Le nouveau privilège MANAGE SHARE TARGET remplace CREATE SHARE pour ajouter des comptes aux partages

Attention

Ce changement de comportement est présent dans le bundle 2024_07.

Pour connaître le statut actuel du bundle, reportez-vous à Historique du bundle.

Snowflake introduit un nouveau privilège appelé MANAGE SHARE TARGET. Le privilège MANAGE SHARE TARGET est accordé sur un compte à un rôle. Un rôle doté de ce privilège peut être utilisé pour ajouter ou supprimer les cibles de n’importe quel partage dans le compte où le rôle dispose du privilège. Une cible de partage fait référence à un compte ou à un utilisateur disposant d’un accès aux données partagées. Considérez ces cibles comme le « public cible » du partage. Ce nouveau privilège améliore la sécurité et le contrôle en permettant aux organisations d’attribuer des privilèges spécifiques en fonction des rôles de tâches.

Avant la modification:

  • Le privilège CREATE SHARE existant est utilisé à la fois pour créer des partages et pour gérer les cibles de partage (ajouter des comptes à un partage).

  • Si le privilège CREATE SHARE est accordé à un rôle, ce rôle peut à la fois créer des partages et gérer des cibles de partage.

Après la modification:

  • Le privilège CREATE SHARE existant est utilisé uniquement pour créer des partages, pas pour gérer les cibles de partage.

  • Le privilège MANAGE SHARE TARGET est utilisé pour gérer les cibles de partage (ajouter et supprimer des comptes pouvant accéder à un partage).

  • Une fois ce bundle de changements de comportement activé, les rôles avec CREATE SHARE bénéficieront automatiquement deMANAGE SHARE TARGET pour assurer la compatibilité.

Préparez-vous au changement

Vous serez impacté par ce changement si vous avez déjà accordé CREATE SHARE à un rôle non-ACCOUNTADMIN pour gérer des cibles de partage. Les clients doivent examiner et mettre à jour toutes les automatisations qui s’appuient sur CREATE SHARE pour la gestion des comptes.

USAGE

GRANT MANAGE SHARE TARGET ON ACCOUNT TO ROLE <role-name>;
GRANT ROLE <role-name> TO USER <user_name>;

USE ROLE <role-name>;
ALTER SHARE <data_share_name> ADD ACCOUNTS = '<account_name_1>', '<account_name_2>';
Copy

Réf : 1734