Zugriffssteuerungsrechte¶
Unter diesem Thema werden die Berechtigungen beschrieben, die im Snowflake-Zugriffssteuerungsmodell verfügbar sind. Berechtigungen werden Rollen erteilt, und Rollen werden Benutzern zugewiesen, um die Operationen anzugeben, die die Benutzer auf Objekten im System ausführen können.
Unter diesem Thema:
Alle Berechtigungen (alphabetisch)¶
Die folgenden Berechtigungen sind im Snowflake-Zugangssteuerungsmodell verfügbar. Die Bedeutung der einzelnen Berechtigungen variiert je nach Objekttyp, auf den sie angewendet werden, und nicht alle Objekte unterstützen alle Berechtigungen:
Berechtigung |
Objekttyp |
Beschreibung |
|---|---|---|
ALL [ PRIVILEGES ] |
Alle |
Gewährt alle Berechtigungen für den angegebenen Objekttyp. |
APPLY MASKING POLICY |
Global |
Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte. Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY ROW ACCESS POLICY |
Global |
Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für eine Tabelle oder Ansicht. Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY SESSION POLICY |
Global |
Ermöglicht das Festlegen und Aufheben einer Sitzungsrichtlinie für ein Konto oder einen Benutzer. |
APPLY TAG |
Global |
Ermöglicht das Hinzufügen oder Löschen eines Tags, das einem Snowflake-Objekt zugeordnet ist. |
ATTACH POLICY |
Global |
Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto. |
CREATE <Objekttyp> |
Global, Datenbank, Schema |
Gewährt die Möglichkeit, ein Objekt vom Typ <Objekttyp> zu erstellen (z. B. CREATE TABLE, um eine Tabelle innerhalb eines Schemas zu erstellen). |
DELETE |
Tabelle |
Gewährt die Möglichkeit, einen DELETE-Befehl auf der Tabelle auszuführen. |
EXECUTE MANAGED TASK |
Global |
Gewährt die Möglichkeit, Aufgaben zu erstellen, die auf von Snowflake verwaltete Computeressourcen angewiesen sind (serverloses Computemodell). Nur für das Erstellen serverloser Aufgaben erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für die Aufgabe muss sowohl über die EXECUTE MANAGED TASK- als auch über die EXECUTE TASK-Berechtigung verfügen, damit die Aufgabe ausgeführt werden kann. |
EXECUTE TASK |
Global |
Gewährt die Möglichkeit, die der Rolle gehörenden Aufgaben auszuführen. Damit serverlose Aufgaben ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für die Aufgabe hat, auch über die globale EXECUTE MANAGED TASK-Berechtigung verfügen. |
IMPORT SHARE |
Global |
Gilt für Datenverbraucher. Gewährt die Möglichkeit, Freigaben anzuzeigen, die für Ihr Konto freigegeben wurden. Gewährt auch die Möglichkeit, Datenbanken aus den Freigaben zu erstellen. Erfordert die globale Berechtigung CREATE DATABASE. |
OVERRIDE SHARE RESTRICTIONS |
Global |
Ermöglicht die Festlegung eines Werts für den Parameter SHARE_RESTRICTIONS, mit dem ein Business Critical-Anbieterkonto einer Freigabe ein Verbraucherkonto (ohne Business Critical Edition) hinzufügen kann. Weitere Details dazu finden Sie unter Aktivieren von Freigaben eines Business Critical-Konto für ein Nicht-Business Critical-Konto. |
IMPORTED PRIVILEGES |
Datenbank, Data Exchange |
Gewährt anderen Rollen als der besitzenden Rolle die Möglichkeit, auf eine freigegebene Datenbank zuzugreifen oder eine Snowflake Data Marketplace/Data Exchange-Angebot zu verwalten. Gilt nur für freigegebene Datenbanken. |
INSERT |
Tabelle |
Gewährt die Möglichkeit, einen INSERT-Befehl auf der Tabelle auszuführen. |
