Privilèges de contrôle d’accès¶
Ce chapitre décrit les privilèges disponibles dans le modèle de contrôle d’accès Snowflake. Les privilèges sont accordés aux rôles, et les rôles sont accordés aux utilisateurs pour spécifier les opérations que les utilisateurs peuvent effectuer sur les objets du système.
Dans ce chapitre :
Tous les privilèges (par ordre alphabétique)¶
Les privilèges suivants sont disponibles dans le modèle de contrôle d’accès Snowflake. La signification de chaque privilège varie selon le type d’objet auquel il s’applique, et tous les objets ne prennent pas en charge tous les privilèges :
Privilège |
Type d’objet |
Description |
|---|---|---|
ALL [ PRIVILEGES ] |
Tout |
Accorde tous les privilèges pour le type d’objet spécifié. |
APPLY MASKING POLICY |
Global |
Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY PASSWORD POLICY |
Global |
Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake. |
APPLY ROW ACCESS POLICY |
Global |
Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY SESSION POLICY |
Global |
Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur. |
APPLY TAG |
Global |
Permet d’ajouter ou de détruire une balise sur un objet Snowflake. |
ATTACH POLICY |
Global |
Permet d’activer une politique réseau en l’associant à votre compte. |
CREATE <type_objet> |
Global, base de données, schéma |
Permet de créer un objet de <type_objet> (par exemple, CREATE TABLE donne la possibilité de créer une table dans un schéma). |
DELETE |
Table |
Permet d’exécuter une commande DELETE sur la table. |
EXECUTE ALERT |
Global |
Permet d’exécuter les alertes appartenant au rôle. |
EXECUTE MANAGED TASK |
Global |
Permet de créer des tâches qui dépendent des ressources de calcul gérées par Snowflake (tâches sans serveur). Nécessaire uniquement pour créer des tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée. |
EXECUTE TASK |
Global |
Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK. |
FAILOVER |
Groupe de basculement |
Donne la possibilité de promouvoir un groupe de basculement secondaire pour servir de groupe de basculement principal. |
IMPORT SHARE |
Global |
S’applique aux consommateurs de données. Permet de voir les parties partagées avec votre compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE. |
OVERRIDE SHARE RESTRICTIONS |
Global |
Permet de définir la valeur du paramètre SHARE_RESTRICTIONS qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage. Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical. |
IMPORTED PRIVILEGES |
Base de données, Data Exchange |
Permet d’autoriser l’accès à une base de données partagée à des rôles autres que le rôle de propriétaire ou de gérer un Snowflake Marketplace / Data Exchange. |
INSERT |
Table |
Permet d’exécuter une commande INSERT sur la table. |
MANAGE GRANTS |
Global |
Permet d’accorder ou de révoquer des privilèges sur n’importe quel objet comme si le rôle d’appel était le propriétaire de l’objet. |
MODIFY |
Moniteur de ressources, Entrepôt, Annonce Data Exchange, Base de données, Schéma |
Permet de modifier les paramètres ou les propriétés d’un objet (par exemple, sur un entrepôt virtuel, permet de modifier la taille d’un entrepôt virtuel). |
MONITOR |
Utilisateur, moniteur de ressources, entrepôt, base de données, schéma, tâche |
Permet de voir les détails d’un objet (par exemple, les requêtes et l’utilisation dans un entrepôt). |
MONITOR EXECUTION |
Global |
Permet de surveiller des canaux (Snowpipe) ou des tâches du compte. |
MONITOR USAGE |
Global |
Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans l’interface Web classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS. |
OPERATE |
Entrepôt, tâche |
Permet de démarrer, d’arrêter, de suspendre ou de reprendre un entrepôt virtuel. Accorde la possibilité de suspendre ou de reprendre une tâche. |
OWNERSHIP |
Tout |
Donne la possibilité de détruire, de modifier, d’accorder ou de révoquer l’accès à un objet. Requis pour renommer un objet. OWNERSHIP est un privilège spécial sur un objet qui est automatiquement accordé au rôle qui a créé l’objet, mais qui peut aussi être transféré à l’aide de la commande GRANT OWNERSHIP à un rôle différent par le rôle propriétaire (ou par tout rôle avec le privilège MANAGE GRANTS). |
READ |
Zone de préparation (interne uniquement) |
Permet d’effectuer toute opération nécessitant la lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). |
REFERENCES |
Table, table externe, vue |
Permet de voir la structure d’un objet (mais pas les données). . . Pour les tables, ce privilège permet également de référencer l’objet en tant que table à clé unique/primaire pour une contrainte de clé étrangère. |
REPLICATE |
Groupe de réplication, groupe de basculement |
Permet d’actualiser un groupe de réplication ou de basculement secondaire. |
SELECT |
Table, table externe, vue, flux |
Permet d’exécuter une instruction SELECT sur la table/vue. |
TRUNCATE |
Table |
Permet d’exécuter une commande TRUNCATE TABLE sur la table. |
UPDATE |
Table |
Permet d’exécuter une commande UPDATE sur la table. |
USAGE |
Entrepôt, annonce Data Exchange, intégration, base de données, schéma, zone de préparation (externe uniquement), format de fichier, séquence, procédure stockée, fonction définie par l’utilisateur, fonction externe |
Permet d’exécuter une commande USE <objet> sur l’objet. Permet également d’exécuter une commande SHOW <objets> sur l’objet. |
WRITE |
Zone de préparation (interne uniquement) |
Permet d’effectuer toute opération nécessitant une écriture sur une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). |
Les autres sections de ce chapitre décrivent les privilèges spécifiques disponibles pour chaque type d’objet et leur utilisation.
