Zugriffssteuerungsrechte¶

Unter diesem Thema werden die Berechtigungen beschrieben, die im Snowflake-Zugriffssteuerungsmodell verfügbar sind. Berechtigungen werden Rollen erteilt, und Rollen werden Benutzern zugewiesen, um die Operationen anzugeben, die die Benutzer auf Objekten im System ausführen können.

Unter diesem Thema:

Alle Berechtigungen (alphabetisch)
Globale Berechtigungen
Berechtigungen von Benutzern
Berechtigungen von Rollen
Berechtigungen von Ressourcenmonitoren
Berechtigungen für virtuelle Warehouses
Integrationsberechtigungen
Berechtigungen von Netzwerkrichtlinien
Data Exchange-Berechtigungen
Berechtigungen für Data Exchange-Listen
Datenbankberechtigungen
Schemaberechtigungen
Tabellenberechtigungen
Berechtigungen für externe Tabellen
Berechtigungen für Ansichten
Berechtigungen für Stagingbereiche
Berechtigungen für Dateiformate
Berechtigungen für Pipes
Stream-Berechtigungen
Aufgabenberechtigungen
Berechtigungen für Maskierungsrichtlinien
Berechtigungen von Zeilenzugriffsrichtlinien
Tag-Berechtigungen
Sequenz-Berechtigungen
Berechtigungen für gespeicherte Prozeduren
Berechtigungen für benutzerdefinierte Funktionen (UDF) und externe Funktionen

Alle Berechtigungen (alphabetisch)¶

Die folgenden Berechtigungen sind im Snowflake-Zugangssteuerungsmodell verfügbar. Die Bedeutung der einzelnen Berechtigungen variiert je nach Objekttyp, auf den sie angewendet werden, und nicht alle Objekte unterstützen alle Berechtigungen:

