Zugriffssteuerungsrechte¶
Unter diesem Thema werden die Berechtigungen beschrieben, die im Snowflake-Zugriffssteuerungsmodell verfügbar sind. Berechtigungen werden Rollen erteilt, und Rollen werden Benutzern zugewiesen, um die Operationen anzugeben, die die Benutzer auf Objekten im System ausführen können.
Unter diesem Thema:
Alle Berechtigungen (alphabetisch)¶
Die folgenden Berechtigungen sind im Snowflake-Zugangssteuerungsmodell verfügbar. Die Bedeutung der einzelnen Berechtigungen variiert je nach Objekttyp, auf den sie angewendet werden, und nicht alle Objekte unterstützen alle Berechtigungen:
Berechtigung |
Objekttyp |
Beschreibung |
|---|---|---|
ALL [ PRIVILEGES ] |
Alle |
Gewährt alle Berechtigungen für den angegebenen Objekttyp. |
APPLY |
Richtlinie, Tag |
Ermöglicht die Zuweisung einer Richtlinie oder eines Tags zu einem Objekt, das mit einem Tag versehen oder durch eine Richtlinie geschützt werden kann. |
APPLYBUDGET |
Datenbank, Schema, Tabelle, Hybridtabelle, Apache Iceberg™ Tabelle, Warehouse, Aufgabe, Pipe, materialisierte Ansicht |
Ermöglicht das Hinzufügen oder Entfernen eines Objekts zu oder aus einem Budget. |
APPLY AGGREGATION POLICY |
Global |
Ermöglicht das Hinzufügen und Löschen einer Aggregationsrichtlinie für eine Tabelle oder Ansicht. |
APPLY AUTHENTICATION POLICY |
Global |
Ermöglicht das Hinzufügen oder Löschen einer Authentifizierungsrichtlinie für das Snowflake-Konto oder für einen Benutzer des Snowflake-Kontos. |
APPLY MASKING POLICY |
Global |
Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte und das Festlegen einer Maskierungsrichtlinie auf einem Tag. Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY PACKAGES POLICY |
Global |
Ermöglicht das Hinzufügen oder Löschen einer Paketrichtlinie zum Snowflake-Konto. |
APPLY PASSWORD POLICY |
Global |
Ermöglicht das Hinzufügen oder Löschen einer Kennwortrichtlinie für das Snowflake-Konto oder für einen Benutzer des Snowflake-Kontos. |
APPLY PRIVACY POLICY |
Global |
Ermöglicht das Hinzufügen und Löschen einer Datenschutzrichtlinie in einer Tabelle oder Ansicht. |
APPLY PROJECTION POLICY |
Global |
Ermöglicht das Hinzufügen und Löschen einer Projektionsrichtlinie für eine Tabelle oder Ansicht. |
APPLY ROW ACCESS POLICY |
Global |
Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für eine Tabelle oder Ansicht. Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY SESSION POLICY |
Global |
Ermöglicht das Festlegen und Aufheben einer Sitzungsrichtlinie für ein Konto oder einen Benutzer. |
APPLY TAG |
Global |
Ermöglicht das Hinzufügen oder Löschen eines Tags, das einem Snowflake-Objekt zugeordnet ist. |
ATTACH POLICY |
Global |
Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto. |
AUDIT |
Global |
Ermöglicht das Festlegen des Benutzerparameters ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR. |
BIND SERVICE ENDPOINT |
Global |
Ermöglicht das Erstellen eines Dienstes, der öffentliche Endpunkte unterstützt. Weitere Informationen über öffentliche Endpunkte finden Sie unter Dateneingang: Verwenden eines Dienstes von außerhalb von Snowflake. |
CREATE <Objekttyp> |
Global, Datenbank, Schema |
Ermöglicht das Erstellen eines Objekts vom Typ <Objekttyp> (z. B. CREATE TABLE, um eine Tabelle innerhalb eines Schemas zu erstellen). |
DELETE |
Tabelle, Hybridtabelle, Iceberg-Tabelle |
Ermöglicht das Ausführen eines DELETE-Befehls auf der Tabelle. |
EVOLVE SCHEMA |
Tabelle |
Ermöglich die Schemaentwicklung beim Laden von Daten in eine Tabelle. |
EXECUTE ALERT |
Global |
Erteilt die Berechtigung zum Ausführen von Alerts, die der Rolle gehören. Damit serverlose Alerts ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für den Alert hat, auch über die globale Berechtigung EXECUTE MANAGED ALERT verfügen. |
EXECUTE DATA METRIC FUNCTION |
Global |
Ermöglicht die Verwendung serverloser Computeressourcen beim Aufruf einer Datenmetrikfunktion. |
EXECUTE MANAGED ALERT |
Global |
Ermöglicht das Erstellen von Alerts, die auf serverlose Computeressourcen angewiesen sind. Nur für das Erstellen serverloser Alerts erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für einen serverlosen Alert muss sowohl über die EXECUTE MANAGED ALERT- als auch über die EXECUTE ALERT-Berechtigung verfügen, damit der Alert ausgeführt werden kann. |
EXECUTE MANAGED TASK |
Global |
Ermöglicht das Erstellen von Aufgaben, die auf serverlose Computeressourcen angewiesen sind. Nur für das Erstellen serverloser Aufgaben erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für die Aufgabe muss sowohl über die EXECUTE MANAGED TASK- als auch über die EXECUTE TASK-Berechtigung verfügen, damit die Aufgabe ausgeführt werden kann. |
EXECUTE TASK |
Global |
Ermöglicht das Ausführen von Aufgaben, bei denen die Rolle Eigentümer ist. Damit serverlose Aufgaben ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für die Aufgabe hat, auch über die globale EXECUTE MANAGED TASK-Berechtigung verfügen. |
FAILOVER |
Failover-Gruppe, Verbindung |
Ermöglicht das Heraufstufen einer sekundären Failover-Gruppe oder eine Sekundärverbindung zur Verwendung als primäre Failover-Gruppe bzw. Primärverbindung. |
IMPORT SHARE |
Global |
Gilt für Datenverbraucher. Ermöglicht das Anzeigen der Freigaben, die für Ihr Konto freigegeben wurden. Ermöglicht das Erstellen von Datenbanken aus den Freigaben. Erfordert die globale Berechtigung CREATE DATABASE. |
OVERRIDE SHARE RESTRICTIONS |
Global |
Ermöglicht das Festlegen eines Werts für den Parameter SHARE_RESTRICTIONS einer Freigabe, mit dem ein Business Critical-Anbieterkonto ein Verbraucherkonto (keine Business Critical Edition) zu einer Freigabe hinzufügen kann. Weitere Details dazu finden Sie unter Freigabe von einem Business Critical-Konto für ein Nicht-Business Critical-Konto aktivieren. |
IMPORTED PRIVILEGES |
Datenbank, Data Exchange |
Gewährt anderen Rollen als der Eigentümerrolle die Möglichkeit, auf eine freigegebene Datenbank zuzugreifen oder einen Snowflake Marketplace bzw. eine Datenbörse zu verwalten. |
INSERT |
Tabelle, Hybridtabelle, Iceberg-Tabelle |
Ermöglicht das Ausführen eines INSERT-Befehls auf der Tabelle. |
MANAGE ACCOUNT SUPPORT CASES |
Global |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle für das aktuelle Konto in Snowsight. |
MANAGE ACCOUNTS |
Global |
Ermöglicht das Verwalten des Lebenszyklus von Konten in einer Organisation. |
MANAGE GRANTS |
Global |
Ermöglicht das Erteilen oder Entziehen von Berechtigungen für jedes Objekt, so als ob die aufrufende Rolle Eigentümer des Objekts wäre. |
MANAGE LISTING AUTOFULFILLMENT |
Global |
Ermöglicht das Veröffentlichen von Freigabeangeboten in Remoteregionen mit Cloud-übergreifende automatische Ausführung und das Verwalten der Einstellungen für die automatische Auftragsausführung von Freigabeangeboten. |
MANAGE ORGANIZATION CONTACTS |
Global |
Ermöglicht das Verwalten der Kontakte einer Organisation. |
MANAGE ORGANIZATION SUPPORT CASES |