MANAGE GRANTS |
Global |
Gewährt die Möglichkeit, Berechtigungen für jedes Objekt zu erteilen oder zu entziehen, als ob die aufrufende Rolle Eigentümer des Objekts wäre. |
MODIFY |
Ressourcenmonitor, Warehouse, Data Exchange-Liste, Datenbank, Schema |
Gewährt die Möglichkeit, die Einstellungen oder Eigenschaften eines Objekts zu ändern (z. B. bietet die Möglichkeit, in einem virtuellen Warehouse die Größe eines virtuellen Warehouse zu ändern). |
MONITOR |
Benutzer, Ressourcenmonitor, Warehouse, Datenbank, Schema, Aufgabe |
Gewährt die Möglichkeit, Details innerhalb eines Objekts anzuzeigen (z. B. Abfragen und Nutzung innerhalb eines Warehouses). |
MONITOR EXECUTION |
Global |
Gewährt die Möglichkeit, Pipes (Snowpipe) oder Aufgaben im Konto zu überwachen. |
MONITOR USAGE |
Global |
Gewährt die Möglichkeit, die Nutzung auf Kontoebene und historische Informationen für Datenbanken und Warehouses zu überwachen. Weitere Details dazu finden Sie unter Möglichkeit zur Überwachung des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Weboberfläche. Gewährt zusätzlich die Möglichkeit, verwaltete Konten mithilfe von SHOW MANAGED ACCOUNTS anzuzeigen. |
OPERATE |
Warehouse, Aufgabe |
Gewährt die Möglichkeit, ein virtuelles Warehouse zu starten, zu stoppen, anzuhalten oder fortzusetzen. Ermöglicht das Anhalten oder Fortsetzen einer Aufgabe. |
OWNERSHIP |
Alle |
Gewährt die Möglichkeit, den Zugriff auf ein Objekt zu löschen, zu ändern, zu gewähren oder zu widerrufen. Erforderlich, um ein Objekt umzubenennen. OWNERSHIP ist eine spezielle Berechtigung für ein Objekt, das automatisch der Rolle zugewiesen wird, die das Objekt erstellt hat, aber von der besitzenden Rolle mit dem Befehl GRANT OWNERSHIP auch auf eine andere Rolle (oder eine beliebige Rolle mit dem Privileg MANAGE GRANTS) übertragen werden kann. |
READ |
Stagingbereich (nur intern) |
Ermöglicht das Ausführen aller Operationen, die das Lesen aus einem Stagingbereich (GET, LIST, COPY INTO <Tabelle> usw.) erfordert. |
REFERENCES |
Tabelle, externe Tabelle, Ansicht |
Gewährt die Möglichkeit, die Struktur eines Objekts (aber nicht die Daten) anzuzeigen. . . Für Tabellen bietet die Berechtigung auch die Möglichkeit, das Objekt als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung zu referenzieren. |
SELECT |
Tabelle, externe Tabelle, Ansicht, Stream |
Gewährt die Möglichkeit, eine SELECT-Anweisung auf der Tabelle/Ansicht auszuführen. |
TRUNCATE |
Tabelle |
Gewährt die Möglichkeit, einen TRUNCATE TABLE-Befehl auf der Tabelle auszuführen. |
UPDATE |
Tabelle |
Gewährt die Möglichkeit, einen UPDATE-Befehl auf der Tabelle auszuführen. |
USAGE |
Warehouse, Data Exchange-Liste, Integration, Datenbank, Schema, Stagingbereich (nur extern), Dateiformat, Sequenz, gespeicherte Prozedur, benutzerdefinierte Funktion, externe Funktion |
Gewährt die Möglichkeit, einen USE <Objekt>-Befehl auf der Tabelle auszuführen. Gewährt außerdem die Möglichkeit, einen SHOW <Objekte>-Befehl auf der Tabelle auszuführen. |
WRITE |
Stagingbereich (nur intern) |
Ermöglicht das Ausführen aller Operationen, die das Schreiben in einen internen Stagingbereich erfordern (PUT, REMOVE, COPY INTO <Speicherort> usw.). |
Die restlichen Abschnitte unter diesem Thema beschreiben die spezifischen Berechtigungen, die für jeden Objekttyp und seine Nutzung verfügbar sind.