Berechtigung	Objekttyp	Beschreibung
ALL [ PRIVILEGES ]	Alle	Gewährt alle Berechtigungen für den angegebenen Objekttyp.
APPLY MASKING POLICY	Global	Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte.
APPLY ROW ACCESS POLICY	Global	Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für Sicherheit auf Zeilenebene für eine Tabelle oder Ansicht.
APPLY TAG	Global	Ermöglicht das Hinzufügen oder Löschen eines Tags, das einem Snowflake-Objekt zugeordnet ist.
ATTACH POLICY	Global	Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto.
CREATE <Objekttyp>	Global, Datenbank, Schema	Gewährt die Möglichkeit, ein Objekt vom Typ <Objekttyp> zu erstellen (z. B. CREATE TABLE, um eine Tabelle innerhalb eines Schemas zu erstellen).
CREATE ACCOUNT	Global	Ermöglicht das Erstellen verwalteter Konten. Gilt derzeit nur für Datenanbieter, die Leserkonten für das Data Sharing mit Verbrauchern erstellen.
CREATE SHARE	Global	Gewährt die Möglichkeit, Freigaben zu erstellen. Gilt für Datenanbieter zur Freigabe von Daten mit anderen Konten.
DELETE	Tabelle	Gewährt die Möglichkeit, einen DELETE-Befehl auf der Tabelle auszuführen.
EXECUTE TASK	Global	Ermöglicht die Ausführung von Aufgaben, die der Rolle gehören.
IMPORT SHARE	Global	Gewährt die Möglichkeit, freigegebene Freigaben mit Ihrem Konto anzuzeigen und Datenbanken aus den Freigaben zu erstellen. Gilt für Datenverbraucher.
OVERRIDE SHARE RESTRICTIONS	Global	Ermöglicht die Festlegung eines Werts für den Parameter SHARE_RESTRICTIONS, mit dem ein Business Critical-Anbieterkonto einer Freigabe ein Verbraucherkonto (ohne Business Critical Edition) hinzufügen kann. Weitere Details dazu finden Sie unter Aktivieren von Freigaben eines Business Critical-Konto für ein Nicht-Business Critical-Konto.
IMPORTED PRIVILEGES	Datenbank, Data Exchange	Gewährt anderen Rollen als der besitzenden Rolle die Möglichkeit, auf eine freigegebene Datenbank zuzugreifen oder eine Snowflake Data Marketplace/Data Exchange-Angebot zu verwalten. Gilt nur für freigegebene Datenbanken.
INSERT	Tabelle	Gewährt die Möglichkeit, einen INSERT-Befehl auf der Tabelle auszuführen.
MANAGE GRANTS	Global	Gewährt die Möglichkeit, Berechtigungen für jedes Objekt zu erteilen oder zu entziehen, als ob die aufrufende Rolle Eigentümer des Objekts wäre.
MODIFY	Ressourcenmonitor, Warehouse, Data Exchange-Liste, Datenbank, Schema	Gewährt die Möglichkeit, die Einstellungen oder Eigenschaften eines Objekts zu ändern (z. B. bietet die Möglichkeit, in einem virtuellen Warehouse die Größe eines virtuellen Warehouse zu ändern).
MONITOR	Benutzer, Ressourcenmonitor, Warehouse, Datenbank, Schema, Aufgabe	Gewährt die Möglichkeit, Details innerhalb eines Objekts anzuzeigen (z. B. Abfragen und Nutzung innerhalb eines Warehouse).
MONITOR EXECUTION	Global	Gewährt die Möglichkeit, Pipes (Snowpipe) oder Aufgaben im Konto zu überwachen.
MONITOR USAGE	Global	Gewährt die Möglichkeit, die Nutzung auf Kontoebene und historische Informationen für Datenbanken und Warehouses zu überwachen. Weitere Details dazu finden Sie unter Möglichkeit zur Überwachung des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Weboberfläche. Gewährt zusätzlich die Möglichkeit, verwaltete Konten mithilfe von SHOW MANAGED ACCOUNTS anzuzeigen.
OPERATE	Warehouse, Aufgabe	Gewährt die Möglichkeit, ein virtuelles Warehouse zu starten, zu stoppen, anzuhalten oder fortzusetzen. Ermöglicht das Anhalten oder Fortsetzen einer Aufgabe.
OWNERSHIP	Alle	Gewährt die Möglichkeit, den Zugriff auf ein Objekt zu löschen, zu ändern, zu gewähren oder zu widerrufen. Erforderlich, um ein Objekt umzubenennen. OWNERSHIP ist eine spezielle Berechtigung für ein Objekt, das automatisch der Rolle zugewiesen wird, die das Objekt erstellt hat, aber von der besitzenden Rolle mit dem Befehl GRANT OWNERSHIP auch auf eine andere Rolle (oder eine beliebige Rolle mit dem Privileg MANAGE GRANTS) übertragen werden kann.
REFERENCES	Tabelle, externe Tabelle, Ansicht	Gewährt die Möglichkeit, die Struktur eines Objekts (aber nicht die Daten) anzuzeigen. . . Für Tabellen bietet die Berechtigung auch die Möglichkeit, das Objekt als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung zu referenzieren.
SELECT	Tabelle, externe Tabelle, Ansicht, Stream	Gewährt die Möglichkeit, eine SELECT-Anweisung auf der Tabelle/Ansicht auszuführen.
TRUNCATE	Tabelle	Gewährt die Möglichkeit, einen TRUNCATE TABLE-Befehl auf der Tabelle auszuführen.
UPDATE	Tabelle	Gewährt die Möglichkeit, einen UPDATE-Befehl auf der Tabelle auszuführen.
USAGE	Warehouse, Data Exchange-Liste, Datenbank, Schema	Gewährt die Möglichkeit, einen USE <Objekt>-Befehl auf dem Objekt auszuführen. Gewährt außerdem die Möglichkeit, einen SHOW <Objekte>-Befehl auf den Objekten innerhalb einer Datenbank oder eines Schemas auszuführen. Ein enthaltenes Objekt wird jedoch nur dann in der Ausgabe aufgeführt, wenn die ausführende Rolle auch mindestens eine Berechtigung für das Objekt hat.

Die restlichen Abschnitte unter diesem Thema beschreiben die spezifischen Berechtigungen, die für jeden Objekttyp und seine Nutzung verfügbar sind.

