- Schema:
Ansicht GRANTS_TO_ROLES¶
Diese Account Usage-Ansicht kann zum Abfragen der Zugriffssteuerungsrechte verwendet werden, die einer Kontorolle, einer Anwendung, einer Anwendungsrolle, einer Datenbankrolle, einer Instanzrolle oder einem Benutzer gewährt wurden.
Spalten¶
Spaltenname |
Datentyp |
Beschreibung |
---|---|---|
CREATED_ON |
TIMESTAMP_LTZ |
Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung für die Rolle erteilt wurde. |
MODIFIED_ON |
TIMESTAMP_LTZ |
Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung aktualisiert wird. |
PRIVILEGE |
VARCHAR |
Name der der Rolle hinzugefügten Berechtigung. |
GRANTED_ON |
VARCHAR |
Art des Objekts, wie zum Beispiel |
NAME |
VARCHAR |
Name des Objekts, dem die Berechtigung erteilt wird. |
TABLE_CATALOG |
VARCHAR |
Name der Datenbank für die aktuelle Tabelle oder der Name der Datenbank, in der die Instanz einer Klasse gespeichert ist. |
TABLE_SCHEMA |
VARCHAR |
Name des Schemas für die aktuelle Tabelle oder der Name des Schemas, in dem die Instanz einer Klasse gespeichert ist. |
GRANTED_TO |
VARCHAR |
|
GRANTEE_NAME |
VARCHAR |
Bezeichner für die Empfängerrolle, die Rolle, der Berechtigung erteilt wird, oder der Name des Snowflake Native App-Objekts. |
GRANT_OPTION |
BOOLEAN |
|
GRANTED_BY |
VARCHAR |
Gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. |
DELETED_ON |
TIMESTAMP_LTZ |
Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung widerrufen wird. |
GRANTED_BY_ROLE_TYPE |
VARCHAR |
Entweder |
OBJECT_INSTANCE |
VARCHAR |
Der vollqualifizierte Name des Objekts, das die Instanzrolle für eine bestimmte Klasse im Format |
Nutzungshinweise¶
Die Latenzzeit der Ansicht kann bis zu 120 Minuten (2 Stunden) betragen.
Die Ansicht GRANTS_TO_ROLES zeigt eine Teilmenge aller unterstützten Objekte. Die unterstützte Menge kann sich ändern. Die Ansicht wird regelmäßig aktualisiert, um die Unterstützung für neue Objekte aufzunehmen.
Die Ansicht enthält keine Berechtigungen für Datenbankrollen von Datenbanken, die aus Freigaben erstellt wurden.
Die Ansicht enthält keine Berechtigungen für gelöschte Objekte.
Die Spalte
GRANTED_BY
gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. Die Autorisierungsrolle wird als Berechtigungsgeber bezeichnet.Wenn Sie einer Rolle unter Verwendung von GRANT <Berechtigungen> … TO ROLE Berechtigungen für ein Objekt erteilen, bestimmen die folgenden Autorisierungsregeln, welche Rolle als Berechtigungsgeber der Berechtigungen aufgeführt wird:
Wenn eine aktive Rolle der Objekteigentümer (d. h. mit OWNERSHIP-Berechtigung für das Objekt) ist, ist diese Rolle der Berechtigungsgeber.
Wenn einer aktiven Rolle Berechtigungen für das Objekt durch eine GRANT PRIVILEGE … WITH GRANT OPTION-Anweisung erteilt wurden, dann ist die aktive Rolle der Berechtigungsgeber. Wenn mehrere aktive Rollen dieses Kriterium erfüllen und eine davon die Primärrolle ist, dann ist die Primärrolle der Berechtigungsgeber. Wenn es mehrere aktive Rollen gibt und keine davon die Primärrolle ist, wählt Snowflake nach dem Zufallsprinzip eine der Rollen als Berechtigungsgeber aus.
Wenn eine aktive Rolle über die globale Berechtigung MANAGE GRANTS verfügt, ist die Berechtigungsgeber-Rolle der Objekteigentümer und nicht die Rolle, die über die MANAGE GRANTS-Berechtigung verfügte. Das heißt, die MANAGE GRANTS-Berechtigung erlaubt es einer Rolle, die Objekteigentümerschaft zu übernehmen, um Berechtigungen für dieses Objekt zu erteilen.
Die Spalte
GRANTED_BY
bleibt leer für Berechtigungen, die von der Rolle Snowflake SYSTEM erteilt werden. Mit dieser Rolle werden bestimmte interne Operationen ausgeführt. Die von der Rolle SYSTEM autorisierten Berechtigungen können von Kunden nicht geändert werden.