Aktivieren von Nicht-ACCOUNTADMIN-Rollen zur Ausführung von Data Sharing-Aufgaben

Unter diesem Thema sind die Mindestberechtigungen aufgeführt, die zum Ausführen bestimmter SQL-Aktionen im Zusammenhang mit Freigaben erforderlich sind.

Standardmäßig werden Berechtigungen, die zum Erstellen und Verwalten von Freigaben erforderlich sind, nur der Rolle ACCOUNTADMIN erteilt, damit sichergestellt ist, dass nur Kontoadministratoren diese Aufgaben ausführen können. Die Berechtigungen können jedoch auch anderen Rollen erteilt werden, sodass die Aufgaben an andere Benutzer im Konto delegiert werden können.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einem bestimmten Satz von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Bemerkung

Wenn Sie anderen Benutzern des Kontos Freigabeberechtigungen erteilen, stellen Sie sicher, dass die Benutzerprofile dieser anderen Benutzer einen Vornamen, einen Nachnamen und eine E-Mail-Adresse enthalten. Weitere Informationen zum Ändern des Benutzerprofils in Snowsight finden Sie unter Benutzerdetails zum Benutzerprofil hinzufügen.

Datenanbieter

Datenanbieter können eine der folgenden Optionen wählen, um Objekte zu einer Freigabe hinzuzufügen:

  • Option 1: Erstellen Sie eine Datenbankrolle in einer Datenbank. Erteilen Sie der Datenbankrolle Berechtigungen für Objekte in der Datenbank. Weisen Sie die Datenbankrolle der Freigabe zu.

  • Option 2: Erteilen Sie der Freigabe direkt Berechtigungen für die Datenbank und die Datenbankobjekte.

Weitere Informationen zu diesen Optionen finden Sie unter Auswählen der Freigabemethode für Datenbankobjekte.

Die Mindestberechtigungen, die zum Erstellen und Verwalten von Freigaben in einem Datenanbieter- oder Datenverbraucherkonto erforderlich sind, hängen davon ab, welche Option verwendet wurde.

Option 1:

Aktion

Berechtigung

Objekt

Anmerkungen

Freigaben erstellen

CREATE SHARE

Konto

Standardmäßig verfügt die Rolle ACCOUNTADMIN über diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.

Datenbankrollen in einer Datenbank erstellen

CREATE DATABASE ROLE

Datenbank

Nur die Rolle des Datenbankeigentümers (d. h. die Rolle mit OWNERSHIP-Berechtigung für die Datenbank) hat standardmäßig diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.

Option 2:

Aktion

Berechtigung

Objekt

Anmerkungen

Freigaben erstellen

CREATE SHARE

Konto

Standardmäßig verfügt die Rolle ACCOUNTADMIN über diese Berechtigung. Die Berechtigung kann je nach Bedarf weiteren Rollen erteilt werden.

Einer Freigabe Berechtigungen für Objekte erteilen oder entziehen

OWNERSHIP

Freigabe

Diese Rolle muss außerdem mindestens über die folgenden Berechtigungen für die Datenbankobjekte mit der GRANT-Option verfügen:

  • USAGE für die Datenbank

  • USAGE für das Schema

  • SELECT auf beliebige Tabellen, externe Tabellen, sichere Ansichten oder sichere materialisierte Ansichten

  • USAGE für jede sichere UDF

Beachten Sie, dass für die Bearbeitung eines Objekts in einem Schema auch die Berechtigung USAGE für die übergeordnete Datenbank und das Schema erforderlich ist.

Achtung

Die Zuweisung von CREATE SHARE an andere Rollen macht die Verwaltung von Freigaben flexibler, ermöglicht aber auch Benutzern mit diesen Rollen, alle Objekte, die sie besitzen (oder für die sie die notwendigen Berechtigungen haben), anderen Konten zugänglich zu machen. Dies ist besonders wichtig, wenn Sie Daten eines Kontos freigeben, das sensible oder geschützte Daten enthält.

Beachten Sie dies, bevor Sie CREATE SHARE anderen Rollen zuweisen.

Blockieren des Zugriffs auf Objekte einer Freigabe

Der Zugriff auf Objekte einer Freigabe kann entweder von der Rolle, die die Freigabe besitzt, oder von der Rolle, die die Objekte besitzt, blockiert werden:

  • Wenn Ihre Rolle Eigentümer der Freigabe ist, können Sie den Zugriff blockieren, indem Sie die Berechtigungen für die Objekte aus der Freigabe entziehen.

  • Wenn Ihre Rolle nicht Eigentümer der Freigabe, sondern der Objekte in der Freigabe ist, können Sie den Zugriff blockieren, indem Sie mit CASCADE die USAGE- oder SELECT-Berechtigungen an den Objekte für den Eigentümer der Freigabe widerrufen.

Bemerkung

Die Eigentümerschaft einer Freigabe sowie der Objekte in der Freigabe kann entweder durch eine direkte Zuweisung an die Rolle erfolgen oder von einer untergeordneten Rolle in der Rollenhierarchie geerbt werden. Weitere Details dazu finden Sie unter Rollenhierarchie und Vererbung von Berechtigungen.

Es ist möglich, dass dieselbe Rolle Eigentümer eine Freigabe und Eigentümer der Objekte in dieser Freigabe ist.

Datenverbraucher

Die globale Berechtigung IMPORT SHARE ermöglicht in einem Verbraucherkonto die Anzeige der eingehenden Freigaben, die für das Konto freigegeben sind. Die Berechtigung erlaubt außerdem das Erstellen von Datenbanken aus INBOUND-Freigaben, wenn die Rolle auch über die globale Berechtigung CREATE DATABASE verfügt.

Berechtigung IMPORT SHARE

Wenn die Berechtigung IMPORT SHARE einer Rolle erteilt wird, kann jeder Benutzer mit dieser Rolle die folgenden Aufgaben ausführen:

  • Anzeigen aller INBOUND-Freigaben (die von Anbieterkonten gemeinsam genutzt werden)

  • Anzeigen aller OUTBOUND-Freigaben, die Eigentum der Rolle sind.

  • Erstellen von Datenbanken aus INBOUND-Freigaben, wenn die Rolle auch über die globale Berechtigung CREATE DATABASE verfügt

Zuweisen der Berechtigung zu einer anderen Rolle

Zum Zuweisen der globalen Berechtigung IMPORT SHARE zu einer Nicht-ACCOUNTADMIN-Rolle in einem Verbraucherkonto verwenden Sie die ACCOUNTADMIN-Rolle und den Befehl GRANT <Berechtigungen>.

So erteilen Sie beispielsweise der Rolle SYSADMIN die Berechtigung:

USE ROLE ACCOUNTADMIN;

GRANT IMPORT SHARE ON ACCOUNT TO SYSADMIN;
Copy