Globale Berechtigungen¶

Berechtigung	Verwendung	Anmerkungen
APPLY MASKING POLICY	Ermöglicht das Festlegen einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene für eine Tabellen- oder Ansichtsspalte.
APPLY ROW ACCESS POLICY	Ermöglicht das Hinzufügen und Löschen einer Zeilenzugriffsrichtlinie für Sicherheit auf Zeilenebene für eine Tabelle oder Ansicht.
APPLY TAG	Ermöglicht das Hinzufügen oder Löschen eines Tags, das einem Snowflake-Objekt zugeordnet ist.
ATTACH POLICY	Ermöglicht das Aktivieren einer Netzwerkrichtlinie durch Verknüpfen mit Ihrem Konto.
CREATE USER	Ermöglicht das Erstellen eines neuen Benutzers.
CREATE ROLE	Ermöglicht das Erstellen einer neuen Rolle.
MANAGE GRANTS	Ermöglicht das Ändern der Berechtigungen auf Objekten, für die die Rolle nicht Eigentümer ist.	Muss von der Rolle SYSADMIN (oder höher) gewährt werden.
CREATE WAREHOUSE	Ermöglicht das Erstellen eines neuen virtuellen Warehouses.
CREATE DATA EXCHANGE LISTING	Ermöglicht die Erstellung einer neuen Data Exchange-Liste.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
CREATE DATABASE	Ermöglicht das Erstellen einer neuen Datenbank oder das Erstellen eines Klons einer bestehenden Datenbank.	Muss von der Rolle SYSADMIN (oder höher) gewährt werden.
CREATE INTEGRATION	Ermöglicht das Erstellen einer neuen Benachrichtigungs-, Sicherheits- oder Speicherintegration.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
CREATE NETWORK POLICY	Ermöglicht das Erstellen einer neuen Netzwerkrichtlinie.
EXECUTE TASK	Ermöglicht die Ausführung von Aufgaben, die der Rolle gehören.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
MONITOR EXECUTION	Gewährt die Möglichkeit, alle Pipes oder Tasks im Konto zu überwachen.	Muss von der Rolle ACCOUNTADMIN gewährt werden. Die USAGE-Berechtigung ist auch für jede Datenbank und jedes Schema erforderlich, die diese Objekte speichern.
CREATE SHARE	Ermöglicht es einem Datenanbieter, eine neue Freigabe zu erstellen. Weitere Details dazu finden Sie unter Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
IMPORT SHARE	Ermöglicht es einem Datenverbraucher, freigegebene Freigaben mit seinem Konto anzuzeigen und Datenbanken aus den Freigaben zu erstellen. Weitere Details dazu finden Sie unter Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
OVERRIDE SHARE RESTRICTIONS	Ermöglicht die Festlegung eines Werts für den Parameter SHARE_RESTRICTIONS, mit dem ein Business Critical-Anbieterkonto einer Freigabe ein Verbraucherkonto (ohne Business Critical Edition) hinzufügen kann.	Weitere Details dazu finden Sie unter Aktivieren von Freigaben eines Business Critical-Konto für ein Nicht-Business Critical-Konto.
CREATE ACCOUNT	Ermöglicht es einem Datenanbieter, ein neues verwaltetes Konto (z. B. Leserkonto) zu erstellen. Weitere Details dazu finden Sie unter Verwalten von Leserkonten.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
MONITOR USAGE	Gewährt die Möglichkeit, die Nutzung auf Kontoebene und historische Informationen für Datenbanken und Warehouses zu überwachen. Weitere Details dazu finden Sie unter Möglichkeit zur Überwachung des Nutzungs- und Abrechnungsverlaufs durch Nichtkontoadministratoren über die klassische Weboberfläche. Gewährt zusätzlich die Möglichkeit, verwaltete Konten mithilfe von SHOW MANAGED ACCOUNTS anzuzeigen.	Muss von der Rolle ACCOUNTADMIN gewährt werden.
ALL [ PRIVILEGES ]	Erteilt alle globalen Berechtigungen.

Berechtigungen von Benutzern¶

Berechtigung	Verwendung
OWNERSHIP	Gewährt die volle Kontrolle über einen Benutzer bzw. eine Rolle.
MONITOR	Ermöglicht dem Benutzer die Anzeige des Anmeldeverlaufs.

