GRANT OWNERSHIP¶
Überträgt die Eigentümerschaft an einem Objekt (oder allen Objekten eines bestimmten Typs in einem Schema) von einer Rolle auf eine andere Rolle. Rolle verweist dabei auf eine Kontorolle oder eine Datenbankrolle.
OWNERSHIP ist ein spezieller Typ von Berechtigung, der einer Rolle nur von einer anderen Rolle erteilt werden kann. Die Berechtigung kann nicht wieder entzogen werden. Weitere Details dazu finden Sie unter Übersicht zur Zugriffssteuerung.
Dieser Befehl ist eine Variation von GRANT <Berechtigungen>.
- Siehe auch:
Syntax¶
-- Role
GRANT OWNERSHIP
{ ON { <object_type> <object_name> | ALL <object_type_plural> IN { DATABASE <db_name> | SCHEMA <schema_name> } }
| ON FUTURE <object_type_plural> IN { DATABASE <db_name> | SCHEMA <schema_name> }
}
TO ROLE <role_name>
[ { REVOKE | COPY } CURRENT GRANTS ]
-- Database role
GRANT OWNERSHIP
{ ON { <object_type> <object_name> | ALL <object_type_plural> IN { DATABASE <db_name> | SCHEMA <schema_name> } }
| ON FUTURE <object_type_plural> IN { DATABASE <db_name> | SCHEMA <schema_name> }
}
TO DATABASE ROLE <database_role_name>
[ { REVOKE | COPY } CURRENT GRANTS ]
Wobei:
objectType ::= { ALERT | DATABASE | FILE FORMAT | FUNCTION | INTEGRATION | MASKING POLICY | NETWORK POLICY | PASSWORD POLICY | PIPE | PROCEDURE | ROW ACCESS POLICY | ROLE | SCHEMA | SECRET | SEQUENCE | SESSION POLICY | STAGE | STREAM | TABLE | TAG | TASK | USER | VIEW | WAREHOUSE }
Erforderliche Parameter¶
object_name
Gibt den Bezeichner für das Objekt an, auf das Sie die Eigentümerschaft übertragen.
object_type
Gibt den Typ des Objekts an (bei Schemaobjekten):
ALERT | EXTERNAL TABLE | FILE FORMAT | FUNCTION | MASKING POLICY | MATERIALIZED VIEW | PASSWORD POLICY | PIPE | PROCEDURE | ROW ACCESS POLICY | SECRET | SESSION POLICY | SEQUENCE | STAGE | STREAM | TABLE | TASK | VIEW
object_type_plural
Pluralform von Objekttyp
object_type
(z. B.TABLES
,VIEWS
).Beachten Sie, dass die Massenerteilung von Berechtigungen auf Pipes nicht zulässig ist.
role_name
Der Bezeichner der Rolle, an die die Eigentümerschaft an dem Objekt übertragen wird.
database_role_name
Der Bezeichner der Datenbankrolle, an die die Eigentümerschaft an dem Objekt übertragen wird. Wenn der Bezeichner nicht vollqualifiziert ist (im Format
db_name.database_role_name
), sucht der Befehl die Datenbankrolle in der aktuellen Datenbank der Sitzung.Die Eigentümerschaft ist auf Objekte in der Datenbank beschränkt, die die Datenbankrolle enthält.
Optionale Parameter¶
[ REVOKE | COPY ] CURRENT GRANTS
Gibt an, ob alle vorhandenen ausgehenden Berechtigungen für das Objekt entfernt oder übertragen werden sollen, wenn die Eigentümerschaft auf eine neue Rolle übertragen wird:
Bemerkung
Ausgehende Berechtigungen beziehen sich auf alle Berechtigungen, die für das einzelne Objekt erteilt werden, dessen Eigentümerschaft sich ändert.
