Erteilen von Berechtigungen für andere Rollen

Snowflake bietet einen Satz von Berechtigungen für Data Exchange/Data Marketplace, die standardmäßig der Rolle ACCOUNTADMIN erteilt werden.

Diese Berechtigungen können anderen Rollen (systemdefiniert oder benutzerdefiniert) erteilt werden. Anschließend können Benutzer mit dieser Rolle bestimmte Aufgaben in Data Exchange/Data Marketplace ausführen.

Unter diesem Thema:

Erteilen von Data Exchange-Administratorberechtigungen

Standardmäßig kann nur ein Kontoadministrator (d. h. ein Benutzer mit der Rolle ACCOUNTADMIN) im Data Exchange-Administratorkonto ein Data Exchange/Data Marketplace-Angebot verwalten und damit folgende Aufgaben ausführen:

  • Mitgliedern hinzufügen/entfernen

  • Genehmigungsanforderungen für Liste genehmigen/ablehnen

  • Genehmigungsanforderungen für Anbieterprofil genehmigen/ablehnen

  • Kategorien anzeigen

Um das Delegieren dieser Aufgaben an andere Benutzer zu unterstützen, kann anderen Rollen (systemdefiniert oder benutzerdefiniert) die Data Exchange-Berechtigung IMPORTED PRIVILEGES erteilt werden.

Erteilen der Data Exchange-Berechtigung IMPORTED PRIVILEGES an eine andere Rolle

Um einer Rolle die Berechtigung IMPORTED PRIVILEGES für ein Data Exchange-Angebot zu erteilen, verwenden Sie die Rolle ACCOUNTADMIN und den Befehl GRANT GRANT <Berechtigungen> … TO ROLE.

Syntax:

grant imported privileges on data exchange <exchange_name> to <role_name>;

Wobei:

  • <Exchange-Name> ist der Name des Data Exchange-Angebots.

  • <Rollenname> ist die Rolle, der die Berechtigung erteilt wird.

Erteilen Sie zum Beispiel der Rolle SYSADMIN importierte Berechtigungen für das Data Exchange-Angebot mydataexchange:

use role accountadmin;

grant imported privileges on data exchange mydataexchange to sysadmin;

Nutzungshinweise

  • Diese Berechtigung wird auf der Ebene des Data Exchange-Angebots erteilt. Daher können die Verwaltungsaufgaben nur für das Data Exchange-Angebot ausgeführt werden, für das die Berechtigung erteilt wurde.

  • Nur ein Kontoadministrator im Data Exchange-Administratorkonto kann die Berechtigung einer anderen Rolle erteilen.

  • Wenn einer Rolle IMPORTED PRIVILEGES für eine Datenbank erteilt wurden, die aus einer Freigabe erstellt wurde, listen nachfolgende Aufrufe des Befehls SHOW GRANTS die Berechtigung als USAGE und nicht als IMPORTED PRIVILEGES auf.

  • Administrative Aufgaben auf Snowflake Data Marketplace können nur von Snowflake ausgeführt werden.

Erteilen von Anbieterberechtigungen für andere Rollen

Snowflake bietet einen Satz von Berechtigungen auf Konto- oder Listenebene für die Ausführung von Aufgaben im Zusammenhang mit Listen.

Standardmäßig werden diese Berechtigungen nur der Rolle ACCOUNTADMIN im Anbieterkonto des Data Exchange/Data Marketplace-Angebots erteilt, damit sichergestellt ist, dass nur Kontoadministratoren diese Aufgaben ausführen können. Die Berechtigungen können jedoch auch anderen Rollen erteilt werden, sodass die Aufgaben an andere Benutzer im Data Exchange/Data Marketplace-Angebot delegiert werden können.

Berechtigung

Objekttyp

Beschreibung

Globale Berechtigung CREATE DATA EXCHANGE LISTING (unter diesem Thema).

ACCOUNT

Ermöglicht das Erstellen einer Liste oder eines Anbieterprofils.

MODIFY-Berechtigung für Data Exchange-Listen (unter diesem Thema).

LISTING

Ermöglicht das Ändern der Listeneigenschaften.

USAGE-Berechtigung für Data Exchange-Listen (unter diesem Thema).

LISTING

Ermöglicht das Anzeigen einer Liste.

OWNERSHIP-Berechtigung für Data Exchange-Listen (unter diesem Thema).

LISTING

Überträgt die Eigentümerschaft (OWNERSHIP) einer Liste.

Berechtigung CREATE SHARE

ACCOUNT

Ermöglicht das Erstellen einer Freigabe.

