Erteilen von Berechtigungen für andere Rollen

Snowflake bietet einen Satz von Berechtigungen für Snowflake Data Marketplace oder Data Exchange.

Diese Berechtigungen können anderen Rollen (systemdefiniert oder benutzerdefiniert) erteilt werden. Anschließend können Benutzer mit dieser Rolle bestimmte Aufgaben in Snowflake Data Marketplace oder einem Data Exchange-Angebot ausführen.

Unter diesem Thema:

Erteilen von Administratorberechtigungen in Data Exchange

Standardmäßig kann nur ein Kontoadministrator (d. h. ein Benutzer mit der Rolle ACCOUNTADMIN) im Data Exchange-Administratorkonto ein Data Exchange-Angebot verwalten und damit folgende Aufgaben ausführen:

  • Mitgliedern hinzufügen/entfernen

  • Genehmigungsanforderungen für Liste genehmigen/ablehnen

  • Genehmigungsanforderungen für Anbieterprofil genehmigen/ablehnen

  • Kategorien anzeigen

Um das Delegieren dieser Aufgaben an andere Benutzer zu unterstützen, kann anderen Rollen (systemdefiniert oder benutzerdefiniert) die Data Exchange-Berechtigung IMPORTED PRIVILEGES erteilt werden.

Erteilen der IMPORTED PRIVILEGES -Berechtigung an eine andere Rolle

Um einer Rolle die Berechtigung IMPORTED PRIVILEGES für ein Data Exchange-Angebot zu erteilen, verwenden Sie die Rolle ACCOUNTADMIN und den Befehl GRANT GRANT <Berechtigungen> … TO ROLE.

Bemerkung

Der Parameter WITH GRANT OPTION unterstützt nicht die Berechtigung IMPORTED PRIVILEGES.

Syntax:

grant imported privileges on data exchange <exchange_name> to <role_name>;

Wobei:

  • <Exchange-Name> ist der Name des Data Exchange-Angebots.

  • <Rollenname> ist die Rolle, der die Berechtigung erteilt wird.

Erteilen Sie zum Beispiel der Rolle SYSADMIN importierte Berechtigungen für das Data Exchange-Angebot mydataexchange:

use role accountadmin;

grant imported privileges on data exchange mydataexchange to sysadmin;

Nutzungshinweise

  • Diese Berechtigung wird auf der Ebene des Data Exchange-Angebots erteilt. Daher können die Verwaltungsaufgaben nur für das Data Exchange-Angebot ausgeführt werden, für das die Berechtigung erteilt wurde.

  • Nur ein Kontoadministrator im Data Exchange-Administratorkonto kann die Berechtigung einer anderen Rolle erteilen.

  • Wenn einer Rolle IMPORTED PRIVILEGES für eine Datenbank erteilt wurden, die aus einer Freigabe erstellt wurde, listen nachfolgende Aufrufe des Befehls SHOW GRANTS die Berechtigung als USAGE und nicht als IMPORTED PRIVILEGES auf.

  • Diese Berechtigung ist für ein Data Exchange-Angebot vorgesehen. In Snowflake Data Marketplace können administrative Aufgaben nur von Snowflake-Administratoren ausgeführt werden.

Erteilen von Anbieterberechtigungen für andere Rollen in Snowflake Marketplace oder Data Exchange

Snowflake bietet eine Reihe von Berechtigungen auf Konto-, Anbieterprofil- und Auflistungsebene für die Durchführung von Aufgaben, die Datenanbietern auf Snowflake Data Marketplace oder einem Data Exchange-Angebot zur Verfügung stehen.

Diese Berechtigungen können auch anderen Rollen erteilt werden, sodass die Aufgaben an andere Benutzer delegiert werden können.

Berechtigung

Objekttyp

Kann erteilt werden durch

Beschreibung

Globale Berechtigung CREATE DATA EXCHANGE LISTING (unter diesem Thema).