Global |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle, die vom aktuellen Benutzer in Snowsight eröffnet wurden. |
MANAGE ORGANIZATION TERMS |
Global |
Ermöglicht das Verwalten rechtlichen Bedingungen für eine Organisation. |
MANAGE USER SUPPORT CASES |
Global |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle für das aktuelle Konto in Snowsight. |
MANAGE WAREHOUSES |
Global |
Ermöglicht das Ausführen von Operationen, die die Berechtigungen MODIFY, MONITOR oder OPERATE für Warehouses in demselben Konto erfordern. |
MODIFY |
Ressourcenmonitor, Warehouse, Data Exchange-Angebot, Datenbank, Schema, Failover-Gruppe, Replikationsgruppe, Computepool |
Ermöglicht das Ändern der Einstellungen oder Eigenschaften eines Objekts (z. B. bietet bei einem virtuellen Warehouse die Möglichkeit, die Größe eines virtuellen Warehouses zu ändern). |
MODIFY LOG LEVEL |
Global |
Ermöglicht das Einstellen des Schweregrads von Protokollmeldungen, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. Weitere Informationen dazu finden Sie unter LOG_LEVEL. |
MODIFY SESSION LOG LEVEL |
Global |
Ermöglicht das Einstellen des Schweregrads von Protokollmeldungen, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. Weitere Informationen dazu finden Sie unter LOG_LEVEL. |
MODIFY METRIC LEVEL |
Global |
Ermöglicht das Festlegen der Ebene der Metrikdaten, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. Weitere Informationen dazu finden Sie unter METRIC_LEVEL. |
MODIFY SESSION METRIC LEVEL |
Global |
Ermöglicht das Festlegen der Ebene der Metrikdaten, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. Weitere Informationen dazu finden Sie unter METRIC_LEVEL. |
MODIFY TRACE LEVEL |
Global |
Ermöglicht das Einstellen des Protokolliergrads der Ablaufverfolgungsereignisse, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. Beim Verfolgen von Ereignissen müssen Sie auch den Parameter LOG_LEVEL auf einen der unterstützten Werte setzen. Weitere Informationen dazu finden Sie unter TRACE_LEVEL. |
MODIFY SESSION TRACE LEVEL |
Global |
Ermöglicht das Einstellen des Protokolliergrads von Ablaufverfolgungsereignissen, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. Beim Verfolgen von Ereignissen müssen Sie auch den Parameter LOG_LEVEL auf einen der unterstützten Werte setzen. Weitere Informationen dazu finden Sie unter TRACE_LEVEL. |
MONITOR |
Benutzer, Ressourcenmonitor, Warehouse, Datenbank, Schema, Aufgabe, Failover-Gruppe, Replikationsgruppe, Alert, Computepool, Dienst, dynamische Tabelle |
Ermöglicht das Anzeigen von Details eines Objekts (z. B. Abfragen und Nutzung innerhalb eines Warehouses). |
MONITOR EXECUTION |
Global |
Ermöglicht das Überwachen von Pipes (Snowpipe) oder Aufgaben im Konto. |
MONITOR SECURITY |
Global |
Ermöglicht das Aufrufen von Systemfunktionen mit Bezug zu Kundenverwaltete Schlüssel. |
MONITOR USAGE |
Global |
Ermöglicht das Überwachen der Nutzung auf Kontoebene und der historischen Informationen für Datenbanken und Warehouses. Weitere Details dazu finden Sie unter Möglichkeit zum Überwachen des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Konsole. Ermöglicht zudem das Anzeigen verwalteter Konten mithilfe von SHOW MANAGED ACCOUNTS. |
OPERATE |
Warehouse, Aufgabe, dynamische Tabelle, Alert, Computepool. Dienst |
Ermöglicht das Starten, Stoppen, Anhalten oder Fortsetzen eines virtuellen Warehouses. Ermöglicht das Anhalten oder Fortsetzen einer Aufgabe. Ermöglicht das Anhalten, Fortsetzen oder Aktualisieren einer dynamische Tabelle. Ermöglicht das Anhalten oder Fortsetzen eines Computepools. Ermöglicht, einen Snowpark Container Services-Dienst auszusetzen oder fortzusetzen, den Dienst zu aktualisieren, Eigenschaften des Dienstes einzustellen und zu löschen. |
OWNERSHIP |
Alle |
Ermöglicht das Löschen und Ändern eines Objekts sowie das Zuweisen und Entziehen des Zugriffs auf das Objekt. Wird benötigt, um ein Objekt umzubenennen und ein temporäres Objekt mit demselben Namen wie das Objekt selbst zu erstellen. OWNERSHIP ist eine spezielle Berechtigung für ein Objekt, das automatisch der Rolle zugewiesen wird, die das Objekt erstellt hat, aber von der besitzenden Rolle mit dem Befehl GRANT OWNERSHIP auch auf eine andere Rolle oder eine beliebige Rolle mit MANAGE GRANTS-Berechtigung übertragen werden kann. |
PURCHASE DATA EXCHANGE LISTING |
Global |
Ermöglicht den Kauf eines kostenpflichtigen Freigabeangebots. |
READ |
Stagingbereich (nur intern), Computepool, Git-Image-Repository, Image-Repository |
Ermöglicht das Ausführen aller Operationen, die das Lesen aus einem Stagingbereich (GET, LIST, COPY INTO <Tabelle> usw.) erfordert. Ermöglicht das Herunterladen eines Images aus einem Image-Repository. READ-Berechtigung für Stagingbereich und Image-Repository ist erforderlich, um einen Snowpark Container Services-Dienst zu erstellen. |
READ SESSION |
Global |
Ermöglicht das Lesen des Sitzungskontexts. |
REFERENCES |
Tabelle, Hybridtabelle, Iceberg-Tabelle, externe Tabelle, Ansicht |
Ermöglicht das Anzeigen der Struktur eines Objekts (aber nicht der Daten). . . Für Tabellen bietet die Berechtigung auch die Möglichkeit, das Objekt als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung zu referenzieren. |
REPLICATE |
Replikationsgruppe, Failover-Gruppe |
Ermöglicht das Aktualisieren einer sekundären Replikations- oder Failover-Gruppe. |
RESOLVE ALL |
Global |
Ermöglicht das Auflösen aller Objekte im Konto, wodurch das Objekt im entsprechenden SHOW <Objekte>-Befehl ausgegeben wird. |
SELECT |
Tabelle, Hybridtabelle, Iceberg-Tabelle, externe Tabelle, Ansicht, Stream |
Ermöglicht das Ausführen einer SELECT-Anweisung auf der Tabelle/Ansicht. |
TRUNCATE |
Tabelle, Hybridtabelle, Ereignistabelle, Iceberg-Tabelle |
Ermöglicht das Ausführen eines TRUNCATE TABLE-Befehls auf der Tabelle. |
UPDATE |
Tabelle, Hybridtabelle, Iceberg-Tabelle |
Ermöglicht das Ausführen eines UPDATE-Befehls auf der Tabelle. |
USAGE |
Warehouse, Data Exchange-Angebot, Integration, Datenbank, Schema, Stagingbereich (nur extern), Dateiformat, Sequenz, gespeicherte Prozedur, benutzerdefinierte Funktion, externe Funktion, Computepool, Snapshot, Modell |
Ermöglicht das Ausführen eines USE <Objekt>-Befehls auf dem Objekt. Ermöglicht auch das Ausführen eines SHOW <Objekte>-Befehls auf dem Objekt. Die Nutzung eines Computepools ist erforderlich, um einen Snowpark Container Services-Dienst zu erstellen. Bei Modellen ermöglicht USAGE das Ausführen von Inferenzmethoden. Es wird kein Zugriff auf die zugrunde liegenden Artefakte des Modells gewährt. |
WRITE |
Stagingbereich (nur intern), Image-Repository, Git-Repository |
Ermöglicht das Ausführen aller Operationen, die das Schreiben in einen internen Stagingbereich erfordern (PUT, REMOVE, COPY INTO <Speicherort> usw.). Ermöglicht das Hochladen eines Images in ein Image-Repository. |
Die restlichen Abschnitte unter diesem Thema beschreiben die spezifischen Berechtigungen, die für jeden Objekttyp und seine Nutzung verfügbar sind.