Globale Berechtigungen¶
Berechtigung |
Verwendung |
Anmerkungen |
|---|---|---|
APPLY MASKING POLICY |
Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY ROW ACCESS POLICY |
Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für eine Tabelle oder Ansicht. |
Mit dieser globalen Berechtigung kann auch die DESCRIBE-Operation auf Tabellen und Ansichten ausgeführt werden. |
APPLY SESSION POLICY |
Ermöglicht das Festlegen und Aufheben einer Sitzungsrichtlinie für ein Konto oder einen Benutzer. |
|
ATTACH POLICY |
Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto. |
|
CREATE ACCOUNT |
Ermöglicht es einem Datenanbieter, ein neues verwaltetes Konto (z. B. Leserkonto) zu erstellen. Weitere Details dazu finden Sie unter Verwalten von Leserkonten. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE ROLE |
Ermöglicht das Erstellen einer neuen Rolle. |
|
CREATE USER |
Ermöglicht das Erstellen eines neuen Benutzers. |
|
MANAGE GRANTS |
Ermöglicht das Erteilen oder Entziehen von Berechtigungen für Objekte, für die die Rolle nicht Eigentümer ist. |
Muss von der Rolle SECURITYADMIN (oder höher) gewährt werden. |
CREATE DATA EXCHANGE LISTING |
Ermöglicht die Erstellung einer neuen Data Exchange-Liste. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE INTEGRATION |
Ermöglicht das Erstellen einer neuen Benachrichtigungs-, Sicherheits- oder Speicherintegration. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE NETWORK POLICY |
Ermöglicht das Erstellen einer neuen Netzwerkrichtlinie. |
|
CREATE SHARE |
Ermöglicht es einem Datenanbieter, eine neue Freigabe zu erstellen. Weitere Details dazu finden Sie unter Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
CREATE WAREHOUSE |
Ermöglicht das Erstellen eines neuen virtuellen Warehouses. |
|
EXECUTE MANAGED TASK |
Gewährt die Möglichkeit, Aufgaben zu erstellen, die auf von Snowflake verwaltete Computeressourcen angewiesen sind (serverloses Computemodell). Nur für serverlose Aufgaben erforderlich. Die Rolle mit der OWNERSHIP-Berechtigung für die Aufgabe muss sowohl über die EXECUTE MANAGED TASK- als auch über die EXECUTE TASK-Berechtigung verfügen, damit die Aufgabe ausgeführt werden kann. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
EXECUTE TASK |
Gewährt die Möglichkeit, die der Rolle gehörenden Aufgaben auszuführen. Damit serverlose Aufgaben ausgeführt werden können, muss die Rolle, die die OWNERSHIP-Berechtigung für die Aufgabe hat, auch über die globale EXECUTE MANAGED TASK-Berechtigung verfügen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
IMPORT SHARE |
Ermöglicht es einem Datenverbraucher, Freigaben anzuzeigen, die für sein Konto freigegebene wurden. Gewährt auch die Möglichkeit, Datenbanken aus Freigaben zu erstellen. Erfordert die globale Berechtigung CREATE DATABASE. Weitere Details dazu finden Sie unter Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
MONITOR EXECUTION |
Gewährt die Möglichkeit, alle Pipes oder Aufgaben im Konto zu überwachen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. Die USAGE-Berechtigung ist auch für jede Datenbank und jedes Schema erforderlich, die diese Objekte speichern. |
MONITOR USAGE |
Gewährt die Möglichkeit, die Nutzung auf Kontoebene und historische Informationen für Datenbanken und Warehouses zu überwachen. Weitere Details dazu finden Sie unter Möglichkeit zur Überwachung des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Weboberfläche. Gewährt zusätzlich die Möglichkeit, verwaltete Konten mithilfe von SHOW MANAGED ACCOUNTS anzuzeigen. |
Muss von der Rolle ACCOUNTADMIN gewährt werden. |
OVERRIDE SHARE RESTRICTIONS |
Ermöglicht die Festlegung eines Werts für den Parameter SHARE_RESTRICTIONS, mit dem ein Business Critical-Anbieterkonto einer Freigabe ein Verbraucherkonto (ohne Business Critical Edition) hinzufügen kann. |
Weitere Details dazu finden Sie unter Aktivieren von Freigaben eines Business Critical-Konto für ein Nicht-Business Critical-Konto. |
ALL [ PRIVILEGES ] |
Erteilt alle globalen Berechtigungen. |