Bei der Übertragung der Eigentümerschaft auf eine Rolle beziehen sich die aktuellen Berechtigungen auf alle Rollen, die der aktuellen Rolle erteilt wurden (um eine Rollenhierarchie zu erstellen). Wenn die Eigentümerschaft an einer Rolle übertragen wird, während die aktuellen Berechtigungen kopiert werden, zeigt die Ausgabe des Befehls SHOW GRANTS den neuen Eigentümer als Berechtigungsgeber aller untergeordneten Rollen der aktuellen Rolle an.
REVOKE
Setzt RESTRICT-Semantik durch, die das Entfernen aller ausgehenden Berechtigungen an einem Objekt erfordert, bevor die Eigentümerschaft auf eine neue Rolle übertragen wird. Dies soll die Rolle, die neuer Eigentümer ist, davor schützen, das Objekt unwissentlich mit bereits erteilten Berechtigungen zu erben.
Nach Übertragung der Eigentümerschaft müssen die Berechtigungen für das Objekt explizit neu an die Rolle vergeben werden.
Beachten Sie, dass das Schlüsselwort REVOKE nicht funktioniert, wenn Sie einer Rolle die Eigentümerschaft an zukünftigen Objekten eines bestimmten Typs in einer Datenbank oder einem Schema zuweisen (mit GRANT OWNERSHIP ON FUTURE
<Objekttyp>
).COPY
Überträgt den Besitz an einem Objekt zusammen mit einer Kopie aller vorhandenen ausgehenden Berechtigungen auf das Objekt. Nach der Übertragung wird der neue Inhaber im System als Verleiher der kopierten Ausgangsberechtigungen identifiziert (d. h. in der Ausgabe SHOW GRANTS für das Objekt wird der neue Inhaber in der Spalte GRANTED_BY für alle Berechtigungen aufgeführt). Infolgedessen sind alle Berechtigungen, die später vor dem Eigentümerwechsel wieder vergeben werden, nicht mehr von der ursprünglichen Rolle des Berechtigungsgebers abhängig.
Der Widerruf einer Berechtigung unter Verwendung von REVOKE <Berechtigungen> mit der Option
CASCADE
führt nicht zum rekursiven Widerruf dieser ehemals abhängigen Berechtigungen. Die Berechtigungen müssen ausdrücklich widerrufen werden.Dieser Parameter erfordert, dass die Rolle, die den Befehl GRANT OWNERSHIP ausführt, über die Berechtigung MANAGE GRANTS für das Konto verfügt.
Standard: Keine. Es werden keine Operationen auf bestehenden ausgehenden Berechtigungen ausgeführt.
Bemerkung
Eine GRANT OWNERSHIP-Anweisung schlägt fehl, wenn bestehende ausgehende Berechtigungen für das Objekt weder entzogen noch kopiert wurden.
Nutzungshinweise¶
Eine Rolle, die die Berechtigung MANAGE GRANTS hat, kann die Eigentümerschaft an einem Objekt auf eine beliebige Rolle übertragen. Eine Rolle, die die Berechtigung MANAGE GRANTS nicht hat, kann hingegen die Eigentümerschaft nur von sich selbst auf eine untergeordnete Rolle innerhalb der Rollenhierarchie übertragen.
Die GRANT OWNERSHIP-Anweisung wird blockiert, wenn ausgehende (d. h. abhängige) Berechtigungen an dem Objekt existieren. Der Objekteigentümer (oder eine höhere Rolle) kann explizit alle aktuellen Berechtigungen auf die Rolle, die neuer Eigentümer ist, kopieren (mit der Option
COPY CURRENT GRANTS
) oder alle ausgehenden Berechtigungen an dem Objekt zurücknehmen, bevor die Eigentümerschaft übertragen wird (mit der OptionREVOKE CURRENT GRANTS
).Die Übertragung der Eigentümerschaft betrifft nur die zum Ausführungszeitpunkt des Befehls vorhandenen Objekte. Alle Objekte, die nach Ausführung des Befehls erstellt werden, befinden sich im Eigentum der Rolle, die bei der Erstellung des Objekts verwendet wurde.