Globale Berechtigung (Berechtigungen auf Kontoebene)¶
Berechtigung |
Verwendung |
Anmerkungen |
|---|---|---|
APPLY AGGREGATION POLICY |
Ermöglicht das Hinzufügen und Löschen einer Aggregationsrichtlinie für eine Tabelle oder Ansicht. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY AUTHENTICATION POLICY |
Ermöglicht das Hinzufügen oder Löschen einer Authentifizierungsrichtlinie für das Snowflake-Konto oder für einen Benutzer des Snowflake-Kontos. |
|
APPLY MASKING POLICY |
Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte und das Festlegen einer Maskierungsrichtlinie auf einem Tag. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY ROW ACCESS POLICY |
Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für eine Tabelle oder Ansicht. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY PACKAGES POLICY |
Ermöglicht das Hinzufügen oder Löschen einer Paketrichtlinie zum Snowflake-Konto. |
|
APPLY PASSWORD POLICY |
Ermöglicht das Hinzufügen oder Löschen einer Kennwortrichtlinie für das Snowflake-Konto oder für einen Benutzer des Snowflake-Kontos. |
|
APPLY PRIVACY POLICY |
Ermöglicht das Hinzufügen und Löschen einer Datenschutzrichtlinie in einer Tabelle oder Ansicht. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY PROJECTION POLICY |
Ermöglicht das Hinzufügen und Löschen einer Projektionsrichtlinie für eine Tabelle oder Ansicht. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY SESSION POLICY |
Ermöglicht das Festlegen und Aufheben einer Sitzungsrichtlinie für ein Konto oder einen Benutzer. |
|
APPLY TAG |
Ermöglicht das Hinzufügen oder Löschen eines Tags, das einem Snowflake-Objekt zugeordnet ist. |
|
ATTACH POLICY |
Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto. |
|
AUDIT |
Ermöglicht das Festlegen des Benutzerparameters ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR. |
|
BIND SERVICE ENDPOINT |
Ermöglicht das Erstellen eines Dienstes, der öffentliche Endpunkte unterstützt. Weitere Informationen über öffentliche Endpunkte finden Sie unter Dateneingang: Verwenden eines Dienstes von außerhalb von Snowflake |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE ACCOUNT |
Ermöglicht es einem Datenanbieter, ein neues verwaltetes Konto (z. B. Leserkonto) zu erstellen. Weitere Details dazu finden Sie unter Leserkonten verwalten. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE COMPUTE POOL |
Ermöglicht das Erstellen eines Computepools zur Ausführung eines Snowpark Container Services-Dienstes. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE DATABASE |
Ermöglicht das Erstellen einer neuen Datenbank. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE EXTERNAL VOLUME |
Ermöglicht die Erstellung eines neuen externen Volumes für Apache Iceberg™-Tabellen. |
|
CREATE FAILOVER GROUP |
Ermöglicht das Erstellen einer neuen Failover-Gruppe. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE REPLICATION GROUP |
Ermöglicht das Erstellen einer neuen Replikationsgruppe. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE ROLE |
Ermöglicht das Erstellen einer neuen Rolle. |
|
CREATE USER |
Ermöglicht das Erstellen eines neuen Benutzers. |
|
CREATE DATA EXCHANGE LISTING |
Ermöglicht das Erstellen eines neuen Datenbörsen-Angebots. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE INTEGRATION |
Ermöglicht das Erstellen einer neuen Katalog-, Benachrichtigungs-, Sicherheits- oder Speicherintegration. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE NETWORK POLICY |
Ermöglicht das Erstellen einer neuen Netzwerkrichtlinie. |
|
CREATE SHARE |
Ermöglicht es einem Datenanbieter, eine neue Freigabe zu erstellen. Weitere Details dazu finden Sie unter Ermöglichen Sie es Rollen, die nicht ACCOUNTADMIN sind, Datenfreigabe-Aufgaben durchzuführen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE WAREHOUSE |
Ermöglicht das Erstellen eines neuen virtuellen Warehouses. |
|
EXECUTE ALERT |
Erteilt die Berechtigung zum Ausführen von Alerts, die der Rolle gehören. Damit serverlose Alerts ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für den Alert hat, auch über die globale Berechtigung EXECUTE MANAGED ALERT verfügen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
EXECUTE DATA METRIC FUNCTION |
Ermöglicht die Verwendung serverloser Computeressourcen beim Aufruf einer Datenmetrikfunktion. |
|
EXECUTE MANAGED ALERT |
Ermöglicht das Erstellen von Alerts, die auf serverlose Computeressourcen angewiesen sind. Nur für das Erstellen serverloser Alerts erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für einen serverlosen Alert muss sowohl über die EXECUTE MANAGED ALERT- als auch über die EXECUTE ALERT-Berechtigung verfügen, damit der Alert ausgeführt werden kann. |
|
EXECUTE MANAGED TASK |
Ermöglicht das Erstellen von Aufgaben, die auf serverlose Computeressourcen angewiesen sind. Nur für serverlose Aufgaben erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für die Aufgabe muss sowohl über die EXECUTE MANAGED TASK- als auch über die EXECUTE TASK-Berechtigung verfügen, damit die Aufgabe ausgeführt werden kann. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
EXECUTE TASK |
Ermöglicht das Ausführen von Aufgaben, bei denen die Rolle Eigentümer ist. Damit serverlose Aufgaben ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für die Aufgabe hat, auch über die globale EXECUTE MANAGED TASK-Berechtigung verfügen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
IMPORT SHARE |
Ermöglicht es einem Datenverbraucher, Freigaben anzuzeigen, die für sein Konto freigegebene wurden. Gewährt auch die Möglichkeit, Datenbanken aus Freigaben zu erstellen. Erfordert die globale Berechtigung CREATE DATABASE. Weitere Details dazu finden Sie unter Ermöglichen Sie es Rollen, die nicht ACCOUNTADMIN sind, Datenfreigabe-Aufgaben durchzuführen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
MANAGE ACCOUNTS |
Ermöglicht das Verwalten des Lebenszyklus von Konten (z. B. Erstellen und Löschen). |
Muss von der Rolle GLOBALORGADMIN im Organisationskonto gewährt werden. |
MANAGE ACCOUNT SUPPORT CASES |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle für das aktuelle Konto in Snowsight. |
|
MANAGE GRANTS |
Ermöglicht das Erteilen oder Entziehen von Berechtigungen für Objekte, für die die Rolle nicht Eigentümer ist. |
Muss von der Rolle SECURITYADMIN (oder höher) gewährt werden. |
MANAGE ORGANIZATION CONTACTS |
Ermöglicht das Verwalten der Kontakte einer Organisation. |
Muss von der Rolle GLOBALORGADMIN im Organisationskonto gewährt werden. |
MANAGE ORGANIZATION SUPPORT CASES |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle, die vom aktuellen Benutzer in Snowsight eröffnet wurden. |
|
MANAGE ORGANIZATION TERMS |
Ermöglicht das Verwalten rechtlichen Bedingungen für eine Organisation. |
Muss von der Rolle GLOBALORGADMIN im Organisationskonto gewährt werden. |
MANAGE USER SUPPORT CASES |
Ermöglicht das Anzeigen, Kommentieren und Verwalten aller Supportfälle für das aktuelle Konto in Snowsight. |
|
MANAGE WAREHOUSES |
Ermöglicht das Ausführen von Operationen, die die Berechtigungen MODIFY, MONITOR oder OPERATE für Warehouses in demselben Konto erfordern. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
MANAGE LISTING AUTOFULFILLMENT |
Ermöglicht das Veröffentlichen von Freigabeangeboten in Remoteregionen mit Cloud-übergreifende automatische Ausführung und das Verwalten der Einstellungen für die automatische Auftragsausführung von Freigabeangeboten. |
Muss im Organisationskonto von der Rolle GLOBALORGADMIN gewährt werden. In allen anderen Konten muss die Rolle ACCOUNTADMIN die Berechtigung erteilen, nachdem sie die Berechtigungen von der Rolle ORGADMIN erhalten hat. |
MODIFY LOG LEVEL |
Ermöglicht das Einstellen des Schweregrads von Protokollmeldungen, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. |
Weitere Informationen dazu finden Sie unter LOG_LEVEL. |
MODIFY METRIC LEVEL |
Ermöglicht das Festlegen der Ebene der Metrikdaten, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. |
Weitere Informationen dazu finden Sie unter METRIC_LEVEL. |
MODIFY SESSION LOG LEVEL |
Ermöglicht das Einstellen des Schweregrads von Protokollmeldungen, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. |
Weitere Informationen dazu finden Sie unter LOG_LEVEL. |
MODIFY SESSION METRIC LEVEL |
Ermöglicht das Festlegen der Ebene der Metrikdaten, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. |
Weitere Informationen dazu finden Sie unter METRIC_LEVEL. |
MODIFY TRACE LEVEL |
Ermöglicht das Einstellen des Protokolliergrads der Ablaufverfolgungsereignisse, die für gespeicherte Prozeduren und UDFs im aktuellen Konto erfasst werden. |
Beim Verfolgen von Ereignissen müssen Sie auch den Parameter LOG_LEVEL auf einen der unterstützten Werte setzen. Weitere Informationen dazu finden Sie unter TRACE_LEVEL. |
MODIFY SESSION TRACE LEVEL |
Ermöglicht das Einstellen des Protokolliergrads von Ablaufverfolgungsereignissen, die für gespeicherte Prozeduren und UDFs, die in der aktuellen Sitzung aufgerufen werden, erfasst werden. |
Beim Verfolgen von Ereignissen müssen Sie auch den Parameter LOG_LEVEL auf einen der unterstützten Werte setzen. Weitere Informationen dazu finden Sie unter TRACE_LEVEL. |
MONITOR EXECUTION |
Ermöglicht das Überwachen aller Pipes oder Aufgaben im Konto. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. Die USAGE-Berechtigung ist auch für jede Datenbank und jedes Schema erforderlich, die diese Objekte speichern. |
MONITOR SECURITY |
Ermöglicht das Aufrufen von Systemfunktionen mit Bezug zu Kundenverwaltete Schlüssel. |
|
MONITOR USAGE |
Ermöglicht das Überwachen der Nutzung auf Kontoebene und der historischen Informationen für Datenbanken und Warehouses. Weitere Details dazu finden Sie unter Möglichkeit zum Überwachen des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Konsole. Ermöglicht zudem das Anzeigen verwalteter Konten mithilfe von SHOW MANAGED ACCOUNTS. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
OVERRIDE SHARE RESTRICTIONS |
