Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben¶
Unter diesem Thema sind die Mindestberechtigungen aufgeführt, die zum Ausführen bestimmter SQL-Aktionen im Zusammenhang mit Freigaben erforderlich sind.
Standardmäßig werden Berechtigungen, die zum Erstellen und Verwalten von Freigaben erforderlich sind, nur der Rolle ACCOUNTADMIN erteilt, damit sichergestellt ist, dass nur Kontoadministratoren diese Aufgaben ausführen können. Die Berechtigungen können jedoch auch anderen Rollen erteilt werden, sodass die Aufgaben an andere Benutzer im Konto delegiert werden können.
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einem bestimmten Satz von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Bemerkung
Wenn Sie anderen Benutzern des Kontos Freigabeberechtigungen erteilen, stellen Sie sicher, dass die Benutzerprofile dieser anderen Benutzer einen Vornamen, einen Nachnamen und eine E-Mail-Adresse enthalten. Weitere Informationen zum Ändern des Benutzerprofils in Snowsight finden Sie unter Festlegen der Benutzerdetails und Einstellungen.
Datenanbieter¶
Datenanbieter können eine der folgenden Optionen wählen, um Objekte zu einer Freigabe hinzuzufügen:
Option 1: Erstellen Sie eine Datenbankrolle in der freizugebenden Datenbank. Erteilen Sie der Datenbankrolle Berechtigungen für Objekte in der Datenbank. Weisen Sie die Datenbankrolle der Freigabe zu.
Option 2: Erteilen Sie der Freigabe direkt Berechtigungen für die Datenbank und die Datenbankobjekte.
Weitere Informationen zu diesen Optionen finden Sie unter Auswählen der Freigabemethode für Datenbankobjekte.
Die Mindestberechtigungen, die zum Erstellen und Verwalten von Freigaben in einem Datenanbieter- oder Datenverbraucherkonto erforderlich sind, hängen davon ab, welche Option verwendet wurde.
- Option 1
Aktion
Berechtigung
Objekt
Anmerkungen
Freigaben erstellen
CREATE SHARE
Konto
Standardmäßig verfügt die Rolle ACCOUNTADMIN über diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.
Datenbankrollen in einer Datenbank erstellen
CREATE DATABASE ROLE
Datenbank
Nur die Rolle des Datenbankeigentümers (d. h. die Rolle mit OWNERSHIP-Berechtigung für die Datenbank) hat standardmäßig diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.
- Option 2
Aktion
Berechtigung
Objekt
Anmerkungen
Freigaben erstellen
CREATE SHARE
Konto
Standardmäßig verfügt die Rolle ACCOUNTADMIN über diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.
Einer Freigabe Berechtigungen für Objekte erteilen oder entziehen
OWNERSHIP
Freigabe
Darüber hinaus muss diese Rolle mindestens über die folgenden Berechtigungen für die Datenbankobjekte mit der Zuweisungsoption verfügen:
USAGE für die Datenbank
USAGE für das Schema
SELECT auf beliebige Tabellen, externe Tabellen, sichere Ansichten oder sichere materialisierte Ansichten
USAGE für jede sichere UDF
Beachten Sie, dass für die Bearbeitung eines Objekts in einem Schema auch die Berechtigung USAGE für die übergeordnete Datenbank und das Schema erforderlich ist.
Achtung
Die Zuweisung von CREATE SHARE an andere Rollen macht die Verwaltung von Freigaben flexibler, ermöglicht aber auch Benutzern mit diesen Rollen, alle Objekte, die sie besitzen (oder für die sie die notwendigen Berechtigungen haben), anderen Konten zugänglich zu machen. Dies ist besonders wichtig, wenn Sie Daten eines Kontos freigeben, das sensible oder geschützte Daten enthält.
Beachten Sie dies, bevor Sie CREATE SHARE an andere Rollen vergeben.
Datenverbraucher¶
Die globale Berechtigung IMPORT SHARE ermöglicht in einem Verbraucherkonto die Anzeige der eingehenden Freigaben, die für das Konto freigegeben sind. Die Berechtigung ermöglicht außerdem das Erstellen von Datenbanken aus eingehenden Freigaben, wofür aber außerdem noch die globale Berechtigung CREATE DATABASE erforderlich ist.
Erteilen der Berechtigung an eine andere Rolle¶
Um IMPORT SHARE einer Nicht-ACCOUNTADMIN-Rolle in einem Verbraucherkonto zu gewähren, verwenden Sie die ACCOUNTADMIN-Rolle und den Befehl GRANT <Berechtigungen>.
So erteilen Sie beispielsweise der Rolle SYSADMIN die Berechtigung:
USE ROLE ACCOUNTADMIN;
GRANT IMPORT SHARE ON ACCOUNT TO SYSADMIN;