Berechtigungen von Rollen¶

Berechtigung	Verwendung
OWNERSHIP	Gewährt die volle Kontrolle über einen Benutzer bzw. eine Rolle. Beachten Sie, dass die Eigentümerrolle keine Berechtigungen erbt, die der besitzenden Rolle erteilt wurden. Um Berechtigungen von einer Rolle zu erben, muss diese Rolle einer anderen Rolle gewährt werden, wodurch eine Übergeordnet/Untergeordnet-Beziehung in einer Rollenhierarchie entsteht.

Berechtigungen von Ressourcenmonitoren¶

Berechtigung	Verwendung
MODIFY	Ermöglicht das Ändern aller Eigenschaften eines Ressourcenmonitors, wie z. B. das Ändern des monatlichen Credit-Kontingents.
MONITOR	Ermöglicht die Anzeige eines Ressourcenmonitors.

Berechtigungen für virtuelle Warehouses¶

Berechtigung	Verwendung
MODIFY	Ermöglicht das Ändern aller Eigenschaften eines Warehouses, einschließlich der Änderung seiner Größe. . . Erforderlich, um ein Warehouse einem Ressourcenmonitor zuzuweisen. Beachten Sie, dass nur die Rolle ACCOUNTADMIN den Ressourcenmonitoren Warehouse zuweisen kann.
MONITOR	Ermöglicht die Anzeige aktueller und vergangener Abfragen in einem Warehouse sowie die Anzeige von Nutzungsstatistiken zu diesem Warehouse.
OPERATE	Ermöglicht das Ändern des Status eines Warehouses (Stoppen, Starten, Anhalten, Fortsetzen) sowie das Abbrechen aller ausgeführten Abfragen.
USAGE	Ermöglicht die Nutzung eines virtuellen Warehouses und damit das Ausführen von Abfragen auf dem Warehouse.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für das Warehouse, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einem Warehouse, was volle Kontrolle über das Warehouse gewährt.

Integrationsberechtigungen¶

Berechtigung	Verwendung
USAGE	Ermöglicht beim Erstellen eines Stagingbereichs (mit CREATE STAGE) oder beim Ändern eines Stagingbereichs (mit ALTER STAGE) das Referenzieren auf die Speicherintegration.
USE_ANY_ROLE	Ermöglicht dem External OAuth-Client oder -Benutzer, die Rollen nur zu wechseln, wenn diese Berechtigung dem Client oder Benutzer erteilt wird. Konfigurieren Sie die External OAuth-Sicherheitsintegration so, dass der Parameter `EXTERNAL_OAUTH_ANY_ROLE_MODE` mit CREATE SECURITY INTEGRATION oder ALTER SECURITY INTEGRATION verwendet wird.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für die Integration, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Integration, was volle Kontrolle über das die Integration gewährt.

Berechtigungen von Netzwerkrichtlinien¶

Berechtigung	Verwendung
OWNERSHIP	Überträgt die Eigentümerschaft an einer Netzwerkrichtlinie, wodurch die volle Kontrolle über die Netzwerkrichtlinie gegeben ist.

Data Exchange-Berechtigungen¶

Berechtigung	Verwendung
IMPORTED PRIVILEGES	Ermöglicht die Verwaltung eines Snowflake Data Marketplace- oder Data Exchange-Angebots durch andere Rollen als der des Eigentümers.

Berechtigungen für Data Exchange-Listen¶

Bemerkung

Gegenwärtig können Berechtigungen für Data Exchange-Listen nur über die Snowflake-Weboberfläche erteilt werden. Eine Anleitung dazu finden Sie unter Erteilen von Berechtigungen für andere Rollen.

Berechtigung	Verwendung
MODIFY	Ermöglicht es anderen Rollen als der Eigentümerrolle, einen Snowflake Data Marketplace- oder eine Data Exchange-Liste zu ändern.
USAGE	Ermöglicht die Anzeige einer Snowflake Data Marketplace- oder Data Exchange-Liste.
OWNERSHIP	Überträgt die Eigentümerschaft einer Snowflake Data Marketplace- oder Data Exchange-Liste, wodurch volle Kontrolle über die Liste gewährt wird.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen, mit Ausnahme von OWNERSHIP, für eine Snowflake Data Marketplace- oder Data Exchange-Liste.