Ermöglicht das Festlegen eines Werts für den Parameter SHARE_RESTRICTIONS einer Freigabe, mit dem ein Business Critical-Anbieterkonto ein Verbraucherkonto (keine Business Critical Edition) zu einer Freigabe hinzufügen kann. |
Weitere Details dazu finden Sie unter Freigabe von einem Business Critical-Konto für ein Nicht-Business Critical-Konto aktivieren. |
PURCHASE DATA EXCHANGE LISTING |
Ermöglicht den Kauf eines kostenpflichtigen Freigabeangebots. |
Weitere Informationen finden Sie außerdem unter Bezahlen für Freigabeangebote. |
READ SESSION |
Ermöglicht das Lesen des Sitzungskontexts. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
RESOLVE ALL |
Ermöglicht das Auflösen aller Objekte im Konto, wodurch das Objekt im entsprechenden SHOW <Objekte>-Befehl ausgegeben wird. |
|
ALL [ PRIVILEGES ] |
Erteilt alle globalen Berechtigungen. |
Berechtigungen von Benutzern¶
Berechtigung |
Verwendung |
|---|---|
MONITOR |
Ermöglicht dem Benutzer das Anzeigen des Anmeldeverlaufs. |
OWNERSHIP |
Gewährt die volle Kontrolle über einen Benutzer bzw. eine Rolle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Benutzer, außer OWNERSHIP. |
Berechtigungen von Rollen¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Gewährt die volle Kontrolle über eine Rolle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Beachten Sie, dass die Eigentümerrolle keine Berechtigungen erbt, die der besitzenden Rolle erteilt wurden. Um Berechtigungen von einer Rolle zu erben, muss diese Rolle einer anderen Rolle gewährt werden, wodurch eine Übergeordnet/Untergeordnet-Beziehung in einer Rollenhierarchie entsteht. |
Berechtigungen von Ressourcenmonitoren¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern aller Eigenschaften eines Ressourcenmonitors, wie z. B. das Ändern des monatlichen Credit-Kontingents. |
MONITOR |
Ermöglicht die Anzeige eines Ressourcenmonitors. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Ressourcenmonitor, außer OWNERSHIP. |
Berechtigungen von virtuellen Warehouses¶
Berechtigung |
Verwendung |
|---|---|
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen eines Warehouses zu/aus einem Budget. |
MODIFY |
Ermöglicht das Ändern aller Eigenschaften eines Warehouses, einschließlich der Änderung seiner Größe. . . Erforderlich, um ein Warehouse einem Ressourcenmonitor zuzuweisen. Beachten Sie, dass nur die Rolle ACCOUNTADMIN den Ressourcenmonitoren Warehouse zuweisen kann. |
MONITOR |
Ermöglicht die Anzeige aktueller und vergangener Abfragen auf einem Warehouse sowie die Anzeige von Nutzungsstatistiken zu diesem Warehouse. |
OPERATE |
Ermöglicht das Ändern des Status eines Warehouses (Stoppen, Starten, Anhalten, Fortsetzen). Ermöglicht außerdem die Anzeige aktueller und früherer Abfragen auf einem Warehouse sowie das Abbrechen von aktuell ausgeführten Abfragen. |
USAGE |
Ermöglicht die Nutzung eines virtuellen Warehouses und damit das Ausführen von Abfragen auf dem Warehouse. Wenn das Warehouse so konfiguriert ist, dass es automatisch fortgesetzt wird, wenn ihm eine SQL-Anweisung (z. B. eine Abfrage) übermittelt wird, fährt das Warehouse automatisch fort und führt die Anweisung aus. |
OWNERSHIP |
Gewährt die volle Kontrolle über ein Warehouse. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für das Warehouse, außer OWNERSHIP. |
Tipp
Das Erteilen der globalen Berechtigung MANAGE WAREHOUSES ist gleichbedeutend mit dem Erteilen der Berechtigungen MODIFY, MONITOR und OPERATE für alle Warehouses eines Kontos. Sie können diese Berechtigung einer Rolle zuweisen, deren Zweck das Verwalten eines Warehouses ist, um die Verwaltung Ihrer Snowflake-Zugriffssteuerung zu vereinfachen.
Weitere Informationen dazu finden Sie unter Delegieren der Warehouse-Verwaltung.
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einem bestimmten Satz von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Berechtigungen von Verbindungen¶
Berechtigung |
Verwendung |
|---|---|
FAILOVER |
Ermöglicht das Heraufstufen einer Sekundärverbindung zur Verwendung als Primärverbindung. |
Berechtigungen von externen Volumes¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Referenzieren des externen Volumes bei der Ausführung anderer Befehle, die den externen Datenträger verwenden, und erteilt die Berechtigung, Details zu einem externen Volume in einem SHOW- oder DESCRIBE-Befehl anzuzeigen. |
OWNERSHIP |
Gewährt volle Kontrolle über ein externes Volume. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Berechtigungen von Failover-Gruppen¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern der Eigenschaften einer Failover-Gruppe. |
MONITOR |
Ermöglicht das Anzeigen von Details zu einer Failover-Gruppe. |
OWNERSHIP |
Gewährt die volle Kontrolle über eine Failover-Gruppe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
FAILOVER |
Ermöglicht das Heraufstufen einer sekundären Failover-Gruppe zur primären Failover-Gruppe. |
REPLICATE |
Ermöglicht das Aktualisieren einer sekundären Failover-Gruppe. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Failover-Gruppe, außer OWNERSHIP. |
Berechtigungen von Replikationsgruppen¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern der Eigenschaften einer Replikationsgruppe. |
MONITOR |
Ermöglicht das Anzeigen von Details zu einer Replikationsgruppe. |
OWNERSHIP |
Gewährt die volle Kontrolle über eine Replikationsgruppe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
REPLICATE |
Ermöglicht das Aktualisieren einer sekundären Replikationsgruppe. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Replikationsgruppe, außer OWNERSHIP. |
Berechtigungen von Integrationen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Referenzieren auf die Integration, wenn andere Befehle ausgeführt werden, die die Integration verwenden. Weitere Informationen finden Sie unter den Anforderungen an die Zugriffssteuerung für CREATE STAGE und CREATE EXTERNAL ACCESS INTEGRATION. |
USE_ANY_ROLE |
Ermöglicht dem External OAuth-Client oder -Benutzer, die Rollen nur zu wechseln, wenn diese Berechtigung dem Client oder Benutzer erteilt wird. Konfigurieren Sie die External OAuth-Sicherheitsintegration so, dass der Parameter |
OWNERSHIP |
Gewährt volle Kontrolle über eine Integration. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Integration, außer OWNERSHIP. |
Berechtigungen für Authentifizierungsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Überträgt die Eigentümerschaft an einer Authentifizierungsrichtlinie, wodurch vollständige Kontrolle über die Authentifizierungsrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Authentifizierungsrichtlinie zu ändern. |
Berechtigungen für Netzwerkregeln¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die vollständige Kontrolle über die Netzwerkregel. |
Berechtigungen von Netzwerkrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die vollständige Kontrolle über die Netzwerkrichtlinie. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Berechtigungen von Paketrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Überträgt die Eigentümerschaft an einer Paketrichtlinie, wodurch vollständige Kontrolle über die Paketrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Paketrichtlinie zu ändern. |
USAGE |
Ermöglicht das Anzeigen des Inhalt einer Paketrichtlinie in einem SHOW- oder DESCRIBE-Befehl. |
Berechtigungen von Kennwortrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Überträgt die Eigentümerschaft an einer Kennwortrichtlinie, wodurch vollständige Kontrolle über die Kennwortrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Kennwortrichtlinie zu ändern. |
Berechtigungen von Sitzungsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Überträgt die Eigentümerschaft an einer Sitzungsrichtlinie, wodurch vollständige Kontrolle über die Sitzungsrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Sitzungsrichtlinie zu ändern. |
Berechtigungen von Datenbörsen (Data Exchanges)¶
Berechtigung |
Verwendung |
|---|---|
IMPORTED PRIVILEGES |
Ermöglicht das Verwalten einer Datenbörse (Data Exchange) durch andere Rollen als der des Eigentümers. |
Berechtigungen von Freigabeangeboten¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht anderen Rollen als der Eigentümerrolle, ein Freigabeangebot zu ändern. |
USAGE |
Ermöglicht das Anzeigen eines Freigabeangebots. |
OWNERSHIP |
Gewährt die volle Kontrolle über ein Freigabeangebot. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für ein Freigabeangebot, außer OWNERSHIP. |
Berechtigungen von Datenbanken¶
Berechtigung |
Verwendung |
|---|---|
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Datenbank zu/aus einem Budget. |
MODIFY |
Ermöglicht das Ändern aller Einstellungen einer Datenbank. |
MONITOR |
Ermöglicht die Ausführung des Befehls DESCRIBE auf der Datenbank. |
USAGE |
Ermöglicht die Verwendung einer Datenbank, einschließlich der Rückgabe der Datenbankdetails in der Ausgabe des Befehls SHOW DATABASES. Zusätzliche Berechtigungen sind erforderlich, um Objekte in einer Datenbank anzuzeigen oder Aktionen auszuführen. |
REFERENCE_USAGE |
Ermöglicht die Verwendung eines Objekts (z. B. einer sicheren Ansicht in einer Freigabe), wenn das Objekt auf ein anderes Objekt in einer anderen Datenbank verweist. Erteilen Sie der Freigabe die Berechtigung für die andere Datenbank. Sie können diese Berechtigung für eine Datenbank nicht jeder beliebigen Rolle zuweisen. Weitere Details dazu finden Sie unter GRANT <Berechtigung> … TO SHARE und Freigabe von Daten aus mehreren Datenbanken. |
CREATE DATABASE ROLE |
Ermöglicht das Erstellen einer neuen Datenbankrolle in einer Datenbank. |
CREATE SCHEMA |
Ermöglicht das Erstellen eines neuen Schemas in einer Datenbank, einschließlich des Klonens eines Schemas. |
IMPORTED PRIVILEGES |
Ermöglicht den Zugriff auf eine freigegebene Datenbank für andere Rollen als die besitzende Rolle. Gilt nur für freigegebene Datenbanken. |
OWNERSHIP |
Gewährt volle Kontrolle über die Datenbank. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Datenbank, außer OWNERSHIP. |
Bemerkung
Für das Ändern der Eigenschaften einer Datenbank ist die OWNERSHIP-Berechtigung für die Datenbank erforderlich.