Berechtigungen von Benutzern¶
Berechtigung |
Verwendung |
|---|---|
MONITOR |
Ermöglicht dem Benutzer die Anzeige des Anmeldeverlaufs. |
OWNERSHIP |
Gewährt die volle Kontrolle über einen Benutzer bzw. eine Rolle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Benutzer, außer OWNERSHIP. |
Berechtigungen von Rollen¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Gewährt die volle Kontrolle über einen Benutzer bzw. eine Rolle. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. Beachten Sie, dass die Eigentümerrolle keine Berechtigungen erbt, die der besitzenden Rolle erteilt wurden. Um Berechtigungen von einer Rolle zu erben, muss diese Rolle einer anderen Rolle gewährt werden, wodurch eine Übergeordnet/Untergeordnet-Beziehung in einer Rollenhierarchie entsteht. |
Berechtigungen von Ressourcenmonitoren¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern aller Eigenschaften eines Ressourcenmonitors, wie z. B. das Ändern des monatlichen Credit-Kontingents. |
MONITOR |
Ermöglicht die Anzeige eines Ressourcenmonitors. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Ressourcenmonitor, außer OWNERSHIP. |
Berechtigungen für virtuelle Warehouses¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern aller Eigenschaften eines Warehouses, einschließlich der Änderung seiner Größe. . . Erforderlich, um ein Warehouse einem Ressourcenmonitor zuzuweisen. Beachten Sie, dass nur die Rolle ACCOUNTADMIN den Ressourcenmonitoren Warehouse zuweisen kann. |
MONITOR |
Ermöglicht die Anzeige aktueller und vergangener Abfragen auf einem Warehouse sowie die Anzeige von Nutzungsstatistiken zu diesem Warehouse. |
OPERATE |
Ermöglicht das Ändern des Status eines Warehouses (Stoppen, Starten, Anhalten, Fortsetzen). Ermöglicht außerdem die Anzeige aktueller und früherer Abfragen auf einem Warehouse sowie das Abbrechen von aktuell ausgeführten Abfragen. |
USAGE |
Ermöglicht die Nutzung eines virtuellen Warehouses und damit das Ausführen von Abfragen auf dem Warehouse. Wenn das Warehouse so konfiguriert ist, dass es automatisch fortgesetzt wird, wenn ihm eine SQL-Anweisung (z. B. eine Abfrage) übermittelt wird, fährt das Warehouse automatisch fort und führt die Anweisung aus. |
OWNERSHIP |
Gewährt die volle Kontrolle über ein Warehouse. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für das Warehouse, außer OWNERSHIP. |
Verbindungsberechtigungen¶
Keine.
Integrationsberechtigungen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht beim Erstellen eines Stagingbereichs (mit CREATE STAGE) oder beim Ändern eines Stagingbereichs (mit ALTER STAGE) das Referenzieren auf die Speicherintegration. |
USE_ANY_ROLE |
Ermöglicht dem External OAuth-Client oder -Benutzer, die Rollen nur zu wechseln, wenn diese Berechtigung dem Client oder Benutzer erteilt wird. Konfigurieren Sie die External OAuth-Sicherheitsintegration so, dass der Parameter |
OWNERSHIP |
Gewährt volle Kontrolle über eine Integration. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Integration, außer OWNERSHIP. |
Berechtigungen von Netzwerkrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Ermöglicht die vollständige Kontrolle über die Netzwerkrichtlinie. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Berechtigungen für Sitzungsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
OWNERSHIP |
Überträgt die Eigentümerschaft an einer Sitzungsrichtlinie, wodurch vollständige Kontrolle über die Sitzungsrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Sitzungsrichtlinie zu ändern. |
Data Exchange-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
IMPORTED PRIVILEGES |
Ermöglicht die Verwaltung eines Snowflake Data Marketplace- oder Data Exchange-Angebots durch andere Rollen als der des Eigentümers. |
Berechtigungen für Data Exchange-Listen¶
Bemerkung
Gegenwärtig können Berechtigungen für Data Exchange-Listen nur über die Snowflake-Weboberfläche erteilt werden. Eine Anleitung dazu finden Sie unter Erteilen von Berechtigungen für andere Rollen.
