Attribution de privilèges à d’autres rôles

Snowflake fournit un ensemble de privilèges pour travailler avec des annonces dans Snowflake Marketplace ou un Data Exchange.

Dans ce chapitre :

Accord de privilèges d’administrateur dans un Data Exchange

Par défaut, seul un administrateur de compte (un utilisateur ayant le rôle ACCOUNTADMIN) dans le compte d’administrateur Data Exchange peut gérer un Data Exchange qui comprend les tâches suivantes :

  • Gérer ou supprimer des membres.

  • Approuver ou refuser les demandes d’approbation des annonces.

  • Approuver ou refuser les demandes d’approbation de profils de fournisseurs.

  • Afficher les catégories.

Pour prendre en charge la délégation de ces tâches à d’autres utilisateurs, le privilège IMPORTED PRIVILEGES peut être accordé sur un Data Exchange à d’autres rôles.

Attribution du privilège IMPORTED PRIVILEGES à d’autres rôles

Pour accorder le privilège IMPORTED PRIVILEGES sur un Data Exchange à un rôle, utilisez le rôle ACCOUNTADMIN et la commande GRANT <privilèges>.

Note

Le paramètre WITH GRANT OPTION ne prend pas en charge le privilège IMPORTED PRIVILEGES.

Syntaxe :

GRANT IMPORTED PRIVILEGES ON DATA EXCHANGE <exchange_name> TO <role_name>;
Copy

Où :

  • exchange_name est le nom d’un Data Exchange.

  • role_name est le rôle auquel le privilège est accordé.

Par exemple, accorder des privilèges d’importation sur le Data Exchange mydataexchange à un rôle personnalisé appelé myrole :

USE ROLE ACCOUNTADMIN;

GRANT IMPORTED PRIVILEGES ON DATA EXCHANGE mydataexchange TO myrole;
Copy

Notes sur l’utilisation

  • Ce privilège est accordé au niveau du Data Exchange. Par conséquent, les utilisateurs ayant ce rôle ne peuvent administrer que le Data Exchange pour lequel le privilège a été accordé.

  • Seul un administrateur de compte dans le compte de l’administrateur Data Exchange peut accorder le privilège à un autre rôle.

  • Lorsqu’un rôle a reçu IMPORTED PRIVILEGES sur une base de données créée à partir d’un partage, les appels ultérieurs à la commande SHOW GRANTS listent le privilège comme USAGE et non IMPORTED PRIVILEGES.

  • Ce privilège ne peut être utilisé que pour un Data Exchange. Dans Snowflake Marketplace, seuls des administrateurs Snowflake peuvent effectuer des tâches administratives.

Accord de privilèges de fournisseur pour d’autres rôles sur Snowflake Marketplace ou un Data Exchange

Snowflake fournit un ensemble de privilèges permettant aux fournisseurs d’effectuer diverses tâches liées au partage de données et d’applications avec des consommateurs spécifiques, sur le Snowflake Marketplace, ou de données dans un Data Exchange.

Privilège

Type d’objet

Peut être accordé par

Description

Privilège CREATE DATA EXCHANGE LISTING global

ACCOUNT

ACCOUNTADMIN

Permet de créer une annonce ou un profil de fournisseur.

Privilège CREATE SHARE

ACCOUNT

ACCOUNTADMIN

Permet de créer un partage.

Privilège IMPORT SHARE

ACCOUNT

ACCOUNTADMIN

Permet de visualiser un partage entrant partagé avec le compte et de créer une base de données à partir de ce partage.

Privilège PURCHASE DATA EXCHANGE LISTING

ACCOUNT

ACCOUNTADMIN

Accorde la possibilité d’acheter une annonce payante.

Privilège MODIFY sur une annonce

LISTING

Rôle avec le privilège OWNERSHIP sur l’annonce.

Permet de modifier les propriétés de l’annonce.

Privilège USAGE sur une annonce

LISTING

Rôle avec le privilège OWNERSHIP sur l’annonce.

Permet d’afficher une annonce.

Privilège OWNERSHIP sur une annonce

LISTING

Rôle avec le privilège OWNERSHIP sur l’annonce.

Transférer le privilège OWNERSHIP sur l’annonce.

Privilège MODIFY sur un profil de fournisseur

PROVIDER PROFILE

Rôle avec le privilège OWNERSHIP sur le profil.

Permet de modifier les propriétés pour un profil de fournisseur.

Privilège OWNERSHIP sur un profil de fournisseur

PROVIDER PROFILE

Rôle avec le privilège OWNERSHIP sur le profil.

Transférer le privilège OWNERSHIP sur le profil.