Die Übertragung der Eigentümerschaft an Objekte der folgenden Typen ist gesperrt, es sei denn, folgende zusätzliche Bedingungen sind erfüllt:
- Pipes
Die Pipe muss angehalten sein.
- Aufgaben
Die geplante Aufgabe (d. h. die eigenständige Aufgabe oder die Stammaufgabe in einem Strukturbaum) muss angehalten sein. Beachten Sie, dass alle Aufgaben im Container automatisch angehalten werden, wenn alle Aufgaben in einer bestimmten Datenbank oder einem bestimmten Schema auf eine andere Rolle übertragen werden.
Wenn zukünftige Zuweisungen auf demselben Objekttyp sowohl auf Datenbank- als auch auf Schemaebene definiert werden, haben die Zuweisungen auf Schemaebene Vorrang vor den Zuweisungen auf Datenbankebene, und die Zuweisungen auf Datenbankebene werden ignoriert.
Um die Eigentümerschaft an einer materialisierten Ansicht zu übertragen, verwenden Sie
GRANT OWNERSHIP ON VIEW...
. Es gibt keine separateGRANT OWNERSHIP ON MATERIALIZED VIEW
-Anweisung.Datenbankrollen:
Die Eigentümerschaft kann nur an Objekte übertragen werden, die sich in derselben Datenbank wie die Datenbankrolle befinden.
Beispiele¶
Rollen¶
Entziehen Sie alle ausgehenden Berechtigungen an der mydb
Datenbank, die derzeit der manager
-Rolle gehört, bevor das Eigentum auf die analyst
-Rolle übertragen wird:
REVOKE ALL PRIVILEGES ON DATABASE mydb FROM ROLE manager; GRANT OWNERSHIP ON DATABASE mydb TO ROLE analyst; GRANT ALL PRIVILEGES ON DATABASE mydb TO ROLE analyst;Beachten Sie, dass dieses Beispiel den standardmäßigen (und empfohlenen) mehrstufigen Prozess der Eigentumsübertragung veranschaulicht.
Entziehen Sie in einem einzigen Schritt alle Berechtigungen an den im Schema mydb.public
befindlichen Tabellen, und übertragen Sie die Eigentümerschaft an den Tabellen (zusammen mit einer Kopie ihrer aktuellen Berechtigungen) auf die Rolle analyst
:
GRANT OWNERSHIP ON ALL TABLES IN SCHEMA mydb.public TO ROLE analyst COPY CURRENT GRANTS;
Übertragen Sie die Eigentümerschaft an der Tabelle mydb.public.mytable
zusammen mit einer Kopie aller aktuellen ausgehenden Berechtigungen an der Tabelle an die Rolle analyst
:
GRANT OWNERSHIP ON TABLE mydb.public.mytable TO ROLE analyst COPY CURRENT GRANTS;
Datenbankrollen¶
Entziehen Sie in einem einzigen Schritt alle Berechtigungen an den im Schema mydb.public
befindlichen Tabellen, und übertragen Sie die Eigentümerschaft an den Tabellen (zusammen mit einer Kopie ihrer aktuellen Berechtigungen) auf die Datenbankrolle mydb.dr1
:
GRANT OWNERSHIP ON ALL TABLES IN SCHEMA mydb.public TO DATABASE ROLE mydb.dr1 COPY CURRENT GRANTS;
Übertragen Sie die Eigentümerschaft an der Tabelle mydb.public.mytable
zusammen mit einer Kopie aller aktuellen ausgehenden Berechtigungen an der Tabelle an die Datenbankrolle mydb.dr1
:
GRANT OWNERSHIP ON TABLE mydb.public.mytable TO ROLE mydb.dr1 COPY CURRENT GRANTS;