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht es anderen Rollen als der Eigentümerrolle, einen Snowflake Data Marketplace- oder eine Data Exchange-Liste zu ändern. |
USAGE |
Ermöglicht die Anzeige einer Snowflake Data Marketplace- oder Data Exchange-Liste. |
OWNERSHIP |
Gewährt volle Kontrolle über eine Snowflake Data Marketplace- oder Data Exchange-Liste. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Snowflake Data Marketplace- oder Data Exchange-Liste, außer OWNERSHIP. |
Datenbankberechtigungen¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern aller Einstellungen einer Datenbank. |
MONITOR |
Ermöglicht die Ausführung des Befehls DESCRIBE auf der Datenbank. |
USAGE |
Ermöglicht die Verwendung einer Datenbank, einschließlich der Rückgabe der Datenbankdetails in der Ausgabe des Befehls SHOW DATABASES. Zusätzliche Berechtigungen sind erforderlich, um Objekte in einer Datenbank anzuzeigen oder Aktionen auszuführen. |
CREATE SCHEMA |
Ermöglicht das Erstellen eines neuen Schemas in einer Datenbank, einschließlich des Klonens eines Schemas. |
IMPORTED PRIVILEGES |
Ermöglicht den Zugriff auf eine freigegebene Datenbank für andere Rollen als die besitzende Rolle. Gilt nur für freigegebene Datenbanken. |
OWNERSHIP |
Gewährt volle Kontrolle über die Datenbank. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Datenbank, außer OWNERSHIP. |
Bemerkung
Für das Ändern der Eigenschaften einer Datenbank, einschließlich der Kommentare, ist die OWNERSHIP-Berechtigung für die Datenbank erforderlich.
Wenn einer Rolle eine beliebige Datenbankberechtigung zugewiesen wurde, kann diese Rolle SQL-Aktionen auf Objekte in einem Schema mit vollqualifizierten Namen ausführen. Die Rolle muss die USAGE-Berechtigung für das Schema sowie die erforderlichen Berechtigungen für das Objekt besitzen. Um eine Datenbank zur aktiven Datenbank in einer Benutzersitzung zu machen, ist die USAGE-Berechtigung für die Datenbank erforderlich.
Schemaberechtigungen¶
Berechtigung |
Verwendung |
|---|---|
MODIFY |
Ermöglicht das Ändern aller Einstellungen eines Schemas. |
MONITOR |
Ermöglicht die Ausführung des Befehls DESCRIBE auf dem Schema. |
USAGE |
Ermöglicht die Verwendung eines Schemas, einschließlich der Rückgabe der Schemadetails in der Ausgabe des Befehls SHOW SCHEMAS. . . Um die SHOW <Objekte>-Befehle für Objekte (Tabellen, Ansichten, Stagingbereiche, Dateiformate, Sequenzen, Pipes oder Funktionen) im Schema ausführen zu können, muss einer Rolle mindestens eine Berechtigung für das Objekt zugewiesen sein. |
CREATE TABLE |
Ermöglicht das Erstellen einer neuen Tabelle in einem Schema, einschließlich des Klonens einer Tabelle. Beachten Sie, dass diese Berechtigung nicht erforderlich ist, um temporäre Tabellen zu erstellen, die auf die aktuelle Benutzersitzung beschränkt sind und automatisch bei Beenden der Sitzung gelöscht werden. |
CREATE EXTERNAL TABLE |
Ermöglicht das Erstellen einer neuen externen Tabelle in einem Schema. |
CREATE VIEW |
Ermöglicht das Erstellen einer neuen Ansicht in einem Schema. |
CREATE MATERIALIZED VIEW |
Ermöglicht das Erstellen einer neuen materialisierten Ansicht in einem Schema. |
CREATE MASKING POLICY |
Ermöglicht das Erstellen einer neuen Maskierungsrichtlinie für Sicherheit auf Spaltenebene in einem Schema. |
CREATE ROW ACCESS POLICY |