ACCOUNT

ACCOUNTADMIN

Ermöglicht das Erstellen einer Liste oder eines Anbieterprofils.

Berechtigung CREATE SHARE (unter diesem Thema).

ACCOUNT

ACCOUNTADMIN

Ermöglicht das Erstellen einer Freigabe.

Berechtigung IMPORT SHARE (unter diesem Thema).

ACCOUNT

ACCOUNTADMIN

Erteilt die Möglichkeit, eine für das Konto freigegebene eingehende Freigabe anzuzeigen und eine Datenbank aus der Freigabe zu erstellen.

MODIFY-Berechtigung für eine Liste (unter diesem Thema).

LISTING

Listeneigentümer

Ermöglicht das Ändern der Listeneigenschaften.

USAGE-Berechtigung für eine Liste (unter diesem Thema).

LISTING

Listeneigentümer

Ermöglicht das Anzeigen einer Liste.

OWNERSHIP-Berechtigung für eine Liste (unter diesem Thema).

LISTING

Listeneigentümer

Überträgt die Eigentümerschaft (OWNERSHIP) einer Liste.

MODIFY-Berechtigung für ein Anbieterprofil (unter diesem Thema).

PROVIDER PROFILE

Profileigentümer

Ermöglicht das Ändern von Eigenschaften eines Anbieterprofils.

OWNERSHIP-Berechtigung für ein Anbieterprofil (unter diesem Thema).

PROVIDER PROFILE

Profileigentümer

Überträgt die OWNERSHIP-Berechtigung eines Anbieterprofils.

Berechtigungen auf Kontoebene

Snowflake bietet die folgenden Berechtigungen für die Verwendung von Freigaben, Datenlisten und Anbieterprofilen auf Kontoebene in Snowflake Data Marketplace oder in einem Data Exchange-Angebot:

Globale Berechtigung CREATE DATA EXCHANGE LISTING

Wenn einer Rolle die globale Berechtigung CREATE DATA EXCHANGE LISTING erteilt wird, kann jeder Benutzer mit dieser Rolle eine Liste oder ein Anbieterprofil erstellen. Als Ersteller und damit Eigentümer der Liste kann die Rolle auch verwendet werden, um alle Aufgaben auf der Liste auszuführen, einschließlich:

  • Listen erstellen

  • Listeneigenschaften ändern

  • Listen anzeigen

  • Eingehende Zugriffsanforderungen für Listen anzeigen

  • Listenanforderungen ablehnen

  • Listen zur Genehmigung/Veröffentlichung einreichen

  • Anbieterprofile erstellen und anzeigen

Wenn ein Konto Anbieter in mehr als einem Data Exchange-Angebot ist, kann eine Rolle mit der globalen Berechtigung CREATE DATA EXCHANGE LISTING Datenlisten in jedem dieser Data Exchange-Angebote erstellen.

Bemerkung

  • Eine Rolle, die eine Liste erstellt, wird zum Eigentümer der Liste. Die OWNERSHIP-Berechtigung kann mit OWNERSHIP-Berechtigung für eine Liste von der besitzenden Rolle auf eine andere Rolle übertragen werden.

  • Nur Kontoadministratoren (d. h. Benutzer mit der Rolle ACCOUNTADMIN) können einer Rolle die globale Berechtigung CREATE DATA EXCHANGE LISTING erteilen.

Um einer Rolle eines Data Exchange-Angebots die globale Berechtigung CREATE DATA EXCHANGE LISTING zu erteilen, verwenden Sie den Befehl GRANT <Berechtigungen> … TO ROLE [WITH GRANT OPTION].