Datenbankberechtigungen¶

Berechtigung	Verwendung
MODIFY	Ermöglicht das Ändern aller Einstellungen einer Datenbank.
MONITOR	Aktiviert die Ausführung des Befehls DESCRIBE für die Datenbank.
USAGE	Ermöglicht die Verwendung einer Datenbank. Zusätzliche Berechtigungen sind erforderlich, um Objekte in einer Datenbank anzuzeigen oder Aktionen auszuführen.
CREATE SCHEMA	Ermöglicht das Erstellen eines neuen Schemas in einer Datenbank, einschließlich des Klonens eines Schemas.
IMPORTED PRIVILEGES	Ermöglicht den Zugriff auf eine freigegebene Datenbank für andere Rollen als die besitzende Rolle. Gilt nur für freigegebene Datenbanken.
ALL [ PRIVILEGES ]	Gewährt alle Berechtigungen für eine Datenbank, mit Ausnahme von OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Datenbank, was die volle Kontrolle über die Datenbank ermöglicht.

Bemerkung

Für das Ändern der Eigenschaften einer Datenbank, einschließlich der Kommentare, ist die OWNERSHIP-Berechtigung für die Datenbank erforderlich.
Wenn einer Rolle eine beliebige Datenbankberechtigung zugewiesen wurde, kann diese Rolle SQL-Aktionen auf Objekte in einem Schema mit vollqualifizierten Namen ausführen. Die Rolle muss die USAGE-Berechtigung für das Schema sowie die erforderlichen Berechtigungen für das Objekt besitzen. Um eine Datenbank zur aktiven Datenbank in einer Benutzersitzung zu machen, ist die USAGE-Berechtigung für die Datenbank erforderlich.

Schemaberechtigungen¶

Berechtigung	Verwendung
MODIFY	Ermöglicht das Ändern aller Einstellungen eines Schemas.
MONITOR	Aktiviert die Ausführung des Befehls DESCRIBE für das Schema.
USAGE	Ermöglicht die Verwendung eines Schemas, einschließlich der Ausführung der SHOW SCHEMAS-Befehle, um die Schemadetails in einer Datenbank aufzulisten. . . Um SHOW <Objekte>-Befehle für Objekte (Tabellen, Ansichten, Stagingbereiche, Dateiformate, Sequenzen, Pipes oder Funktionen) im Schema ausführen zu können, muss einer Rolle mindestens eine Berechtigung für das Objekt zugewiesen sein.
CREATE TABLE	Ermöglicht das Erstellen einer neuen Tabelle in einem Schema, einschließlich des Klonens einer Tabelle. Beachten Sie, dass diese Berechtigung nicht erforderlich ist, um temporäre Tabellen zu erstellen, die auf die aktuelle Benutzersitzung beschränkt sind und automatisch bei Beenden der Sitzung gelöscht werden.
CREATE EXTERNAL TABLE	Ermöglicht das Erstellen einer neuen externen Tabelle in einem Schema.
CREATE VIEW	Ermöglicht das Erstellen einer neuen Ansicht in einem Schema.
CREATE MATERIALIZED VIEW	Ermöglicht das Erstellen einer neuen materialisierten Ansicht in einem Schema.
CREATE MASKING POLICY	Ermöglicht das Erstellen einer neuen Maskierungsrichtlinie für Sicherheit auf Spaltenebene in einem Schema.
CREATE ROW ACCESS POLICY	Ermöglicht das Erstellen einer neuen Zeilenzugriffsrichtlinie für Zeilenzugriffsrichtlinien in einem Schema.
CREATE STAGE	Ermöglicht das Erstellen eines neuen Stagingbereichs in einem Schema, einschließlich des Klonens eines Stagingbereichs.
CREATE FILE FORMAT	Ermöglicht das Erstellen eines neuen Dateiformats in einem Schema, einschließlich des Klonens eines Dateiformats.
CREATE SEQUENCE	Ermöglicht das Erstellen einer neuen Sequenz in einem Schema, einschließlich des Klonens einer Sequenz.
CREATE FUNCTION	Ermöglicht das Erstellen einer neuen UDF oder externen Funktion in einem Schema.
CREATE PIPE	Ermöglicht das Erstellen einer neuen Pipe in einem Schema.
CREATE STREAM	Ermöglicht das Erstellen eines neuen Streams in einem Schema, einschließlich des Klonens eines Streams.
CREATE TASK	Ermöglicht das Erstellen einer neuen Aufgabe in einem Schema, einschließlich des Klonens einer Aufgabe.
CREATE PROCEDURE	Ermöglicht das Erstellen einer neuen gespeicherten Prozedur in einem Schema.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für ein Schema, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einem Schema, was die volle Kontrolle über das Schema ermöglicht.

