Kontoberechtigung READ UNREDACTED AI OBSERVABILITY EVENTS TABLE¶
Ab 24. April 2026 wird Snowflake eine neue Konto-Berechtigung einführen und durchsetzen: READ UNREDACTED AI OBSERVABILITY EVENTS TABLE. Die Berechtigung steuert, welche Rollen nicht ausgeblendete Inhalte in den Cortex Agent-Beobachtungsdaten von SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS lesen können, wenn sie die Funktionen der Systemtabelle und zugehörige Pfade verwenden, die diese Ereignistabelle lesen. Die neue Berechtigung ist standardmäßig für alle Rollen deaktiviert. Diese nicht gebündelte Verhaltensänderung ändert nicht die Art und Weise, wie Daten in die Tabelle geschrieben werden. Dies wirkt sich nur auf die Sichtbarkeit der Spalten oder Felder aus, die einer Rolle in Abfrageergebnissen und Ablaufverfolgungen angezeigt werden.
Die Änderung gilt für Agenten-Eigentümer und für Rollen mit der MONITOR-Berechtigung für einen Cortex Agent, wenn dieser Beobachtungsabfragen verwendet, die Inhalte aus der Ereignistabelle zurückgeben. Ziel ist es, die Gefährdung potenziell sensibler Daten durch Rollen zu reduzieren, die nicht ausdrücklich über die neue Berechtigung verfügen.
Systemtabellenfunktionen: Diese Änderung gilt, wenn Sie die GET_AI_ Tabellenfunktionen aufrufen, die aus SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS lesen (siehe LOCAL-Schema), zum Beispiel GET_AI_OBSERVABILITY_EVENTS und GET_AI_OBSERVABILITY_LOGS. Die vollständige Liste finden Sie unter :ref:` Liste der vom System definierten Tabellenfunktionen<label-list_of_system_defined_table_functions>`. Auf der Seite Tabellenfunktionen benennen die Cortex Agents-Zeilen in der Funktionstabelle jede dieser Systemtabellenfunktionen.
Ausnahme von der Ausblendung Die folgenden Rollen sehen weiterhin die Rohdaten der Tabelle über den direkten Zugriff auf die Tabelle SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS:
Die
ACCOUNTADMINDie
AI_OBSERVABILITY_ADMIN-AnwendungsrolleDie
AI_OBSERVABILITY_READER-Anwendungsrolle
Wichtig
Benutzer müssen trotzdem die CORTEX_USER-Datenbankrolle haben und, bei Abfrage eines bestimmten Cortex Agent, OWNERSHIP oder MONITOR für diesen Agenten, um die Beobachtbarkeitsfunktionen überhaupt nutzen zu können. Die neue Kontoberechtigung gilt zusätzlich zu dieser Anforderung: Sie steuert nur, ob Rohinhaltsfelder (im Gegensatz zu Metadaten) in den Ergebnissen enthalten sind, die die Rolle sehen darf, für Daten, auf die sie bereits Zugriff haben.
Wenn READ UNREDACTED AI OBSERVABILITY EVENTS TABLE nicht gewährt wird, können Rollen, die ansonsten für die Abfragebeobachtung qualifiziert sind, immer noch Metadaten sehen, einschließlich:
Namen und Typen des Tools
Nutzung und Latenz des Tokens
Evaluierungs-Ablaufverfolgung und Ergebnisse
Modell-Name
Fehler-Schweregrad
Ohne eine explizite Gewährung der neuen Berechtigung wird den gleichen Rollen der folgende Rohinhalt standardmäßig nicht angezeigt:
Tool-Eingaben und -Ausgaben
Konversations-Verlauf
Feedback von Benutzern
Um einer Rolle Zugriff auf die nicht ausgeblendeten Beobachtungsinhalte zu gewähren, führt der Kontoadministrator Folgendes aus:
Um die vorherige Standardeinstellung wiederherzustellen, bei der jeder Benutzer des Kontos nicht ausgeblendete Felder sehen kann (solange er noch die oben angegebenen Anforderungen für Cortex Agent und CORTEX_USER erfüllt), kann ein Kontoadministrator die Berechtigung an die PUBLIC-Rolle erteilen. PUBLIC ist eine Systemdefinierte Rolle, die im Übersicht zur Zugriffssteuerung (PUBLIC-Eintrag) dokumentiert ist. Die Gewährung an PUBLIC wendet die Berechtigung auf alle Benutzer des Kontos an, da PUBLIC automatisch jedem Benutzer zur Verfügung steht. Verwenden Sie dies nur, wenn es Ihren Sicherheitsrichtlinien entspricht.
Es ist keine Aktion für Teams nötig, die nur die obige Metadatenliste benötigen und nicht den rohen Eingabe-, Ausgabe-, Konversations- oder Benutzer-Feedback-Text.
Siehe auch