Globale Berechtigung CREATE DATA EXCHANGE LISTING

Wenn einer Rolle die globale Berechtigung CREATE DATA EXCHANGE LISTING erteilt wird, kann jeder Benutzer mit dieser Rolle eine Liste oder ein Anbieterprofil erstellen. Als Ersteller und damit Eigentümer der Liste kann die Rolle auch verwendet werden, um alle Aufgaben auf der Liste auszuführen, einschließlich:

  • Listen erstellen

  • Listeneigenschaften ändern

  • Listen anzeigen

  • Eingehende Zugriffsanforderungen für Listen anzeigen

  • Listenanforderungen ablehnen

  • Listen zur Genehmigung/Veröffentlichung einreichen

  • Anbieterprofile erstellen und anzeigen

Die globale Berechtigung CREATE DATA EXCHANGE LISTING gilt für alle Data Exchange-Angebote, zu denen dieses Konto gehört. Eine Rolle mit dieser Berechtigung kann Listen in jedem Data Exchange/Data Marketplace-Angebot erstellen, in dem das Konto ein Anbieter ist.

Die OWNERSHIP-Berechtigung kann mit OWNERSHIP-Berechtigung für Data Exchange-Listen von der besitzenden Rolle auf eine andere Rolle übertragen werden.

Bemerkung

  • Eine Rolle besitzt (d. h. sie hat die OWNERSHIP-Berechtigung) die von ihr erstellten Data Exchange-Listen.

  • Nur Kontoadministratoren (d. h. Benutzer mit der Rolle ACCOUNTADMIN) können einer Rolle die globale Berechtigung CREATE DATA EXCHANGE LISTING erteilen.

Um einer Rolle eines Data Exchange-Angebots die globale Berechtigung CREATE DATA EXCHANGE LISTING zu erteilen, verwenden Sie den Befehl GRANT <Berechtigungen> … TO ROLE [WITH GRANT OPTION].

Beispiel:

use role accountadmin;

-- grant the privilege to the SYSADMIN role
grant create data exchange listing on account to role sysadmin;

-- grant the privilege to the SYSADMIN role with grant option
grant create data exchange listing on account to sysadmin with grant option;

MODIFY-Berechtigung für Data Exchange-Listen

Wenn einer Rolle die Berechtigung MODIFY für eine Data Exchange-Liste erteilt wird, kann jeder Benutzer mit dieser Rolle die folgenden Aufgaben ausführen:

  • Listeneigenschaften ändern

  • Listen anzeigen

  • Eingehende Zugriffsanforderungen für Listen anzeigen

  • Listen zur Genehmigung/Veröffentlichung einreichen

  • Listenanforderungen ablehnen

Nur der Eigentümer (OWNER) der Liste kann diese Berechtigung erteilen.

So erteilen Sie einer Rolle die Berechtigung MODIFY für eine Data Exchange-Liste:

Bemerkung

Gegenwärtig kann die MODIFY-Berechtigung für eine Data Exchange-Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

  1. Melden Sie sich als ACCOUNTADMIN bei der Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Listings » Privileges.

  3. Klicken Sie im Abschnitt Modify Listing auf Edit.

  4. Fügen Sie die erforderlichen Rollen hinzu.

USAGE-Berechtigung für Data Exchange-Listen

Wenn einer Rolle die Berechtigung USAGE für eine Data Exchange-Liste erteilt wird, kann jeder Benutzer mit dieser Rolle Listen und eingehende Listenanforderungen des entsprechenden Data Exchange/Data Marketplace-Angebot anzeigen. Nur der Eigentümer (OWNER) der Liste kann diese Berechtigung erteilen.

So erteilen Sie einer Rolle die Berechtigung USAGE für eine Data Exchange-Liste:

Bemerkung

Gegenwärtig kann die USAGE-Berechtigung für eine Data Exchange-Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

  1. Melden Sie sich als ACCOUNTADMIN bei der Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Listings » Privileges.

  3. Klicken Sie im Abschnitt View Listing auf Edit.

  4. Fügen Sie die erforderlichen Rollen hinzu.

OWNERSHIP-Berechtigung für Data Exchange-Listen

Wenn einer Rolle die OWNERSHIP-Berechtigung für eine Data Exchange-Liste erteilt wird, wird diese Rolle zum neuen OWNER der Liste. OWNERSHIP ist eine spezielle Art von Berechtigung, die nur von einer Rolle an eine andere Rolle vergeben werden kann. Sie kann nicht widerrufen werden. Weitere Details dazu finden Sie unter Zugriffssteuerung in Snowflake.

Wichtig

Wenn die Eigentümerschaft einer Liste übertragen wird, werden alle bestehenden Berechtigungen widerrufen. Alle Rollen, denen Berechtigungen erteilt wurden, verlieren sofort den Zugriff auf diese Liste, und ihre Berechtigungen werden widerrufen. Der neue Listeneigentümer muss die Berechtigungen erneut erteilen.

So erteilen Sie einer Rolle die Berechtigung OWNERSHIP für eine Data Exchange-Liste:

Bemerkung

Gegenwärtig kann die OWNERSHIP-Berechtigung für eine Data Exchange-Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

  1. Melden Sie sich als ACCOUNTADMIN bei der Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Listings » Privileges.

  3. Klicken Sie im Abschnitt Ownership auf Edit.

  4. Fügen Sie die erforderlichen Rollen hinzu.