Ermöglicht das Erstellen einer neuen Zeilenzugriffsrichtlinie in einem Schema. |
CREATE SESSION POLICY |
Ermöglicht das Erstellen einer neuen Sitzungsrichtlinie in einem Schema. |
CREATE STAGE |
Ermöglicht das Erstellen eines neuen Stagingbereichs in einem Schema, einschließlich des Klonens eines Stagingbereichs. |
CREATE FILE FORMAT |
Ermöglicht das Erstellen eines neuen Dateiformats in einem Schema, einschließlich des Klonens eines Dateiformats. |
CREATE SEQUENCE |
Ermöglicht das Erstellen einer neuen Sequenz in einem Schema, einschließlich des Klonens einer Sequenz. |
CREATE FUNCTION |
Ermöglicht das Erstellen einer neuen UDF oder externen Funktion in einem Schema. |
CREATE PIPE |
Ermöglicht das Erstellen einer neuen Pipe in einem Schema. |
CREATE STREAM |
Ermöglicht das Erstellen eines neuen Streams in einem Schema, einschließlich des Klonens eines Streams. |
CREATE TAG |
Ermöglicht das Erstellen eines neuen Tag-Schlüssels in einem Schema. |
CREATE TASK |
Ermöglicht das Erstellen einer neuen Aufgabe in einem Schema, einschließlich des Klonens einer Aufgabe. |
CREATE PROCEDURE |
Ermöglicht das Erstellen einer neuen gespeicherten Prozedur in einem Schema. |
ADD SEARCH OPTIMIZATION |
Ermöglicht das Hinzufügen der Suchoptimierung zu einer Tabelle in einem Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über das Schema. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für ein Schema, außer OWNERSHIP. |
Bemerkung
Das Ändern der Eigenschaften eines Schemas, einschließlich der Kommentare, erfordert die OWNERSHIP-Berechtigung für die Datenbank.
Für das Ausführen von Operationen auf einem Schema ist auch die USAGE-Berechtigung für die übergeordneten Datenbank erforderlich.
Tabellenberechtigungen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung für eine Tabelle. |
INSERT |
Ermöglicht die Ausführung eines INSERT-Befehls auf einer Tabelle. Ermöglicht auch die Verwendung des ALTER TABLE-Befehls mit einer |
UPDATE |
Ermöglicht die Ausführung eines UPDATE-Befehls auf einer Tabelle. |
TRUNCATE |
Ermöglicht die Ausführung eines TRUNCATE TABLE-Befehls auf einer Tabelle. |
DELETE |
Ermöglicht die Ausführung eines DELETE-Befehls auf einer Tabelle. |
REFERENCES |
Ermöglicht das Referenzieren einer Tabelle als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung. Ermöglicht auch das Anzeigen der Struktur einer Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über die Tabelle. Erfordert das Ändern der meisten Eigenschaften einer Tabelle, mit Ausnahme von Reclustering. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Tabelle, außer OWNERSHIP. |
Bemerkung
Für Ausführen von Operationen auf einer Tabelle ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für externe Tabellen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht die Ausführung einer SELECT-Anweisung für eine externe Tabelle. |
REFERENCES |
Ermöglicht das Anzeigen der Struktur einer externen Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über die externe Tabelle; ist erforderlich, um eine externe Tabelle zu aktualisieren. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine externe Tabelle, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf einer externen Tabelle ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für Ansichten¶
Die folgenden Berechtigungen gelten sowohl für Standardansichten als auch für materialisierte Ansichten.
