Autoriser une application à créer des ressources dans un compte de consommateur¶

Vue d’ensemble de l’octroi automatique de privilèges¶

Souvent, une application doit créer ou accéder à des objets ou effectuer d’autres actions dans un compte de consommateur. Pour ce faire, le consommateur doit accorder les privilèges nécessaires pour permettre à l’application d’effectuer ces actions.

Les privilèges automatiques permettent aux fournisseurs de spécifier les privilèges requis dans le fichier manifeste d’une application. Lorsque le consommateur installe ou met à niveau une application, les privilèges spécifiés dans le manifeste sont automatiquement accordés à l’application par Snowflake.

Considérations de sécurité lors de l’utilisation de l’octroi automatique de privilèges¶

Lorsqu’un fournisseur configure une application pour utiliser manifest_version: 2 dans le fichier manifeste, l’octroi automatique de privilèges est activé. Par défaut, cela permet à Snowflake d’accorder automatiquement certains privilèges à l’application. Pour plus d’informations sur les privilèges qui peuvent être automatiquement accordés à l’application, consultez Privilèges accordés par l’octroi automatique de privilèges.

Lors de l’installation, Snowsight affiche une notification relative aux privilèges demandés par l’application. Lorsqu’un consommateur installe une application qui utilise l’octroi automatique de privilèges, il accepte que l’application puisse se voir accorder ces privilèges lors des mises à niveau, sans nécessiter de consentement supplémentaire.

Les consommateurs peuvent créer des politiques de fonctionnalités qui restreignent les objets qu’une application peut créer. Pour plus d’informations sur la création de politiques de fonctionnalités, consultez Utiliser des politiques de fonctions pour limiter les objets qu’une application peut créer.

Privilèges accordés par l’octroi automatique de privilèges¶

Lorsqu’il utilise l’octroi automatique de privilèges, un fournisseur peut ajouter les privilèges suivants au fichier manifeste de l’application :

• EXECUTE TASK

• EXECUTE MANAGED TASK

• CREATE WAREHOUSE

• CREATE COMPUTE POOL

• BIND SERVICE ENDPOINT

• CREATE DATABASE

• CREATE EXTERNAL ACCESS INTEGRATION

• CREATE SECURITY INTEGRATION

Restrictions concernant les privilèges CREATE EXTERNAL ACCESS INTEGRATION et CREATE SECURITY INTEGRATION¶

Les privilèges CREATE EXTERNAL ACCESS INTEGRATION et CREATE SECURITY INTEGRATION permettent à une application de créer dans le compte de consommateur les objets nécessaires pour se connecter à un point de terminaison externe. Toutefois, pour autoriser les connexions à un point de terminaison externe, les consommateurs doivent également approuver la spécification d’application qui permet à l’application de se connecter à des hôtes externes. Si un consommateur n’approuve pas la spécification d’application, la connexion externe reste désactivée.

Pour plus d’informations, voir Approuver des connexions à des ressources externes à l’aide de spécifications d’application.