_COLLABORATION	Sie müssen eine Rolle verwenden, der die Berechtigung MANAGE FIREWALL_CONFIGURATION für das Konto zugewiesen wurde.
VIEW_COLLABORATIONS	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW COLLABORATIONS', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
REVIEW	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REVIEW COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Siehe GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE für zusätzliche erforderliche Rollenberechtigungen.
JOIN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Siehe GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE für zusätzliche erforderliche Rollenberechtigungen.
LEAVE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene Siehe GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE für zusätzliche erforderliche Rollenberechtigungen.
RUN	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
VIEW_ACTIVATIONS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW ACTIVATIONS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
PROCESS_ACTIVATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('PROCESS ACTIVATION', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, zuzüglich aller zusätzlichen Berechtigungen auf Kontoebene
CREATE_REGISTRY	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
VIEW_REGISTRIES	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTRIES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE	Für Collaboration-Objekte: Jede Rolle mitCREATE COLLABORATION oder JOINCOLLABORATION kann diese Prozedur bei jeder Collaboration aufrufen. Für Registry-Objekte: Nur die Rolle, die die Registry erstellt hat, kann diese Prozedur für diese Registry aufrufen.
GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE	Sie benötigen die ACCOUNTADMIN-Rolle oder eine Rolle mit der globalen MANAGE GRANTS-Berechtigung, um diese Prozedur auszuführen.