Für das Aktualisieren der Eigenschaft COMMENT ist nur die MODIFY-Berechtigung für die Datenbank erforderlich.
Wenn einer Rolle eine beliebige Datenbankberechtigung zugewiesen wurde, kann diese Rolle SQL-Aktionen auf Objekte in einem Schema mit vollqualifizierten Namen ausführen. Die Rolle muss die USAGE-Berechtigung für das Schema sowie die erforderlichen Berechtigungen für das Objekt besitzen. Um eine Datenbank zur aktiven Datenbank in einer Benutzersitzung zu machen, ist die USAGE-Berechtigung für die Datenbank erforderlich.
Eine Rolle auf Kontoebene (d. h.
r1) mit der Berechtigung OWNERSHIP für die Datenbank kann einer anderen Rolle auf Kontoebene (d. h.r2) die Berechtigung CREATE DATABASE ROLE erteilen. Ebenso kannr1einer anderen Rolle auf Kontoebene die Berechtigung CREATE DATABASE ROLE entziehen.In diesem Szenario muss
r2die USAGE-Berechtigung für die Datenbank haben, um in dieser Datenbank eine neue Datenbankrolle erstellen zu können.Wenn Sie eine Datenbankrolle erstellen, wird der Datenbankrolle automatisch die USAGE-Berechtigung für die Datenbank zugewiesen, die die Datenbankrolle enthält.
Berechtigungen von Schemas¶
Berechtigung |
Verwendung |
|---|---|
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen eines Schemas zu/aus einem Budget. |
MODIFY |
Ermöglicht das Ändern aller Einstellungen eines Schemas. |
MONITOR |
Ermöglicht die Ausführung des Befehls DESCRIBE auf dem Schema. |
USAGE |
Ermöglicht die Verwendung eines Schemas, einschließlich der Rückgabe der Schemadetails in der Ausgabe des Befehls SHOW SCHEMAS. . . Um die SHOW <Objekte>-Befehle für Objekte (Tabellen, Ansichten, Stagingbereiche, Dateiformate, Sequenzen, Pipes oder Funktionen) im Schema ausführen zu können, muss einer Rolle mindestens eine Berechtigung für das Objekt zugewiesen sein. |
CREATE AUTHENTICATION POLICY |
Ermöglicht das Erstellen einer neuen Authentifizierungsrichtlinie in einem Schema. |
CREATE DATA METRIC FUNCTION |
Ermöglicht das Erstellen einer neuen Datenmetrikfunktion in einem Schema. |
CREATE TABLE |
Ermöglicht das Erstellen einer neuen Tabelle in einem Schema, einschließlich des Klonens einer Tabelle. Beachten Sie, dass diese Berechtigung nicht erforderlich ist, um temporäre Tabellen zu erstellen, die auf die aktuelle Benutzersitzung beschränkt sind und automatisch bei Beenden der Sitzung gelöscht werden. |
CREATE DYNAMIC TABLE |
Ermöglicht das Erstellen einer neuen dynamischen Tabelle in einem Schema. |
CREATE EVENT TABLE |
Ermöglicht das Erstellen einer neuen Ereignistabelle in einem Schema. |
CREATE EXTERNAL TABLE |
Ermöglicht das Erstellen einer neuen externen Tabelle in einem Schema. |
CREATE GIT REPOSITORY |
Ermöglicht das Erstellen eines neuen Git-Repository-Stagingbereichs in einem Schema. |
CREATE ICEBERG TABLE |
Ermöglicht das Erstellen einer neuen Iceberg-Tabelle in einem Schema. |
CREATE VIEW |
Ermöglicht das Erstellen einer neuen Ansicht in einem Schema. |
CREATE MASKING POLICY |
Ermöglicht das Erstellen einer neuen Maskierungsrichtlinie in einem Schema. |
CREATE MATERIALIZED VIEW |
Ermöglicht das Erstellen einer neuen materialisierten Ansicht in einem Schema. |
CREATE NETWORK RULE |
Ermöglicht das Erstellen einer neuen Netzwerkregel in einem Schema. |
CREATE NOTEBOOK |
Ermöglicht das Erstellen eines neuen Notebooks in einem Schema. |
CREATE ROW ACCESS POLICY |
Ermöglicht das Erstellen einer neuen Zeilenzugriffsrichtlinie in einem Schema. |
CREATE SECRET |
Ermöglicht das Erstellen eines neuen Geheimnisses im aktuellen/angegebenen Schema oder ersetzt ein vorhandenes Geheimnis. |
CREATE SESSION POLICY |
Ermöglicht das Erstellen einer neuen Sitzungsrichtlinie in einem Schema. |
CREATE STAGE |
Ermöglicht das Erstellen eines neuen Stagingbereichs in einem Schema, einschließlich des Klonens eines Stagingbereichs. |
CREATE STREAMLIT |
Ermöglicht das Erstellen einer neuen Streamlit-App in einem Schema. |
CREATE FILE FORMAT |
Ermöglicht das Erstellen eines neuen Dateiformats in einem Schema, einschließlich des Klonens eines Dateiformats. |
CREATE SEQUENCE |
Ermöglicht das Erstellen einer neuen Sequenz in einem Schema, einschließlich des Klonens einer Sequenz. |
CREATE FUNCTION |
Ermöglicht das Erstellen einer neuen UDF oder externen Funktion in einem Schema. |
CREATE PACKAGES POLICY |
Ermöglicht das Erstellen einer neuen Paketrichtlinie in einem Schema. |
CREATE PASSWORD POLICY |
Ermöglicht das Erstellen einer neuen Kennwortrichtlinie in einem Schema. |
CREATE PIPE |
Ermöglicht das Erstellen einer neuen Pipe in einem Schema. |
CREATE STREAM |
Ermöglicht das Erstellen eines neuen Streams in einem Schema, einschließlich des Klonens eines Streams. |
CREATE TAG |
Ermöglicht das Erstellen eines neuen Tag-Schlüssels in einem Schema. |
CREATE TASK |
Ermöglicht das Erstellen einer neuen Aufgabe in einem Schema, einschließlich des Klonens einer Aufgabe. |
CREATE PROCEDURE |
Ermöglicht das Erstellen einer neuen gespeicherten Prozedur in einem Schema. |
CREATE ALERT |
Ermöglicht das Erstellen eines neuen Alerts in einem Schema. |
CREATE CORTEX SEARCH SERVICE |
Ermöglicht das Erstellen neuer Cortex Search Services in einem Schema. |
CREATE SNOWFLAKE.CORE.BUDGET |
Ermöglicht das Erstellen eines neuen Budgets in einem Schema. |
CREATE SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER |
Ermöglicht das Erstellen einer neuen Instanz für einen kundenspezifischen Klassifikator Instanz in einem Schema. |
CREATE SNOWFLAKE.ML.ANOMALY_DETECTION |
Ermöglicht das Erstellen neuer Modellinstanzen zur Anomalieerkennung in einem Schema. |
CREATE SNOWFLAKE.ML.CLASSIFICATION |
Ermöglicht das Erstellen neuer Modellinstanzen zur Klassifizierung Modell-Instanzen in einem Schema. |
CREATE SNOWFLAKE.ML.FORECAST |
Ermöglicht das Erstellen neuer Instanzen von Prognosemodellen in einem Schema. |
CREATE SNOWFLAKE.ML.TOP_INSIGHTS |
Ermöglicht das Erstellen neuer Top Insights Instanzen in einem Schema. |
CREATE SNOWFLAKE.ML.DOCUMENT_INTELLIGENCE |
Ermöglicht das Erstellen neuer Modell-Build-Instanzen für Dokument-AI in einem Schema. |
CREATE MODEL |
Ermöglicht das Erstellen eines Modells für maschinelles Lernen für ein Schema. |
CREATE IMAGE REPOSITORY |
Ermöglicht das Erstellen eines Snowpark Container Services-Image-Repository in einem Schema. |
CREATE SERVICE |
Ermöglicht das Erstellen eines Snowpark Container Services-Dienstes in einem Schema. |
CREATE SNAPSHOT |
Ermöglicht das Erstellen eines Snowpark Container Services-Snapshots in einem Schema. |
ADD SEARCH OPTIMIZATION |
Ermöglicht das Hinzufügen der Suchoptimierung zu einer Tabelle in einem Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über das Schema. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für ein Schema, außer OWNERSHIP. |
Bemerkung
Das Ändern der Eigenschaften eines Schemas, einschließlich der Kommentare, erfordert die OWNERSHIP-Berechtigung für die Datenbank.