Privilèges au niveau du compte

Snowflake fournit les privilèges suivants pour travailler avec des partages, des annonces et des profils de fournisseurs au niveau du compte dans Snowflake Marketplace ou un Data Exchange :

Privilège CREATE DATA EXCHANGE LISTING global

Si le privilège CREATE DATA EXCHANGE LISTING est accordé à un rôle, n’importe quel utilisateur ayant le rôle peut créer une annonce ou un profil de fournisseur. En tant que créateur et, par conséquent, propriétaire de l’annonce, le rôle peut être utilisé pour exécuter toutes les tâches sur l’annonce, y compris :

  • Créer des annonces.

  • Modifier les propriétés des annonces.

  • Afficher les annonces.

  • Afficher les demandes d’annonces entrantes.

  • Rejeter les demandes d’annonces.

  • Soumettre des annonces pour approbation.

  • Publier une annonce.

  • Créer et afficher des profils de fournisseur.

Si un compte est un fournisseur dans plusieurs Data Exchange, un rôle avec le privilège global CREATE DATA EXCHANGE LISTING peut créer des annonces dans chacun de ces Data Exchange.

Note

  • Un rôle qui crée une annonce devient le propriétaire de l’annonce. Le privilège OWNERSHIP peut être transféré à l’aide de Privilège OWNERSHIP sur une annonce vers un autre rôle par le rôle propriétaire.

  • Seuls les administrateurs de compte (utilisateurs dotés du rôle ACCOUNTADMIN) peuvent accorder le privilège global CREATE DATA EXCHANGE LISTING à un rôle.

Pour accorder le privilège global CREATE DATA EXCHANGE LISTING à un rôle dans un Data Exchange, utilisez la commande GRANT <privilèges> [WITH GRANT OPTION].

Par exemple, utilisez le rôle ACCOUNTADMIN pour accorder le privilège :

USE ROLE ACCOUNTADMIN;
Copy

Accordez ensuite le privilège à un rôle personnalisé, myrole :

GRANT CREATE DATA EXCHANGE LISTING ON ACCOUNT TO ROLE myrole;
Copy

Accordez ensuite le privilège au rôle myrole à l’aide de l’option d’accord :

GRANT CREATE DATA EXCHANGE LISTING ON ACCOUNT TO ROLE myrole WITH GRANT OPTION;
Copy

Privilège CREATE SHARE

Si le privilège CREATE SHARE est accordé à un rôle, n’importe quel utilisateur ayant le rôle peut créer un partage. En tant que créateur et, par conséquent, propriétaire du partage, le rôle peut également être utilisé pour exécuter toutes les tâches sur le partage, y compris :

  • Accorder des privilèges à des objets ou révoquer des privilèges sur des objets du partage.

  • Ajouter des comptes à ou supprimer des comptes de consommateurs dans le partage.

Pour plus d’informations, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données.

Privilège IMPORT SHARE

Si le privilège IMPORT SHARE est accordé à un rôle, n’importe quel utilisateur ayant le rôle peut effectuer les tâches suivantes :

  • Voir tous les partages INBOUND (partagés par les comptes des fournisseurs).

  • Voir tous les partages OUTBOUND possédés par le rôle.

  • Créer des bases de données à partir de partages entrants si le rôle bénéficie également du privilège global CREATE DATABASE.

Pour plus d’informations, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données.

Privilège PURCHASE DATA EXCHANGE LISTING

Si le privilège PURCHASE DATAEXCHANGELISTING est accordé à un rôle, n’importe quel utilisateur ayant le rôle peut acheter une annonce partagée en privé ou sur la Snowflake Marketplace.

Pour plus d’informations sur l’achat d’annonces, voir Devenir consommateur d’annonces.

Pour plus d’informations sur ce privilège, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données.

Privilèges au niveau de l’annonce

Snowflake fournit les privilèges suivants pour les annonces. Vous ne pouvez accorder ces privilèges qu’en utilisant le rôle auquel le privilège OWNERSHIP a été accordé sur l’annonce.

Privilège MODIFY sur une annonce

Si le privilège MODIFY sur une annonce est accordé à un rôle, n’importe quel utilisateur ayant le rôle peut effectuer les tâches suivantes sur une annonce :

  • Modifier les propriétés des annonces.

  • Afficher une annonce.

  • Afficher les demandes d’accès à l’annonce entrantes.

  • Soumettre une annonce pour approbation.

  • Publier une annonce.

  • Rejeter les demandes d’annonces.

Seul le rôle disposant du privilège OWNERSHIP sur l’annonce peut accorder ce privilège. Le privilège MODIFY ne peut être accordé que sur des annonces en utilisant la Snowsight.

Pour accorder le privilège MODIFY sur une annonce partagée avec des consommateurs spécifiques ou publiée sur la Snowflake Marketplace :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Provider Studio.

  3. Sélectionnez Listings.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Pour accorder le privilège MODIFY sur une annonce dans un échange de données :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Private Sharing.