Bemerkung

Das Ändern der Eigenschaften eines Schemas, einschließlich der Kommentare, erfordert die OWNERSHIP-Berechtigung für die Datenbank.
Das Durchführen von Operationen auf einem Schema erfordert auch die USAGE-Berechtigung auf der übergeordneten Datenbank.

Tabellenberechtigungen¶

Berechtigung	Verwendung
SELECT	Ermöglicht das Ausführen einer SELECT-Anweisung für eine Tabelle.
INSERT	Ermöglicht die Ausführung eines INSERT-Befehls auf einer Tabelle. Ermöglicht auch die Verwendung des ALTER TABLE-Befehls mit einer `RECLUSTER`-Klausel, um eine Tabelle mit einem Gruppierungsschlüssel manuell neu zu gruppieren.
UPDATE	Ermöglicht die Ausführung eines UPDATE-Befehls auf einer Tabelle.
TRUNCATE	Ermöglicht die Ausführung eines TRUNCATE TABLE-Befehls auf einer Tabelle.
DELETE	Ermöglicht die Ausführung eines DELETE-Befehls auf einer Tabelle.
REFERENCES	Ermöglicht das Referenzieren einer Tabelle als eindeutige Primärschlüsseltabelle für eine Fremdschlüsseleinschränkung. Ermöglicht auch das Anzeigen der Struktur einer Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für eine Tabelle, mit Ausnahme von OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Tabelle, was die volle Kontrolle über die Tabelle ermöglicht. Erfordert das Ändern der meisten Eigenschaften einer Tabelle, mit Ausnahme von Reclustering.

Bemerkung

Das Durchführen von Operationen für eine Tabelle erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Berechtigungen für externe Tabellen¶

Berechtigung	Verwendung
SELECT	Ermöglicht die Ausführung einer SELECT-Anweisung für eine externe Tabelle.
REFERENCES	Ermöglicht das Anzeigen der Struktur einer externen Tabelle (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen mit Ausnahme von OWNERSHIP für eine externe Tabelle.
OWNERSHIP	Überträgt die Eigentümerschaft an einer externen Tabelle, was die volle Kontrolle über die externe Tabelle ermöglicht. Ist erforderlich, um eine externe Tabelle zu aktualisieren.

Bemerkung

Das Durchführen von Operationen für eine externe Tabelle erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Berechtigungen für Ansichten¶

Die folgenden Berechtigungen gelten sowohl für Standardansichten als auch für materialisierte Ansichten.

Berechtigung	Verwendung
SELECT	Ermöglicht das Ausführen einer SELECT-Anweisung auf einer Ansicht.
REFERENCES	Ermöglicht das Anzeigen der Struktur einer Ansicht (aber nicht der Daten) über den Befehl DESCRIBE oder SHOW oder durch Abfragen des Information Schema.
ALL [ PRIVILEGES ]	Gewährt alle Berechtigungen für eine Ansicht, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Ansicht, was die volle Kontrolle über die Ansicht ermöglicht. Ist zum Ändern einer Ansicht erforderlich.

Bemerkung

Ein Benutzer, der die SELECT-Berechtigung für eine Ansicht hat, benötigt nicht auch die SELECT-Berechtigung für die Tabellen, die die Ansicht verwendet. Das bedeutet, dass Sie eine Ansicht verwenden können, um einer Rolle Zugriff auf nur eine Teilmenge einer Tabelle zu gewähren. Beispielsweise können Sie eine Ansicht erstellen, die auf medizinische Abrechnungsinformationen zugreift, aber nicht auf medizinische Diagnoseinformationen in derselben Tabelle, und Sie können dann der Kundenrolle ACCOUNTANT Berechtigungen für diese Ansicht gewähren, damit Buchhalter zwar die Abrechnungsinformationen, aber nicht die Diagnose des Patienten sehen können.

