Gestion de l’accès aux collaborations, aux ressources et aux données¶

Vue d’ensemble¶

L’accès aux collaborations, ainsi que la possibilité d’effectuer des actions dans une collaboration, sont gérés à l’aide des mécanismes suivants :

L’autorisation d’installer des applications pour le compte est requise pour installer l’application Data Clean Room et est détenue par ACCOUNTADMIN par défaut.
L’autorisation d’exécuter des procédures spécifiques de l’API de collaboration est gérée par les privilèges DCR.
L’autorisation d’effectuer des actions spécifiques basées sur les rôles dans une collaboration est gérée par les rôles de collaboration. Ces rôles déterminent ce qu’un utilisateur peut faire dans une collaboration spécifique. La définition de la collaboration doit vous répertorier en tant qu’exécuteur d’analyses pour pouvoir exécuter une analyse. Vous devez être répertorié en tant que fournisseur de données pour partager des données avec un exécuteur d’analyses spécifié.

Ces mécanismes se chevauchent, et toutes les exigences doivent être remplies pour pouvoir effectuer une action spécifique sur une ressource spécifique. Par exemple, pour que vous puissiez partager une table my_data avec user_1 dans une collaboration existante``collab_1``, toutes les exigences suivantes doivent être remplies :

Vous devez être un fournisseur de données désigné pour``user_1`` dans la collaboration, et user_1 doit être un exécuteur d’analyses dans cette collaboration (rôle de collaboration).
Vous devez disposer de l’autorisation pour appeler les procédures appropriées de l’API de collaboration pour lier l’offre de données à la collaboration (privilège DCR).
Vous devez disposer du privilège REFERENCE_USAGE avecGRANT OPTION sur la table my_data pour l’enregistrer en tant que ressource d’offre de données (privilège RBAC).

Ce chapitre décrit comment gérer les privilèges DCR. Les politiques de données et les rôles de collaboration sont décrits séparément.

Utiliser les privilèges DCR pour gérer les privilèges des comptes, des objets et des procédures¶

Le rôle SAMOOHA_APP_ROLE dispose des privilèges pour exécuter toutes les procédures de l’API de collaboration. Ce rôle peut avoir un accès plus large que ce que vous souhaitez accorder à certains groupes d’utilisateurs dans votre compte. Bien que les rôles de collaboration limitent les actions qu’un utilisateur peut effectuer, vous pouvez également fournir des rôles spécifiques avec des autorisations plus précises et limitées.

Une fois l’application Snowflake Data Clean Rooms installée, des privilèges supplémentaires spécifiques à Data Clean Room peuvent être attribués à des utilisateurs spécifiques.

Pour accorder des privilèges d’API granulaires à un utilisateur, procédez comme suit :

Créez un rôle.
Accordez l’utilisation sur l’entrepôt utilisé au rôle.
Appelez GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE si nécessaire pour accorder des privilèges appropriés sur une collaboration spécifique à un rôle.
Appelez GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE si nécessaire pour accorder des privilèges de haut niveau appropriés sur toutes les collaborations du compte au rôle.
Attribuez le rôle à l’utilisateur, qui peut désormais appeler des procédures de collaboration pour participer à la collaboration.

Par exemple, GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE( 'JOIN COLLABORATION', 'collab_join_role' ) donne à collab_join_role l’autorisation d’appeler JOIN, REVIEW, RUN, LEAVE, VIEW_DATA_OFFERINGS et bien d’autres procédures d’API nécessaires pour joindre et utiliser une collaboration. En revanche, GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry_1', 'registry_reader_role') donne à registry_reader_role l’autorisation de lire à partir d’un registre unique. Vous pouvez accorder plusieurs ensembles de privilèges à un même rôle.

Consultez quels privilèges DCR doivent être accordés pour pouvoir appeler une procédure donnée de l’API de collaboration si vous n’utilisez pas SAMOOHA_APP_ROLE.

Voici un exemple de création d’un rôle nommé COLLABORATION_CREATOR qui peut créer une collaboration, créer un registre personnalisé et enregistrer des offres de données, et accorder le rôle à l’utilisateur actuel.

CREATE ROLE IF NOT EXISTS COLLABORATION_CREATOR;

-- Grant warehouse access to the role.
GRANT USAGE ON WAREHOUSE APP_WH TO ROLE COLLABORATION_CREATOR;

-- COLLABORATION_CREATOR needs these manual account-level privileges,
-- which are required by the CREATE COLLABORATION DCR privilege.
GRANT APPLY ROW ACCESS POLICY ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE APPLICATION ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE DATABASE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE LISTING ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT IMPORT SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT MANAGE SHARE TARGET ON ACCOUNT TO ROLE COLLABORATION_CREATOR;

GRANT ROLE COLLABORATION_CREATOR TO USER alexander_hamilton;

-- Grant DCR account-level privileges using GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE.
-- This procedure requires the ACCOUNTADMIN role.