Beispiel:

use role accountadmin;

-- grant the privilege to the SYSADMIN role
grant create data exchange listing on account to role sysadmin;

-- grant the privilege to the SYSADMIN role with grant option
grant create data exchange listing on account to sysadmin with grant option;

Berechtigung CREATE SHARE

Wenn die Berechtigung CREATE SHARE einer Rolle erteilt wird, kann jeder Benutzer mit der Rolle eine Freigabe erstellen. Als Ersteller und damit Eigentümer der Freigabe kann die Rolle auch verwendet werden, um alle Aufgaben auf der Freigabe auszuführen, einschließlich:

  • Erteilen oder Entziehen von Berechtigungen für Objekte der Freigabe

  • Hinzufügen oder Entfernen von Verbraucherkonten zu/aus Freigaben.

Weitere Informationen dazu finden Sie unter Berechtigung CREATE SHARE.

Berechtigung IMPORT SHARE

Wenn die Berechtigung IMPORT SHARE einer Rolle erteilt wird, kann jeder Benutzer mit dieser Rolle die folgenden Aufgaben ausführen:

  • Anzeigen aller INBOUND-Freigaben (die von den Anbietern gemeinsam genutzt werden), und Erstellen von Datenbanken für die Freigaben.

  • Anzeigen aller OUTBOUND-Freigaben, die Eigentum der Rolle sind.

Weitere Informationen dazu finden Sie unter Berechtigung IMPORT SHARE.

Berechtigungen auf Listenebene

Snowflake bietet die folgenden Berechtigungen für Datenlisten. Diese Berechtigungen können von einem Listeneigentümer (einem Benutzer mit der Berechtigung OWNERSHIP) im Snowflake Data Marketplace oder einem Data Exchange-Angebot erteilt werden:

MODIFY-Berechtigung für eine Liste

Wenn einer Rolle die Berechtigung MODIFY erteilt wird, kann jeder Benutzer mit dieser Rolle die folgenden Aufgaben auf einer Liste ausführen:

  • Listeneigenschaften ändern

  • Listen anzeigen

  • Eingehende Zugriffsanforderungen für Listen anzeigen

  • Listen zur Genehmigung/Veröffentlichung einreichen

  • Listenanforderungen ablehnen

Nur der Eigentümer (OWNER) der Liste kann diese Berechtigung erteilen. Gegenwärtig kann die MODIFY-Berechtigung für eine Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

So erteilen Sie die Berechtigung MODIFY für eine Liste in Snowflake Data Marketplace:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Snowflake Data Marketplace » Listings.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung Modify Listing auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

So erteilen Sie die Berechtigung MODIFY für eine Liste eines Data Exchange-Angebots:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Shared Data » Shared By My Account.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung Modify Listing auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

USAGE-Berechtigung für eine Liste

Wenn einer Rolle die USAGE-Berechtigung für eine Liste erteilt wird, kann jeder Benutzer mit dieser Rolle Listen und eingehende Listenanforderungen anzeigen. Nur der Eigentümer (OWNER) der Liste kann diese Berechtigung erteilen.

Gegenwärtig kann die USAGE-Berechtigung für eine Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

So erteilen Sie die Berechtigung USAGE für eine Liste in Snowflake Data Marketplace:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Snowflake Data Marketplace » Listings.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung View Listing auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

So erteilen Sie die Berechtigung USAGE für eine Liste eines Data Exchange-Angebots:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Shared Data » Shared By My Account.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung View Listing auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

OWNERSHIP-Berechtigung für eine Liste

Wenn einer Rolle die OWNERSHIP-Berechtigung für eine Liste erteilt wird, wird diese Rolle zum neuen Eigentümer (OWNER) der Liste. Nur der Eigentümer (OWNER) der Liste kann diese Berechtigung erteilen. OWNERSHIP ist eine spezielle Art von Berechtigung, die nur von einer Rolle an eine andere Rolle vergeben werden kann. Sie kann nicht widerrufen werden. Weitere Details dazu finden Sie unter Zugriffssteuerung in Snowflake.

Wichtig

Wenn die Eigentümerschaft einer Liste übertragen wird, werden alle bestehenden Berechtigungen widerrufen. Alle Rollen, denen Berechtigungen erteilt wurden, verlieren sofort den Zugriff auf diese Liste, und ihre Berechtigungen werden widerrufen. Der neue Listeneigentümer muss die Berechtigungen erneut erteilen.