Das Durchführen von Operationen auf einer Ansicht erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Berechtigungen für Stagingbereiche¶

Berechtigung	Verwendung
USAGE	Ermöglicht die Verwendung eines externen Stagingobjekts in einer SQL-Anweisung. Gilt nicht für interne Stagingbereiche.
READ	Ermöglicht das Ausführen aller Operationen, die das Lesen eines internen Stagingbereichs (GET, LIST, COPY INTO <Tabelle> usw.) erfordern. Nicht anwendbar auf externe Stagingbereiche.
WRITE	Ermöglicht das Ausführen aller Operationen, die das Schreiben in einen internen Stagingbereich (PUT, REMOVE, COPY INTO <Speicherort> usw.) erfordern. Nicht anwendbar auf externe Stagingbereiche.
ALL [ PRIVILEGES ]	Gewährt alle anwendbaren Berechtigungen für den Stagingbereich (intern oder extern), außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einem Stagingbereich, was die volle Kontrolle über den Stagingbereich ermöglicht.

Bemerkung

Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich gewährt wird, muss die READ-Berechtigung vor oder gleichzeitig mit der WRITE-Berechtigung erteilt werden.
Wenn sowohl die READ- als auch die WRITE-Berechtigung für einen internen Stagingbereich widerrufen wird, muss die WRITE-Berechtigung vor oder gleichzeitig mit der READ-Berechtigung widerrufen werden.
Das Durchführen von Operationen auf einem Stagingbereich erfordert auch die USAGE-Berechtigung auf der übergeordneten Datenbank und dem übergeordneten Schema.

Berechtigungen für Dateiformate¶

Berechtigung	Verwendung
USAGE	Ermöglicht die Verwendung eines Dateiformats in einer SQL-Anweisung.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für das Dateiformat, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einem Dateiformat, was die volle Kontrolle über das Dateiformat ermöglicht. Erforderlich, um ein Dateiformat zu ändern.

Bemerkung

Das Durchführen von Operationen auf einem Dateiformat erfordert auch die USAGE-Berechtigung auf der übergeordneten Datenbank und dem übergeordneten Schema.

Berechtigungen für Pipes¶

Pipeobjekte werden erstellt und verwaltet, um Daten mit Snowpipe zu laden.

Berechtigung	Verwendung
MONITOR	Ermöglicht die Anzeige von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES)
OPERATE	Ermöglicht das Anzeigen von Details zur Pipe (mit DESCRIBE PIPE oder SHOW PIPES), das Anhalten oder Fortsetzen der Pipe und das Aktualisieren der Pipe.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Pipe, was die volle Kontrolle über die Pipe ermöglicht.

Bemerkung

Das Durchführen von Operationen auf Pipes erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Stream-Berechtigungen¶

Berechtigung	Verwendung
SELECT	Ermöglicht das Ausführen einer SELECT-Anweisung für einen Stream.
OWNERSHIP	Überträgt die Eigentümerschaft an einem Stream, was volle Kontrolle über den Stream gewährt.
ALL [ PRIVILEGES ]	Gewährt alle Berechtigungen für den Stream, außer OWNERSHIP.

Aufgabenberechtigungen¶

Berechtigung	Verwendung
MONITOR	Aktiviert das Anzeigen von Details für die Aufgabe (mithilfe von DESCRIBE TASK oder SHOW TASKS).
OPERATE	Aktiviert das Anzeigen von Details für die Aufgabe (mit SHOW TASKS) und das Fortsetzen oder Anhalten der Aufgabe.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Aufgabe, was volle Kontrolle über die Aufgabe gewährt.

Berechtigungen für Maskierungsrichtlinien¶

Berechtigung	Verwendung
APPLY	Ermöglicht das Anwenden der Aktivierungs-/Deaktivierungsoperation für Maskierungsrichtlinien von Sicherheit auf Spaltenebene.
OWNERSHIP	Überträgt die Eigentümerschaft einer Maskierungsrichtlinie für Sicherheit auf Spaltenebene, wodurch die vollständige Kontrolle über die Maskierungsrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Maskierungsrichtlinie zu ändern.

