Schema:

ACCOUNT_USAGE

Ansicht GRANTS_TO_ROLES

Diese Account Usage-Ansicht kann zum Abfragen der Zugriffssteuerungsrechte verwendet werden, die einer Kontorolle, einer Anwendung, einer Anwendungsrolle, einer Datenbankrolle, einer Instanzrolle oder einem Benutzer gewährt wurden.

Spalten

Spaltenname

Datentyp

Beschreibung

CREATED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung für die Rolle erteilt wurde.

MODIFIED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung aktualisiert wird.

PRIVILEGE

VARCHAR

Name der der Rolle hinzugefügten Berechtigung.

GRANTED_ON

VARCHAR

Art des Objekts, wie zum Beispiel TABLE oder DATABASE, für das die Berechtigung erteilt wird.

NAME

VARCHAR

Name des Objekts, dem die Berechtigung erteilt wird.

TABLE_CATALOG

VARCHAR

Name der Datenbank für die aktuelle Tabelle oder der Name der Datenbank, in der die Instanz einer Klasse gespeichert ist.

TABLE_SCHEMA

VARCHAR

Name des Schemas für die aktuelle Tabelle oder der Name des Schemas, in dem die Instanz einer Klasse gespeichert ist.

GRANTED_TO

VARCHAR

ACCOUNT ROLE, APPLICATION, APPLICATION_ROLE, DATABASE_ROLE, INSTANCE_ROLE oder USER.

GRANTEE_NAME

VARCHAR

Bezeichner für die Empfängerrolle, die Rolle, der Berechtigung erteilt wird, oder der Name des Snowflake Native App-Objekts.

GRANT_OPTION

BOOLEAN

TRUE / FALSE. Wenn TRUE festgelegt ist, kann die Empfängerrolle anderen Rollen die Berechtigung erteilen.

GRANTED_BY

VARCHAR

Gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. GRANTED_BY bleibt leer für Berechtigungen, die durch die Systemrolle SNOWFLAKE erteilt wurden.

DELETED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung widerrufen wird.

GRANTED_BY_ROLE_TYPE

VARCHAR

Entweder APPLICATION, ROLE oder DATABASE_ROLE.

OBJECT_INSTANCE

VARCHAR

Der vollqualifizierte Name des Objekts, das die Instanzrolle für eine bestimmte Klasse im Format database.schema.class enthält.

Nutzungshinweise

  • Die Latenzzeit der Ansicht kann bis zu 120 Minuten (2 Stunden) betragen.

  • Die Ansicht GRANTS_TO_ROLES zeigt eine Teilmenge aller unterstützten Objekte. Die unterstützte Menge kann sich ändern. Die Ansicht wird regelmäßig aktualisiert, um die Unterstützung für neue Objekte aufzunehmen.

  • Die Ansicht enthält keine Berechtigungen für Datenbankrollen von Datenbanken, die aus Freigaben erstellt wurden.

  • Die Ansicht enthält keine Berechtigungen für gelöschte Objekte.

  • Die Spalte GRANTED_BY gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. Die Autorisierungsrolle wird als Berechtigungsgeber bezeichnet.

    Wenn Sie einer Rolle unter Verwendung von GRANT <Berechtigungen> … TO ROLE Berechtigungen für ein Objekt erteilen, bestimmen die folgenden Autorisierungsregeln, welche Rolle als Berechtigungsgeber der Berechtigungen aufgeführt wird:

    1. Wenn eine aktive Rolle der Objekteigentümer (d. h. mit OWNERSHIP-Berechtigung für das Objekt) ist, ist diese Rolle der Berechtigungsgeber.

    2. Wenn einer aktiven Rolle Berechtigungen für das Objekt durch eine GRANT PRIVILEGE … WITH GRANT OPTION-Anweisung erteilt wurden, dann ist die aktive Rolle der Berechtigungsgeber. Wenn mehrere aktive Rollen dieses Kriterium erfüllen und eine davon die Primärrolle ist, dann ist die Primärrolle der Berechtigungsgeber. Wenn es mehrere aktive Rollen gibt und keine davon die Primärrolle ist, wählt Snowflake nach dem Zufallsprinzip eine der Rollen als Berechtigungsgeber aus.

    3. Wenn eine aktive Rolle über die globale Berechtigung MANAGE GRANTS verfügt, ist die Berechtigungsgeber-Rolle der Objekteigentümer und nicht die Rolle, die über die MANAGE GRANTS-Berechtigung verfügte. Das heißt, die MANAGE GRANTS-Berechtigung erlaubt es einer Rolle, die Objekteigentümerschaft zu übernehmen, um Berechtigungen für dieses Objekt zu erteilen.

    Die Spalte GRANTED_BY bleibt leer für Berechtigungen, die von der Rolle Snowflake SYSTEM erteilt werden. Mit dieser Rolle werden bestimmte interne Operationen ausgeführt. Die von der Rolle SYSTEM autorisierten Berechtigungen können von Kunden nicht geändert werden.