  3. Sélectionnez Shared By My Account.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Privilège USAGE sur une annonce

Si le privilège USAGE sur une annonce est accordé à un rôle, tout utilisateur avec le rôle peut afficher les annonces et les demandes d’annonces entrantes. Seul le rôle disposant du privilège OWNERSHIP sur l’annonce peut accorder ce privilège.

Pour accorder le privilège USAGE sur une annonce partagée avec des consommateurs spécifiques ou publiée sur la Snowflake Marketplace :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Provider Studio.

  3. Sélectionnez Listings.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Pour accorder le privilège USAGE sur une annonce dans un échange de données :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Private Sharing.

  3. Sélectionnez Shared By My Account.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Privilège OWNERSHIP sur une annonce

Si le privilège OWNERSHIP sur une annonce est accordé à un rôle, ce rôle devient le nouveau OWNER (propriétaire) de l’annonce. Seul le rôle OWNER de l’annonce peut accorder ce privilège. OWNERSHIP est un type de privilège spécial qui ne peut être accordé que d’un rôle à un autre ; il ne peut être révoqué. Pour plus de détails, voir Aperçu du contrôle d’accès.

Important

Lorsque la propriété de l’annonce est transférée, toutes les autorisations existantes sont révoquées. Tous les rôles auxquels des privilèges ont été accordés perdent immédiatement l’accès à cette annonce et leurs privilèges sont révoqués. Le nouveau propriétaire de l’annonce doit ré-accorder ces privilèges.

Pour accorder le privilège OWNERSHIP sur une annonce partagée avec des consommateurs spécifiques ou publiée sur la Snowflake Marketplace :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Provider Studio.

  3. Sélectionnez Listings.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Pour accorder le privilège OWNERSHIP sur une annonce dans un échange de données :

  1. Connectez-vous à Snowsight.

  2. Accédez à Data Products » Private Sharing.

  3. Sélectionnez Shared By My Account.

  4. Localisez l’annonce que vous souhaitez modifier et sélectionnez la ligne pour ouvrir les détails de l’annonce.

  5. Dans la page des détails de l’annonce, sélectionnez Settings.

  6. Dans la section Privileges, sélectionnez l’icône en forme de crayon en regard du privilège Modify Listing.

  7. Sélectionnez Add Role et ajoutez les rôles requis.

  8. Enregistrez vos modifications.

Privilèges au niveau du profil de fournisseur

Snowflake fournit les privilèges suivants pour les profils de fournisseurs. Seul le rôle disposant du privilège OWNERSHIP sur le profil du fournisseur peut accorder ce privilège.

Note

  • Pour créer un profil, utilisez le privilège global Privilège CREATE DATA EXCHANGE LISTING global.

  • Tout rôle dans le compte de fournisseur peut voir tous les profils. Cette tâche ne nécessite pas l’octroi d’un privilège.

Privilège MODIFY sur un profil de fournisseur

Si le privilège MODIFY est accordé à un rôle sur un profil de fournisseur, tout utilisateur possédant ce rôle peut consulter et modifier les propriétés du profil de fournisseur. Seul le rôle disposant du privilège OWNERSHIP sur le profil du fournisseur peut accorder ce privilège.

Le privilège MODIFY peut être accordé via l’interface Web ou en utilisant SQL :

Snowsight:

Sélectionnez Data Products » Private Sharing » Manage Exchanges » Sélectionnez un échange » Sélectionnez un profil de fournisseur » Manage » Manage Profile Editors.

SQL:

Exécutez la commande GRANT <privilèges> [WITH GRANT OPTION].

Par exemple, pour accorder le privilège au rôle personnalisé myrole :

GRANT MODIFY ON DATA EXCHANGE PROFILE "<provider_profile_name>" TO ROLE myrole;
Copy

Privilège OWNERSHIP sur un profil de fournisseur

Si le privilège OWNERSHIP sur un profil de fournisseur est accordé à un rôle, ce rôle devient le nouveau propriétaire du profil. Seul le rôle disposant du privilège OWNERSHIP sur le profil du fournisseur peut accorder ce privilège.

OWNERSHIP est un type de privilège spécial qui ne peut être accordé que d’un rôle à un autre ; il ne peut être révoqué. Pour plus de détails, voir Aperçu du contrôle d’accès.

Pour accorder le privilège OWNERSHIP sur un profil de fournisseur à un rôle, utilisez la commande GRANT <privilèges> [WITH GRANT OPTION]. Vous ne pouvez pas utiliser Snowsight pour accorder ce privilège.

Par exemple, pour accorder le privilège au rôle personnalisé myrole :

GRANT OWNERSHIP ON DATA EXCHANGE PROFILE "<provider_profile_name>" TO ROLE myrole;
Copy