Bemerkung

Das Durchführen von Operationen auf einer Maskierungsrichtlinie erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Berechtigungen von Zeilenzugriffsrichtlinien¶

Berechtigung	Verwendung
APPLY	Aktiviert die Hinzufüge- und Löschoperationen von Zeilenzugriffsrichtlinien für Zeilenzugriffsrichtlinien für eine Tabelle oder Ansicht.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Zeilenzugriffsrichtlinie, wodurch die volle Kontrolle über die Zeilenzugriffsrichtlinie gewährt wird. Erforderlich, um die meisten Eigenschaften einer Zeilenzugriffsrichtlinie zu ändern.

Bemerkung

Das Durchführen von Operationen auf einer Zeilenzugriffsrichtlinie erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Tag-Berechtigungen¶

Berechtigung	Verwendung
APPLY	Aktiviert die Operationen zum Hinzufügen und Löschen von Tags, die einem Snowflake-Objekt zugeordnet sind.
OWNERSHIP	Überträgt die Eigentümerschaft eines Tags, was die volle Kontrolle über das Tag gewährt. Erforderlich, um die meisten Eigenschaften eines Tags zu ändern.

Bemerkung

Tags werden auf Schemaebene gespeichert.

Das Durchführen von Operationen auf einem Tag erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Sequenz-Berechtigungen¶

Berechtigung	Verwendung
USAGE	Ermöglicht die Verwendung einer Sequenz in einer SQL-Anweisung.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für die Sequenz, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer Sequenz, was die volle Kontrolle über die Sequenz ermöglicht. Ist erforderlich, um die Sequenz ändern zu können.

Bemerkung

Das Durchführen von Operationen auf einer Sequenz erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.

Berechtigungen für gespeicherte Prozeduren¶

Berechtigung	Verwendung
USAGE	Ermöglicht das Aufrufen einer gespeicherten Prozedur
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für die gespeicherte Prozedur, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer gespeicherten Prozedur, was die volle Kontrolle über die gespeicherte Prozedur ermöglicht. Ist erforderlich, um die gespeicherte Prozedur ändern zu können.

Bemerkung

Das Durchführen von Operationen auf einer gespeicherten Prozedur erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.
Wenn eine gespeicherte Prozedur mit Aufruferrechten ausgeführt wird, muss der Benutzer, der die gespeicherte Prozedur aufruft, über Berechtigungen für die Datenbankobjekte (z. B. Tabellen) verfügen, auf die die gespeicherte Prozedur zugreift. Weitere Details dazu finden Sie unter Erläuterungen zu gespeicherten Prozeduren mit Aufruferrechten und Eigentümerrechten.

Berechtigungen für benutzerdefinierte Funktionen (UDF) und externe Funktionen¶

Berechtigung	Verwendung
USAGE	Ermöglicht den Aufruf einer UDF oder externen Funktion.
ALL [ PRIVILEGES ]	Erteilt alle Berechtigungen für die UDF oder externe Funktion, außer OWNERSHIP.
OWNERSHIP	Überträgt die Eigentümerschaft an einer UDF oder externen Funktion, was die volle Kontrolle über das Objekt ermöglicht. Ist für das Ändern der UDF oder externen Funktion erforderlich.

Bemerkung

Das Durchführen von Operationen auf einer UDF oder externen Funktion erfordert auch die USAGE-Berechtigung für die übergeordnete Datenbank und das übergeordnete Schema.
Der Eigentümer einer UDF muss über Berechtigungen für die Objekte verfügen, auf die die Funktion zugreift. Der Benutzer, der einen UDF aufruft, benötigt diese Berechtigungen nicht. Weitere Details dazu finden Sie unter Sicherheits-/Berechtigungsanforderungen für SQL-UDFs.
Der Eigentümer einer externen Funktion muss über die USAGE-Berechtigung für das mit der externen Funktion verknüpfte API-Integrationsobjekt verfügen. Weitere Details dazu finden Sie in der Dokumentation zu externen Funktionen unter Zugriffssteuerung.