Gegenwärtig kann die OWNERSHIP-Berechtigung für eine Liste nur über die neue Snowflake-Weboberfläche erteilt werden.

So erteilen Sie die Berechtigung OWNERSHIP für eine Liste in Snowflake Data Marketplace:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Manage » Snowflake Data Marketplace » Listings.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung OWNERSHIP auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

So erteilen Sie die Berechtigung OWNERSHIP für eine Liste eines Data Exchange-Angebots:

  1. Melden Sie sich bei der neuen Snowflake-Weboberfläche an.

  2. Navigieren Sie zu Data » Shared Data » Shared By My Account.

  3. Klicken Sie auf den Titel der Liste.

  4. Klicken Sie auf der Seite mit den Listendetails auf die Registerkarte Settings.

  5. Klicken Sie im Abschnitt Privileges neben der Berechtigung OWNERSHIP auf das Stiftsymbol.

  6. Klicken Sie auf die Schaltfläche Add Role, und fügen Sie die gewünschten Rollen hinzu.

  7. Klicken Sie auf Save.

Berechtigungen auf Ebene des Anbieterprofils

Snowflake bietet die folgenden Berechtigungen für Anbieterprofile. Diese Berechtigungen können von einem Eigentümer des Anbieterprofils (einem Benutzer mit der Berechtigung OWNERSHIP) im Snowflake Data Marketplace oder einem Data Exchange-Angebot gewährt werden:

Bemerkung

  • Verwenden Sie zum Erstellen eines Profils die globale Berechtigung Globale Berechtigung CREATE DATA EXCHANGE LISTING (in diesem Dokument).

  • Jede Rolle im Anbieterkonto kann alle Profile sehen. Diese Berechtigung muss nicht explizit erteilt werden.

MODIFY-Berechtigung für ein Anbieterprofil

Wenn einer Rolle die MODIFY-Berechtigung für ein Anbieterprofil erteilt wird, kann jeder Benutzer mit dieser Rolle die Eigenschaften des Anbieterprofils anzeigen und ändern. Nur der Eigentümer (OWNER) des Anbieterprofils kann diese Berechtigung erteilen.

Die MODIFY-Berechtigung kann über die Weboberfläche oder mit SQL erteilt werden:

Weboberfläche

Klicken Sie auf der neuen Snowflake-Weboberfläche auf Data » Manage » Provider Profile » View » Manage » Manage Profile Editors.

SQL

Führen Sie den Befehl GRANT <Berechtigungen> … TO ROLE [WITH GRANT OPTION] aus

Beispiel:

-- grant the privilege to the SYSADMIN role
grant modify on data exchange profile "<provider_profile_name>" to role sysadmin;

OWNERSHIP-Berechtigung für ein Anbieterprofil

Wenn einer Rolle die OWNERSHIP-Berechtigung für ein Anbieterprofil erteilt wird, wird diese Rolle zum neuen Eigentümer (OWNER) des Profils. Nur der Eigentümer (OWNER) des Anbieterprofils kann diese Berechtigung erteilen. OWNERSHIP ist eine spezielle Art von Berechtigung, die nur von einer Rolle an eine andere Rolle vergeben werden kann. Sie kann nicht widerrufen werden. Weitere Details dazu finden Sie unter Zugriffssteuerung in Snowflake.

Um einer Rolle die Berechtigung OWNERSHIP für ein Anbieterprofil zu erteilen, verwenden Sie den Befehl GRANT <Berechtigungen> … TO ROLE [WITH GRANT OPTION]. Zurzeit kann die Berechtigung nicht über die neue Snowflake-Weboberfläche erteilt werden.

Beispiel:

-- grant the privilege to the SYSADMIN role
grant ownership on data exchange profile "<provider_profile_name>" to role sysadmin;