-- COLLABORATION_CREATOR: create collaborations, create registries,
-- and register data offerings.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE COLLABORATION', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE REGISTRY', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'REGISTER DATA OFFERING', 'COLLABORATION_CREATOR');

Le code suivant utilise le rôle COLLABORATION_CREATOR pour créer un registre personnalisé, puis accorde l’accès en lecture sur ce registre au rôle EU_SALES_TEAM :

USE ROLE COLLABORATION_CREATOR;
USE WAREHOUSE APP_WH;
USE SECONDARY ROLES NONE;

-- Create a custom registry.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.REGISTRY.CREATE_REGISTRY(
  'DATA_REGISTRY_EU',
  'DATA OFFERING');

-- Grant read permission on a registry created by this role to the role EU_SALES_TEAM.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE(
  'READ',
  'REGISTRY',
  'DATA_REGISTRY_EU',
  'EU_SALES_TEAM');

Exigences en matière de privilèges DCR pour les procédures de l’API de collaboration¶

Si vous utilisez un rôle personnalisé (plutôt que SAMOOHA_APP_ROLE), le tableau suivant résume les privilèges requis pour exécuter chaque procédure de l’API de collaboration.

Sauf indication contraire, les privilèges figurant dans une liste à puces sont généralement des alternatives : vous n’avez besoin que d’un seul des privilèges énumérés pour exécuter la procédure spécifiée.


Nom de la procédure	Exigences d’accès
REGISTER_TEMPLATE	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER TEMPLATE', 'role name')` Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`.
VIEW_REGISTERED_TEMPLATES	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED TEMPLATES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
ADD_TEMPLATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Si le modèle se trouve dans un registre personnalisé, ou fait référence à une spécification de code dans un registre personnalisé, vous devez également disposer du privilège READ sur le registre.
REMOVE_TEMPLATE	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
VIEW_TEMPLATES	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW TEMPLATES', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte En outre, pour voir les objets enregistrés dans un registre personnalisé, vous avez besoin du privilège READ sur ce registre.
ENABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
DISABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
GET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
SET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
REGISTER_DATA_OFFERING	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER DATA OFFERING', 'role name')` Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`. En outre, l’appelant a besoin des privilèges RBAC suivants : SELECT sur la table/vue source. USAGE sur la base de données et le schéma contenant la table source. USAGE sur tous les objets de politique référencés dans la spécification.
LINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte En outre, l’appelant doit disposer du privilège REFERENCE_USAGE avec GRANT OPTION sur toutes les données à partager. Si cela n’est pas le cas, vous recevrez une erreur de type « octroi d’utilisation de référence manquante ». Découvrez comment résoudre ce problème. Si l’offre de données se trouve dans un registre personnalisé, vous devez également disposer des privilèges que vous pouvez obtenir en appelant `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
UNLINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Le privilège `UPDATE` sur une collaboration n’accorde pas l’accès à cette procédure. En outre, seul le rôle qui a appelé JOIN peut dissocier correctement les offres de données, car le partage sous-jacent appartient au rôle de jointure.
LINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
UNLINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
VIEW_REGISTERED_DATA_OFFERINGS	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED DATA OFFERINGS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
VIEW_DATA_OFFERINGS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW DATA OFFERINGS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte En outre, pour voir les objets enregistrés dans un registre personnalisé, vous avez besoin du privilège READ sur ce registre.
REGISTER_CODE_SPEC	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER CODE SPEC', 'role name')` Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`.
VIEW_REGISTERED_CODE_SPECS	Registre par défaut : `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED CODE SPECS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Registre personnalisé : vous disposez de privilèges de lecture et d’écriture sur tout registre personnalisé que vous avez créé vous-même. Pour accéder à un registre personnalisé créé par un autre utilisateur, vous devez `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`.
VIEW_CODE_SPECS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte En outre, pour voir les objets enregistrés dans un registre personnalisé, vous avez besoin du privilège READ sur ce registre.
VIEW_UPDATE_REQUESTS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
APPROVE_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
REJECT_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
INITIALIZE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Voir GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE pour les autorisations de rôle supplémentaires requises.
TEARDOWN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Voir GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE pour les autorisations de rôle supplémentaires requises.
GET_STATUS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
ENABLE_EXTERNAL_TABLE_ANALYSIS _FOR_COLLABORATION	Vous devez utiliser un rôle auquel le privilège MANAGE FIREWALL_CONFIGURATION a été accordé sur le compte.
VIEW_COLLABORATIONS	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW COLLABORATIONS', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
REVIEW	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REVIEW COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Voir GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE pour les autorisations de rôle supplémentaires requises.
JOIN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Voir GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE pour les autorisations de rôle supplémentaires requises.
LEAVE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte Voir GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE pour les autorisations de rôle supplémentaires requises.
RUN	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
VIEW_ACTIVATIONS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW ACTIVATIONS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
PROCESS_ACTIVATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('PROCESS ACTIVATION', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`, plus tous les privilèges supplémentaires au niveau du compte
CREATE_REGISTRY	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
VIEW_REGISTRIES	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTRIES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE	Pour les objets de collaboration : tout rôle avec CREATE COLLABORATION ou JOIN COLLABORATION peut appeler cette procédure sur n’importe quelle collaboration. Pour les objets de registre : seul le rôle qui a créé le registre peut appeler cette procédure sur ce registre.
GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE	Vous avez besoin du rôle ACCOUNTADMIN, ou d’un rôle avec le privilège global MANAGE GRANTS, pour exécuter cette procédure.