- Schéma :
Vue GRANTS_TO_ROLES¶
Cette vue Utilisation du compte peut être utilisée pour interroger les privilèges de contrôle d’accès accordés à un rôle d’utilisateur, une application, un rôle d’application, un rôle de base de données, un rôle d’instance ou un utilisateur.
Colonnes¶
Nom de la colonne |
Type de données |
Description |
---|---|---|
CREATED_ON |
TIMESTAMP_LTZ |
Date et heure (dans le fuseau horaire UTC) auxquelles le privilège est accordé au rôle. |
MODIFIED_ON |
TIMESTAMP_LTZ |
Date et heure (dans le fuseau horaire UTC) lorsque le privilège est mis à jour. |
PRIVILEGE |
VARCHAR |
Nom du privilège ajouté au rôle. |
GRANTED_ON |
VARCHAR |
Type d’objet, tel que |
NAME |
VARCHAR |
Nom de l’objet sur lequel le privilège est accordé. |
TABLE_CATALOG |
VARCHAR |
Nom de la base de données pour la table actuelle ou nom de la base de données qui stocke l’instance d’une classe. |
TABLE_SCHEMA |
VARCHAR |
Nom du schéma de la table actuelle ou nom du schéma qui stocke l’instance d’une classe. |
GRANTED_TO |
VARCHAR |
|
GRANTEE_NAME |
VARCHAR |
Identificateur du rôle du destinataire, le rôle auquel le privilège est accordé ou le nom de l’objet Snowflake Native App. |
GRANT_OPTION |
BOOLEAN |
|
GRANTED_BY |
VARCHAR |
Indique le rôle qui a autorisé l’octroi d’un privilège au bénéficiaire. |
DELETED_ON |
TIMESTAMP_LTZ |
Date et heure (dans le fuseau horaire UTC) lorsque le privilège est révoqué. |
GRANTED_BY_ROLE_TYPE |
VARCHAR |
Soit |
OBJECT_INSTANCE |
VARCHAR |
Nom pleinement qualifié de l’objet qui contient le rôle d’instance pour une classe particulière dans le format |
Notes sur l’utilisation¶
La latence pour la vue peut atteindre 120 minutes (2 heures).
La vue GRANTS_TO_ROLES présente un sous-ensemble de tous les objets pris en charge. L’ensemble des paramètres pris en charge est susceptible d’être modifié. La vue est mise à jour périodiquement pour inclure la prise en charge de nouveaux objets.
La vue ne contient pas d’octrois de rôles de base de données provenant de bases de données créées à partir de partages.
La vue ne contient pas d’autorisations sur les objets supprimés.
La colonne
GRANTED_BY
indique le rôle qui a accordé l’autorisation d’un privilège au bénéficiaire. Le rôle d’autorisation est connu sous le nom de concédant.Lorsque vous autorisez des privilèges sur un objet à un rôle à l’aide de GRANT <privilèges> … TO ROLE, les règles d’autorisation suivantes déterminent quel rôle est répertorié comme le concédant du privilège :
Si un rôle actif est le propriétaire de l’objet (c’est-à-dire qu’il possède le privilège OWNERSHIP sur l’objet), ce rôle est le concédant.
Si un rôle actif s’est vu accorder des privilèges sur l’objet par une instruction PRIVILEGE GRANT … WITH OPTION GRANT, le rôle actif est le concédant. Si plusieurs rôles actifs répondent à ce critère et que l’un de ces rôles actifs est le rôle principal, le rôle principal est alors le concédant. S’il y a plusieurs rôles actifs et qu’aucun d’entre eux n’est le rôle principal, Snowflake sélectionne au hasard l’un des rôles comme concédant.
Si un rôle actif détient le privilège global MANAGE GRANTS, le rôle concédant est le propriétaire de l’objet, et non le rôle qui détenait le privilège MANAGE GRANTS. En d’autres termes, le privilège MANAGE GRANTS permet à un rôle de se faire passer pour le propriétaire de l’objet afin d’accorder des privilèges sur cet objet.
La colonne
GRANTED_BY
s’affiche vide pour les privilèges accordés par le rôle SYSTEM Snowflake. Certaines opérations internes sont effectuées avec ce rôle. Les concessions de privilèges autorisées par le rôle SYSTEM ne peuvent pas être modifiées par les clients.