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Ansicht. |
REFERENCES |
Ermöglicht das Anzeigen der Struktur einer Ansicht (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema. |
OWNERSHIP |
Gewährt volle Kontrolle über die Ansicht. Ist zum Ändern einer Ansicht erforderlich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für eine Ansicht, außer OWNERSHIP. |
Bemerkung
Ein Benutzer, der die SELECT-Berechtigung für eine Ansicht hat, benötigt keine SELECT-Berechtigung für die Tabellen, die die Ansicht verwendet. Das bedeutet, dass Sie eine Ansicht verwenden können, um einer Rolle Zugriff auf nur eine Teilmenge einer Tabelle zu gewähren. Beispielsweise können Sie eine Ansicht erstellen, die auf medizinische Abrechnungsinformationen zugreift, aber nicht auf medizinische Diagnoseinformationen in derselben Tabelle, und Sie können dann der Kundenrolle ACCOUNTANT Berechtigungen für diese Ansicht gewähren, damit Buchhalter zwar die Abrechnungsinformationen, aber nicht die Diagnose des Patienten sehen können.
Für das Ausführen von Operationen auf einer Ansicht ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für Stagingbereiche¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung eines externen Stagingobjekts in einer SQL-Anweisung. Gilt nicht für interne Stagingbereiche. |
READ |
Ermöglicht das Ausführen aller Operationen, die das Lesen eines internen Stagingbereichs (GET, LIST, COPY INTO <Tabelle> usw.) erfordern. Nicht anwendbar auf externe Stagingbereiche. |
WRITE |
Ermöglicht das Ausführen aller Operationen, die das Schreiben in einen internen Stagingbereich (PUT, REMOVE, COPY INTO <Speicherort> usw.) erfordern. Nicht anwendbar bei externen Stagingbereichen. |
OWNERSHIP |
Gewährt volle Kontrolle über den Stagingbereich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Gewährt alle anwendbaren Berechtigungen für den Stagingbereich (intern oder extern), außer OWNERSHIP. |
Bemerkung
Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich gewährt wird, muss die READ-Berechtigung vor oder gleichzeitig mit der WRITE-Berechtigung erteilt werden.
Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich widerrufen wird, muss die WRITE-Berechtigung vor oder gleichzeitig mit der READ-Berechtigung widerrufen werden.
Für das Ausführen von Operationen auf einem Stagingbereich ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für Dateiformate¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung eines Dateiformats in einer SQL-Anweisung. |
OWNERSHIP |
Gewährt volle Kontrolle über das Dateiformat. Erforderlich, um ein Dateiformat zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für das Dateiformat, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf einem Dateiformat ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für Pipes¶
Pipeobjekte werden erstellt und verwaltet, um Daten mit Snowpipe zu laden.
Berechtigung |
Verwendung |
|---|---|
MONITOR |
Ermöglicht die Anzeige von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES) |
OPERATE |
Ermöglicht das Anzeigen von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES), das Anhalten oder Fortsetzen der Pipe und das Aktualisieren der Pipe. |
OWNERSHIP |
Gewährt volle Kontrolle über die Pipe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Pipe, außer OWNERSHIP. |
Bemerkung
Für das Ausführen von Operationen auf Pipes ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Stream-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
SELECT |
Ermöglicht das Ausführen einer SELECT-Anweisung für einen Stream. |
OWNERSHIP |
Gewährt volle Kontrolle über den Stream. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für den Stream, außer OWNERSHIP. |
Aufgabenberechtigungen¶
Berechtigung |
Verwendung |
|---|---|
MONITOR |
Aktiviert das Anzeigen von Details für die Aufgabe (mithilfe von DESCRIBE TASK oder SHOW TASKS). |
OPERATE |
Aktiviert das Anzeigen von Details für die Aufgabe (mit SHOW TASKS) und das Fortsetzen oder Anhalten der Aufgabe. |
OWNERSHIP |
Gewährt volle Kontrolle über die Aufgabe. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Aufgabe, außer OWNERSHIP. |
Berechtigungen für Maskierungsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Ermöglicht das Ausführen der Aktivierungs-/Deaktivierungsoperation für eine Maskierungsrichtlinie auf einer Spalte. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY MASKING POLICY (d. h. APPLY MASKING POLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. Beispiele für die Syntax finden Sie unter Berechtigungen für Maskierungsrichtlinien. |