Für das Ausführen von Operationen auf einem Schema ist auch die USAGE-Berechtigung für die übergeordneten Datenbank erforderlich.
Berechtigungen von Tabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung für eine Tabelle und das Klassifizieren einer Tabelle. |
INSERT |
Ermöglicht die Ausführung eines INSERT-Befehls auf einer Tabelle. Ermöglicht auch die Verwendung des ALTER TABLE-Befehls mit einer |
UPDATE |
Ermöglicht die Ausführung eines UPDATE-Befehls auf einer Tabelle. |
TRUNCATE |
Ermöglicht die Ausführung eines TRUNCATE TABLE-Befehls auf einer Tabelle. |
DELETE |
Ermöglicht die Ausführung eines DELETE-Befehls auf einer Tabelle. |
EVOLVE SCHEMA |
Ermöglich die Schemaentwicklung beim Laden von Daten in eine Tabelle. |
REFERENCES |
Ermöglicht das Referenzieren einer Tabelle als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung. Ermöglicht auch das Anzeigen der Struktur einer Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Tabelle zu/aus einem Budget. |
OWNERSHIP |
Gewährt volle Kontrolle über die Tabelle. Erfordert das Ändern der meisten, Eigenschaften einer Tabelle, mit Ausnahme von Reclustering. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Tabelle, außer OWNERSHIP. |
Bemerkung
Zum Ausführen von Operationen auf einer Tabelle ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Um ein temporäres Objekt zu erstellen, das denselben Namen hat wie das bereits im Schema vorhandene Objekt, muss der verwendeten Rolle die Berechtigung OWNERSHIP für das Objekt erteilt worden sein oder die Rolle muss diese Berechtigung geerbt haben.
Berechtigungen von dynamischen Tabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Aktualisiert das Ausführen einer SELECT-Anweisung für eine dynamische Tabelle. |
OPERATE |
Ermöglicht das Ändern der Eigenschaften einer dynamischen Tabelle. Wenn Sie dieses Berechtigung für eine dynamische Tabelle nicht haben, können Sie den Befehl ALTER DYNAMIC TABLE nicht verwenden, der Folgendes ermöglicht:
|
MONITOR |
Ermöglicht den Zugriff auf die Metadaten einer dynamischen Tabelle über Snowsight und mit SQL-Befehlen und -Funktionen. Wenn Sie die Berechtigung MONITOR für eine dynamische Tabelle haben, können Sie Folgendes tun:
|
OWNERSHIP |
Gewährt volle Kontrolle über die dynamische Tabelle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Ist zum Löschen einer dynamischen Tabelle erforderlich. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die dynamische Tabelle, außer OWNERSHIP. |
Berechtigungen von Ereignistabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Ereignistabelle. |
INSERT |
Ermöglicht das Ausführen eines INSERT-Befehls auf einer Ereignistabelle. |
TRUNCATE |
Ermöglicht das Ausführen eines TRUNCATE TABLE-Befehls auf der Ereignistabelle. |
DELETE |
Ermöglicht das Ausführen eines DELETE-Befehls auf einer Ereignistabelle. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Ereignistabelle, außer OWNERSHIP. |
OWNERSHIP |
Ermöglicht die volle Kontrolle über die Ereignistabelle. Erforderlich, um die Ereignistabelle zu ändern. Ermöglicht in Verbindung mit OWNERSHIP des Kontos das Verknüpfen eines Kontos mit einer Ereignistabelle. |
Bemerkung
Das Ausführen von Operationen auf einer Ereignistabelle erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.
Berechtigungen von externen Tabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer externen Tabelle und das Klassifizieren einer externen Tabelle. |
REFERENCES |
Ermöglicht das Anzeigen der Struktur einer externen Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über die externe Tabelle; ist erforderlich, um eine externe Tabelle zu aktualisieren. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine externe Tabelle, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf einer externen Tabelle ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für Hybridtabelle¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Hybridtabelle. |
INSERT |
Ermöglicht das Ausführen eines INSERT-Befehls auf einer Hybridtabelle. |
UPDATE |
Ermöglicht das Ausführen eines UPDATE-Befehls auf einer Hybridtabelle. |
TRUNCATE |
Ermöglicht das Ausführen eines TRUNCATE TABLE-Befehls auf einer Hybridtabelle. |
DELETE |
Ermöglicht das Ausführen eines DELETE-Befehls auf einer Hybridtabelle. |
REFERENCES |
Ermöglicht das Referenzieren einer Hybridtabelle als eindeutige/Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung. Ermöglicht auch das Anzeigen der Struktur einer Hybridtabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Hybridtabelle zu/aus einem Budget. |
OWNERSHIP |
Gewährt volle Kontrolle über die Hybridtabelle. Erforderlich, um die meisten Eigenschaften einer Hybridtabelle zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Hybridtabelle, außer OWNERSHIP. |
Bemerkung
Zum Ausführen von Operationen auf einer Hybridtabelle ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Die folgenden Berechtigungen haben keine Wirkung, wenn sie für eine Hybridtabelle erteilt werden, die eine Katalogintegration verwendet: INSERT, UPDATE, DELETE. Hybridtabellen, die eine Katalogintegration verwenden, sind schreibgeschützt.
Berechtigungen von Iceberg-Tabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Iceberg-Tabelle. |
INSERT |
Ermöglicht das Ausführen eines INSERT-Befehls auf einer Iceberg-Tabelle. |
UPDATE |
Ermöglicht das Ausführen eines UPDATE-Befehls auf einer Iceberg-Tabelle. |
TRUNCATE |
Ermöglicht das Ausführen eines TRUNCATE TABLE-Befehls auf einer Iceberg-Tabelle. |
DELETE |
Ermöglicht das Ausführen eines DELETE-Befehls auf einer Iceberg-Tabelle. |
REFERENCES |
Ermöglicht das Referenzieren einer Iceberg-Tabelle als Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung. Ermöglicht das Anzeigen der Struktur einer Iceberg-Tabelle (aber nicht der Daten) über den DESCRIBE- oder SHOW-Befehl oder durch Abfragen des Information Schema. |
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Iceberg-Tabelle zu/aus einem Budget. |
OWNERSHIP |
Gewährt volle Kontrolle über die Iceberg-Tabelle. Erforderlich, um die meisten Eigenschaften einer Iceberg-Tabelle zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Iceberg-Tabelle, außer OWNERSHIP. |
Bemerkung
Das Ausführen von Operationen auf einer Iceberg-Tabelle erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.
Die folgenden Berechtigungen haben keine Wirkung, wenn sie für eine Iceberg-Tabelle erteilt werden, die eine Katalogintegration verwendet: INSERT, UPDATE, DELETE. Iceberg-Tabellen, die einen externen Katalog verwenden, sind schreibgeschützt.
Berechtigungen von Ansichten¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Ansicht und das Klassifizieren einer Ansicht. . . Mit dieser Berechtigung kann auch eine Ansicht abgefragt werden. Die SELECT-Berechtigung für die zugrunde liegenden Objekte einer Ansicht ist nicht erforderlich. |
REFERENCES |
Ermöglicht das Anzeigen der Struktur einer Ansicht (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über die Ansicht. Ist zum Ändern einer Ansicht erforderlich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Ansicht, außer OWNERSHIP. |
Bemerkung
Tabellen-DML-Berechtigungen wie INSERT, UPDATE und DELETE können für Ansichten erteilt werden. Da Ansichten jedoch schreibgeschützt sind, haben diese Berechtigungen keine Auswirkungen.
