Schema:

ACCOUNT_USAGE

Ansicht GRANTS_TO_ROLES

Diese Account Usage-Ansicht kann zum Abfragen der einer Rolle gewährten Zugriffssteuerungsrechte verwendet werden.

Spalten

Spaltenname

Datentyp

Beschreibung

CREATED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung für die Rolle erteilt wurde.

MODIFIED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung aktualisiert wird.

PRIVILEGE

VARCHAR

Name der der Rolle hinzugefügten Berechtigung.

GRANTED_ON

VARCHAR

Art des Objekts, wie zum Beispiel TABLE oder DATABASE, für das die Berechtigung erteilt wird.

NAME

VARCHAR

Name des Objekts, dem die Berechtigung erteilt wird.

TABLE_CATALOG

VARCHAR

Name der Datenbank für die aktuelle Tabelle oder der Name der Datenbank, in der die Instanz einer Klasse gespeichert ist.

TABLE_SCHEMA

VARCHAR

Name des Schemas für die aktuelle Tabelle oder der Name des Schemas, in dem die Instanz einer Klasse gespeichert ist.

GRANTED_TO

VARCHAR

Entweder ROLE, DATABASE_ROLE, INSTANCE_ROLE, APPLICATION_ROLE oder APPLICATION.

GRANTEE_NAME

VARCHAR

Bezeichner für die Empfängerrolle, die Rolle, der Berechtigung erteilt wird, oder der Name des Snowflake Native App-Objekts.

GRANT_OPTION

BOOLEAN

TRUE / FALSE. Wenn TRUE festgelegt ist, kann die Empfängerrolle anderen Rollen die Berechtigung erteilen.

GRANTED_BY

VARCHAR

Gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. GRANTED_BY bleibt leer für Berechtigungen, die durch die Systemrolle SNOWFLAKE erteilt wurden.

DELETED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit (in der Zeitzone UTC), an dem die Berechtigung widerrufen wird.

GRANTED_BY_ROLE_TYPE

VARCHAR

Entweder APPLICATION, ROLE oder DATABASE_ROLE.

OBJECT_INSTANCE

VARCHAR

Der vollqualifizierte Name des Objekts, das die Instanzrolle für eine bestimmte Klasse im Format database.schema.class enthält.

Nutzungshinweise

  • Die Latenzzeit der Ansicht kann bis zu 120 Minuten (2 Stunden) betragen.

  • Die Ansicht enthält keine Berechtigungen für Datenbankrollen von Datenbanken, die aus Freigaben erstellt wurden.

  • Die Ansicht enthält keine Berechtigungen für gelöschte Objekte.

  • Die Ansicht wird regelmäßig aktualisiert, um die Unterstützung für neue Objekte aufzunehmen. Sie können den Befehl SHOW GRANTS TO ROLE verwenden, um alle Berechtigungen für eine bestimmte Rolle aufzulisten.

  • Die Spalte GRANTED_BY gibt die Rolle an, die eine Berechtigungszuweisung an den Berechtigungsempfänger autorisiert hat. Die Autorisierungsrolle wird als Berechtigungsgeber bezeichnet.

    Wenn Sie einer Rolle unter Verwendung von GRANT <Berechtigungen> Berechtigungen für ein Objekt erteilen, bestimmen die folgenden Autorisierungsregeln, welche Rolle als Berechtigungsgeber der Berechtigungen aufgeführt wird:

    1. Wenn eine aktive Rolle der Objekteigentümer (d. h. mit OWNERSHIP-Berechtigung für das Objekt) ist, ist diese Rolle der Berechtigungsgeber.

    2. Wenn eine aktive Rolle über die angegebene Berechtigung mit autorisierter Zuweisungsoption verfügt (d. h. die Berechtigung wurde der aktiven Rolle mit der WITH GRANT OPTION-Klausel von GRANT <Berechtigungen> erteilt, wobei <role_name> eine der aktiven Rollen ist). dann ist die Rolle, die über die Berechtigung mit autorisierter Zuweisungsoption verfügt, der Berechtigungsgeber. Wenn mehrere aktive Rollen dieses Kriterium erfüllen, ist es nicht deterministisch, welche der Rollen zur Berechtigungsgeber-Rolle wird.

    3. Wenn eine aktive Rolle über die globale Berechtigung MANAGE GRANTS verfügt, ist die Berechtigungsgeber-Rolle der Objekteigentümer und nicht die Rolle, die über die MANAGE GRANTS-Berechtigung verfügte. Das heißt, die MANAGE GRANTS-Berechtigung erlaubt es einer Rolle, die Objekteigentümerschaft zu übernehmen, um Berechtigungen für dieses Objekt zu erteilen.

    Die Spalte GRANTED_BY bleibt leer für Berechtigungen, die von der Rolle Snowflake SYSTEM erteilt werden. Mit dieser Rolle werden bestimmte interne Operationen ausgeführt. Die von der Rolle SYSTEM autorisierten Berechtigungen können von Kunden nicht geändert werden.