OWNERSHIP |
Gewährt volle Kontrolle über die Maskierungsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Maskierungsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Für das Ausführen von Operationen auf einer Maskierungsrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen von Zeilenzugriffsrichtlinien¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Aktiviert das Ausführen von Hinzufüge- und Löschoperationen für die Zeilenzugriffsrichtlinie auf einer Tabelle oder Ansicht. Beachten Sie, dass durch Erteilen der globalen Berechtigung APPLY MASKING POLICY (d. h. APPLY ROW ACCESSPOLICY On ACCOUNT) das Ausführen der DESCRIBE-Operation auf Tabellen und Ansichten ermöglicht wird. Beispiele für die Syntax finden Sie unter Übersicht der DDL-Befehle, Operationen und Berechtigungen. |
OWNERSHIP |
Gewährt volle Kontrolle über die Zeilenzugriffsrichtlinie. Erforderlich, um die meisten Eigenschaften einer Zeilenzugriffsrichtlinie zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Für das Ausführen von Operationen auf einer Zeilenzugriffsrichtlinie ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Tag-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
APPLY |
Aktiviert das Ausführen von Hinzufüge- und Löschoperationen für Tags, die einem Snowflake-Objekt zugeordnet sind. |
OWNERSHIP |
Gewährt volle Kontrolle über das Tag. Erforderlich, um die meisten Eigenschaften eines Tags zu ändern. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Tags werden auf Schemaebene gespeichert.
Für das Ausführen von Operationen auf einem Tag ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Sequenz-Berechtigungen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht die Verwendung einer Sequenz in einer SQL-Anweisung. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die Sequenz, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die Sequenz. Ist erforderlich, um die Sequenz ändern zu können. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Für das Ausführen von Operationen auf einer Sequenz ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Berechtigungen für gespeicherte Prozeduren¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht das Aufrufen einer gespeicherten Prozedur |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die gespeicherte Prozedur, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die gespeicherte Prozedur. Ist erforderlich, um die gespeicherte Prozedur ändern zu können. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Für das Ausführen von Operationen auf einer gespeicherten Prozedur ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Wenn eine gespeicherte Prozedur mit Aufruferrechten ausgeführt wird, muss der Benutzer, der die gespeicherte Prozedur aufruft, über Berechtigungen für die Datenbankobjekte (z. B. Tabellen) verfügen, auf die die gespeicherte Prozedur zugreift. Weitere Details dazu finden Sie unter Erläuterungen zu gespeicherten Prozeduren mit Aufruferrechten und Eigentümerrechten.
Berechtigungen für benutzerdefinierte Funktionen (UDF) und externe Funktionen¶
Berechtigung |
Verwendung |
|---|---|
USAGE |
Ermöglicht den Aufruf einer UDF oder externen Funktion. |
ALL [ PRIVILEGES ] |
Erteilt alle Berechtigungen für die UDF oder externe Funktion, außer OWNERSHIP. |
OWNERSHIP |
Gewährt volle Kontrolle über die UDF oder externe Funktion. Ist für das Ändern der UDF oder externen Funktion erforderlich. Diese Berechtigung kann für ein bestimmtes Objekt immer nur einer Rolle erteilt sein. |
Bemerkung
Für das Ausführen von Operationen auf einer UDF oder externen Funktion ist auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema erforderlich.
Der Eigentümer einer UDF muss über Berechtigungen für die Objekte verfügen, auf die die Funktion zugreift. Der Benutzer, der einen UDF aufruft, benötigt diese Berechtigungen nicht. Weitere Details dazu finden Sie unter Sicherheits-/Berechtigungsanforderungen für SQL-UDFs.
Der Eigentümer einer externen Funktion muss über die USAGE-Berechtigung für das mit der externen Funktion verknüpfte API-Integrationsobjekt verfügen. Weitere Details dazu finden Sie in der Dokumentation zu externen Funktionen unter Zugriffssteuerung.