Für das Ausführen von Operationen auf einer Ansicht ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Um ein temporäres Objekt zu erstellen, das denselben Namen hat wie das bereits im Schema vorhandene Objekt, muss der verwendeten Rolle die Berechtigung OWNERSHIP für das Objekt erteilt worden sein oder die Rolle muss diese Berechtigung geerbt haben.
Berechtigungen von materialisierten Ansichten¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Ansicht und das Klassifizieren einer materialisierten Ansicht. . . Beachten Sie, dass mit dieser Berechtigung auch eine Ansicht abgefragt werden kann. Die SELECT-Berechtigung für die zugrunde liegenden Objekte einer Ansicht ist nicht erforderlich. |
REFERENCES |
Ermöglicht das Anzeigen der Struktur einer Ansicht (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer materialisierten Ansicht zu/aus einem Budget. |
OWNERSHIP |
Gewährt volle Kontrolle über die Ansicht. Ist zum Ändern einer Ansicht erforderlich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Ansicht, außer OWNERSHIP. |
Bemerkung
Tabellen-DML-Berechtigungen wie INSERT, UPDATE und DELETE können für Ansichten erteilt werden. Da Ansichten jedoch schreibgeschützt sind, haben diese Berechtigungen keine Auswirkungen.
Für das Ausführen von Operationen auf einer Ansicht ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Um ein temporäres Objekt zu erstellen, das denselben Namen hat wie das bereits im Schema vorhandene Objekt, muss der verwendeten Rolle die Berechtigung OWNERSHIP für das Objekt erteilt worden sein oder die Rolle muss diese Berechtigung geerbt haben.
Berechtigungen für Notebook¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die volle Kontrolle über das Notebook. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Berechtigungen von Stagingbereichen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung eines externen Stagingobjekts in einer SQL-Anweisung und umfasst auch die READ- und WRITE-Berechtigungen. Gilt nicht für interne Stagingbereiche. |
READ |
Ermöglicht das Ausführen aller Operationen, die das Lesen eines internen Stagingbereichs erfordern (z. B. Befehle für Datei-Staging und COPY INTO <Tabelle>). |
WRITE |
Ermöglicht das Ausführen aller Operationen, die das Schreiben eines internen Stagingbereichs erfordern (z. B. Befehle für Datei-Staging und COPY INTO <Speicherort>). |
OWNERSHIP |
Gewährt volle Kontrolle über den Stagingbereich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Gewährt alle anwendbaren Berechtigungen für den Stagingbereich (intern oder extern), außer OWNERSHIP. |
Bemerkung
Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich gewährt wird, muss die READ-Berechtigung vor oder gleichzeitig mit der WRITE-Berechtigung erteilt werden.
Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich widerrufen wird, muss die WRITE-Berechtigung vor oder gleichzeitig mit der READ-Berechtigung widerrufen werden.
Für das Ausführen von Operationen auf einem Stagingbereich ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Um ein temporäres Objekt zu erstellen, das denselben Namen hat wie das bereits im Schema vorhandene Objekt, muss der verwendeten Rolle die Berechtigung OWNERSHIP für das Objekt erteilt worden sein oder die Rolle muss diese Berechtigung geerbt haben.
Berechtigungen für Verzeichnistabellen¶
Die folgende Tabelle fasst die Berechtigungen für Stagingbereiche zusammen, die Sie benötigen, um bei Verwendung von Verzeichnistabellen allgemeine SQL-Befehle ausführen zu können.
Operation |
Objekttyp |
Erforderliche Berechtigung |
|---|---|---|
Abrufen von Datei-URLs aus Verzeichnistabellen mit einer SELECT FROM DIRECTORY-Anweisung. |
Stagingbereich |
Je nach Typ des Stagingbereichs eine der folgenden Optionen:
|
Hochladen von Daten mit dem Befehl PUT. |
Stagingbereich (nur intern) |
Eine Kontorolle oder Datenbankrolle mit WRITE-Berechtigung für den Stagingbereich. |
Entfernen von Dateien mit dem Befehl REMOVE. |
Stagingbereich |
Je nach Typ des Stagingbereichs eine der folgenden Optionen:
|
Aktualisieren der Metadaten mit dem Befehl ALTER STAGE. |
Stagingbereich |
Je nach Typ des Stagingbereichs eine der folgenden Optionen:
|
Berechtigungen für Git-Repositorys¶
Berechtigung |
Verwendung |
|---|---|
READ |
Ermöglicht das Ausführen aller Operationen, die das Lesen eines Git-Repository-Stagingbereichs erfordern. |
WRITE |
Ermöglicht das Ausführen von Operationen, die das Schreiben in einen Git-Repository-Stagingbereich erfordern, z. B. das Ändern der Objekteigenschaften oder das Ausführen eines FETCH aus dem externen Repository. |
OWNERSHIP |
Gewährt volle Kontrolle über den Git-Repository-Stagingbereich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle anwendbaren Berechtigungen, bis auf OWNERSHIP, für den Git-Repository-Stagingbereich. |
Berechtigungen von Dateiformaten¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung eines Dateiformats in einer SQL-Anweisung. |
OWNERSHIP |
Gewährt volle Kontrolle über das Dateiformat. Erforderlich, um ein Dateiformat zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für das Dateiformat, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf einem Dateiformat ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Um ein temporäres Objekt zu erstellen, das denselben Namen hat wie das bereits im Schema vorhandene Objekt, muss der verwendeten Rolle die Berechtigung OWNERSHIP für das Objekt erteilt worden sein oder die Rolle muss diese Berechtigung geerbt haben.
Berechtigungen von Pipes¶
Pipeobjekte werden erstellt und verwaltet, um Daten mit Snowpipe zu laden.
Berechtigung |
Verwendung |
|---|---|
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Pipe zu/aus einem Budget. |
MONITOR |
Ermöglicht die Anzeige von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES) |
OPERATE |
Ermöglicht das Anzeigen von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES), das Anhalten oder Fortsetzen der Pipe und das Aktualisieren der Pipe. |
OWNERSHIP |
Gewährt volle Kontrolle über die Pipe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Pipe, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf Pipes ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Datenbankrollen¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Gewährt die volle Kontrolle über eine Datenbankrolle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Beachten Sie, dass die Eigentümerrolle keine Berechtigungen erbt, die der Datenbankrolle, die sie besitzt, erteilt wurden. Um Berechtigungen von einer Datenbankrolle zu erben, muss diese Datenbankrolle einer anderen Rolle zugewiesen werden, wodurch eine Übergeordnet/Untergeordnet-Beziehung in einer Rollenhierarchie entsteht. |
Berechtigungen von Streams¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung für einen Stream. |
OWNERSHIP |
Gewährt volle Kontrolle über den Stream. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Stream, außer OWNERSHIP. |
Berechtigungen von Aufgaben¶
Berechtigung |
Verwendung |
|---|---|
APPLYBUDGET |
Ermöglicht das Hinzufügen oder Entfernen einer Aufgabe zu/aus einem Budget. |
MONITOR |
Aktiviert das Anzeigen von Details für die Aufgabe (mithilfe von DESCRIBE TASK oder SHOW TASKS). |
OPERATE |
Ermöglicht das Anzeigen von Details für die Aufgabe (mit DESCRIBE TASK oder SHOW TASKS) und das Fortsetzen oder Anhalten der Aufgabe. |
OWNERSHIP |
Gewährt volle Kontrolle über die Aufgabe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Aufgabe, außer OWNERSHIP. |
Berechtigungen von Geheimnissen¶
Berechtigung |
Verwendung |
|---|---|
READ |
Aktiviert eine UDF oder eine gespeicherte Prozedur, die ein Geheimnis verwendet, um auf die im Geheimnis gespeicherten Anmeldeinformationen zuzugreifen. Weitere Details dazu finden Sie unter Erstellen eines Geheimnisses zur Darstellung von Anmeldeinformationen. |
USAGE |
Ermöglicht die Verwendung eines Geheimnisses. |
OWNERSHIP |
Überträgt die Eigentümerschaft eines Geheimnisses, was die volle Kontrolle über das Geheimnis gewährt. Erforderlich, um die meisten Eigenschaften eines Geheimnisses zu ändern oder ein Geheimnis aus dem System zu löschen. |
Berechtigungen von Aggregationsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Ermöglicht das Ausführen der Aktivierungs-/Deaktivierungsoperation für eine Aggregationsrichtlinie auf einer Tabelle oder Ansicht. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY AGGREGATION POLICY (d. h. APPLY AGGREGATION POLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. |
OWNERSHIP |
Gewährt volle Kontrolle über die Aggregationsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Aggregationsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Das Ausführen von Operationen auf einer Aggregationsrichtlinie erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.
Berechtigungen für Maskierungsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Ermöglicht das Ausführen der Aktivierungs-/Deaktivierungsoperation für eine Maskierungsrichtlinie auf einer Spalte. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY MASKING POLICY (d. h. APPLY MASKING POLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. Beispiele für die Syntax finden Sie unter Berechtigungen für Maskierungsrichtlinien. |
OWNERSHIP |
Gewährt volle Kontrolle über die Maskierungsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Maskierungsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer Maskierungsrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Datenschutzrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Ermöglicht das Ausführen der Aktivierungs-/Deaktivierungsoperation für eine Datenschutzrichtlinie auf einer Tabelle oder Ansicht. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY PRIVACY POLICY (d. h. APPLY PRIVACY POLICY auf ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. |
OWNERSHIP |
Ermöglicht die volle Kontrolle über die Datenschutzrichtlinie. Erforderlich, um die meisten Eigenschaften einer Datenschutzrichtlinie zu ändern Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer Datenschutzrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Projektionsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Ermöglicht das Ausführen der Aktivierungs-/Deaktivierungsoperation für eine Projektionsrichtlinie auf einer Spalte. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY PROJECTION POLICY (d. h. APPLY PROJECTION POLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. |
OWNERSHIP |
Gewährt volle Kontrolle über die Projektionsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Projektionsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer Projektionsrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Zeilenzugriffsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Aktiviert das Ausführen von Hinzufüge- und Löschoperationen für die Zeilenzugriffsrichtlinie auf einer Tabelle oder Ansicht. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY ROW ACCESSPOLICY (d. h. APPLY ROW ACCESSPOLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. Beispiele für die Syntax finden Sie unter Übersicht der DDL-Befehle, Operationen und Berechtigungen. |
OWNERSHIP |
Gewährt volle Kontrolle über die Zeilenzugriffsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Zeilenzugriffsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer Zeilenzugriffsrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Tag-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Aktiviert das Ausführen von Hinzufüge- und Löschoperationen für Tags, die einem Snowflake-Objekt zugeordnet sind. |
READ |
Ermöglicht einem Data Sharing-Verbraucher, mit dem Befehl SHOW TAGS die freigegebenen Tag-Zuweisungen anzuzeigen. Der Data Sharing-Anbieter weist diese Berechtigung einer Datenbankrolle oder direkt der Freigabe zu. |
OWNERSHIP |
Gewährt volle Kontrolle über das Tag. Erforderlich, um die meisten Eigenschaften eines Tags zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Tags werden auf Schemaebene gespeichert.
Für das Ausführen von Operationen auf einem Tag ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Sequenzen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung einer Sequenz in einer SQL-Anweisung. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Sequenz, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die Sequenz. Ist erforderlich, um die Sequenz ändern zu können. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer Sequenz ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von gespeicherten Prozeduren¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Aufrufen einer gespeicherten Prozedur |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die gespeicherte Prozedur, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die gespeicherte Prozedur. Ist erforderlich, um die gespeicherte Prozedur ändern zu können. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer gespeicherten Prozedur ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Wenn eine gespeicherte Prozedur mit Aufruferrechten ausgeführt wird, muss der Benutzer, der die gespeicherte Prozedur aufruft, über Berechtigungen für die Datenbankobjekte (z. B. Tabellen) verfügen, auf die die gespeicherte Prozedur zugreift. Weitere Details dazu finden Sie unter Erläuterungen zu gespeicherten Prozeduren mit Aufruferrechten und Eigentümerrechten.
Berechtigungen von benutzerdefinierten Funktionen (UDF) und externen Funktionen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht den Aufruf einer UDF oder externen Funktion. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die UDF oder externe Funktion, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die UDF oder externe Funktion. Ist für das Ändern der UDF oder externen Funktion erforderlich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Bemerkung
Für das Ausführen von Operationen auf einer UDF oder externen Funktion ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Der Eigentümer einer UDF muss über Berechtigungen für die Objekte verfügen, auf die die Funktion zugreift. Der Benutzer, der einen UDF aufruft, benötigt diese Berechtigungen nicht. Weitere Details dazu finden Sie unter Sicherheits-/Berechtigungsanforderungen für SQL-UDFs.
Der Eigentümer einer externen Funktion muss über die USAGE-Berechtigung für das mit der externen Funktion verknüpfte API-Integrationsobjekt verfügen. Weitere Details dazu finden Sie in der Dokumentation zu externen Funktionen unter Zugriffssteuerung.
Berechtigungen für die Datenmetrikfunktion (DMF)¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Aufrufen der DMF. |
OWNERSHIP |
Überträgt die Eigentümerschaft an der Datenmetrikfunktion, wodurch volle Kontrolle über die Datenmetrikfunktion erworben wird. Erforderlich, um die meisten Eigenschaften der Datenmetrikfunktion zu ändern. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen, bis auf OWNERSHIP, für die DMF. |
Berechtigungen von Alerts¶
Berechtigung |
Verwendung |
|---|---|
MONITOR |
Ermöglicht das Anzeigen von Details zu dem Alert (mithilfe von DESCRIBE ALERT oder SHOW ALERTS). |
OPERATE |
Ermöglicht das Anzeigen von Details zu dem Alert (mit DESCRIBE ALERT oder SHOW ALERTS) sowie das Fortsetzen oder Unterbrechen des Alerts (mit ALTER ALERT). |
OWNERSHIP |
Gewährt volle Kontrolle über den Alert. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Alert, außer OWNERSHIP. |
Berechtigungen von Computepools¶
Berechtigung |
Verwendung |
|---|---|
OPERATE |
Ermöglicht das Anhalten oder Fortsetzen eines Computepools. |
MODIFY |
Ermöglicht das Ändern des Computepools und das Einstellen von Eigenschaften. |
USAGE |
Ermöglicht das Ausführen eines Dienstes oder Jobs. Ermöglicht die Kommunikation mit dem Dienst (Erstellen einer Dienstfunktion, Verwenden öffentlicher Endpunkte und Verbinden von einem anderen Dienst aus). |
MONITOR |
Ermöglicht das Anzeigen der Computepool-Nutzung (Anzahl der aktiven Dienste und Jobs), der Eigenschaften und das Auflisten der Computepools im Konto, für die die Rolle Zugriffsrechte hat. |
OWNERSHIP |
Gewährt volle Kontrolle über den Computepool. Diese Berechtigung kann für ein bestimmtes Computepool-Objekt immer nur genau einer Rolle zugewiesen sein. |
Berechtigungen von Image-Repositorys¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die vollständige Kontrolle über das Image-Repository. Die Rolle mit dieser Berechtigung kann auch ein Image-Repository löschen. |
READ |
Ermöglicht das Auflisten und Herunterladen von Images aus einem Image-Repository. |
WRITE |
Ermöglicht das Auflisten und Herunterladen von Images aus einem Repository. Ermöglicht außerdem das Verschieben von Images in das Repository. |
Berechtigungen von Diensten¶
Berechtigung |
Verwendung |
|---|---|
OPERATE |
Ermöglicht das Anhalten oder Fortsetzen eines Dienstes, das Aktualisieren eines Dienstes und das Ändern der Diensteigenschaften. |
OWNERSHIP |
Ermöglicht die volle Kontrolle über den Dienst. Die Rolle mit dieser Berechtigung kann auch einen Dienst aus einem Schema entfernen. |
MONITOR |
Ermöglicht das Überwachen eines Dienstes und das Abrufen des Laufzeitstatus. |
Berechtigungen für den Cortex Search Service¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die vollständige Kontrolle über den Cortex Search Service. Die Rolle mit dieser Berechtigung kann auch einen Dienst aus einem Schema entfernen. |
USAGE |
Ermöglicht den Aufruf des Dienstes. |
ALL [ PRIVILEGES ] |
Ermöglicht das Erteilen aller Berechtigungen für den Dienst, außer OWNERSHIP. |
Snapshot-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die volle Kontrolle über den Snapshot. Die Rolle mit dieser Berechtigung kann auch einen Snapshot aus einem Schema entfernen. |
USAGE |
Ermöglicht das Auflisten und Beschreiben von Snapshots. |
Berechtigungen von Streamlit-Apps¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Anzeigen und Ausführen einer Streamlit-App. |
Berechtigungen von Modellen¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die volle Kontrolle über das Modell. Nur jeweils eine Rolle kann diese Berechtigung für ein bestimmtes Modell haben. |
USAGE |
Ermöglicht das Anzeigen von Informationen zu einem Modell und das Aufrufen seiner Methoden. Die Benutzer können die Modellgewichtungen oder die Artefakte, die das Modell definieren, nicht sehen. |