Privilèges globaux¶
Privilège |
Utilisation |
Remarques |
|---|---|---|
APPLY MASKING POLICY |
Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise. |
Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY ROW ACCESS POLICY |
Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue. |
Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY PASSWORD POLICY |
Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake. |
|
APPLY SESSION POLICY |
Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur. |
|
ATTACH POLICY |
Permet d’activer une politique réseau en l’associant à votre compte. |
|
CREATE ACCOUNT |
Permet à un fournisseur de données de créer un nouveau compte géré (c’est-à-dire un compte de lecteur). Pour plus de détails, voir Gestion des comptes de lecteur. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE FAILOVER GROUP |
Permet de créer un nouveau groupe de basculement. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE REPLICATION GROUP |
Permet de créer un nouveau groupe de réplication. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE ROLE |
Permet de créer un nouveau rôle. |
|
CREATE USER |
Permet de créer un nouvel utilisateur. |
|
MANAGE GRANTS |
Permet d’accorder ou de révoquer des privilèges sur des objets dont le rôle n’est pas le propriétaire. |
Doit être accordé par le rôle SECURITYADMIN (ou supérieur). |
CREATE DATA EXCHANGE LISTING |
Permet de créer une nouvelle annonce Data Exchange. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE INTEGRATION |
Permet de créer une intégration de notification, de sécurité ou de stockage. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE NETWORK POLICY |
Permet de créer une nouvelle politique réseau. |
|
CREATE SHARE |
Permet à un fournisseur de données de créer un partage. Pour plus de détails, voir Capacité des rôles non ACCOUNTADMIN à effectuer des tâches de partage de données. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE WAREHOUSE |
Permet de créer un nouvel entrepôt virtuel. |
|
EXECUTE ALERT |
Permet d’exécuter les alertes appartenant au rôle. |
Doit être accordé par le rôle ACCOUNTADMIN. |
EXECUTE MANAGED TASK |
Permet de créer des tâches qui dépendent des ressources de calcul gérées par Snowflake (tâches sans serveur). Nécessaire uniquement pour les tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée. |
Doit être accordé par le rôle ACCOUNTADMIN. |
EXECUTE TASK |
Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK. |
Doit être accordé par le rôle ACCOUNTADMIN. |
IMPORT SHARE |
Permet à un consommateur de données de visualiser les partages partagés avec son compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE. Pour plus de détails, voir Capacité des rôles non ACCOUNTADMIN à effectuer des tâches de partage de données. |
Doit être accordé par le rôle ACCOUNTADMIN. |
MONITOR EXECUTION |
Permet de surveiller tous les canaux ou toutes les tâches du compte. |
Doit être accordé par le rôle ACCOUNTADMIN. Le privilège USAGE est également requis sur chaque base de données et schéma qui stocke ces objets. |
MONITOR USAGE |
Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans l’interface Web classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS. |
Doit être accordé par le rôle ACCOUNTADMIN. |
OVERRIDE SHARE RESTRICTIONS |
Permet de définir la valeur du paramètre SHARE_RESTRICTIONS qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage. |
Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges globaux. |
Privilèges des utilisateurs¶
Privilège |
Utilisation |
|---|---|
MONITOR |
Permet d’afficher l’historique de connexion de l’utilisateur. |
OWNERSHIP |
Donne le contrôle total sur un utilisateur/rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’utilisateur. |
Privilèges de rôle¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle détenu. Pour hériter des autorisations d’un rôle, ce rôle doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles. |
Privilèges du moniteur de ressources¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier toutes les propriétés d’un moniteur de ressources, par exemple de modifier le quota de crédit mensuel. |
MONITOR |
Permet d’afficher un moniteur de ressources. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le moniteur de ressources. |
Privilèges de l’entrepôt virtuel¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier toutes les propriétés d’un entrepôt, y compris sa taille. . . Requis pour affecter un entrepôt à un moniteur de ressources. Notez que seul le rôle ACCOUNTADMIN peut affecter des entrepôts aux moniteurs de ressources. |
MONITOR |
Permet de voir les requêtes actuelles et passées exécutées sur un entrepôt ainsi que les statistiques d’utilisation sur cet entrepôt. |
OPERATE |
Permet de modifier l’état d’un entrepôt (arrêt, démarrage, suspension, reprise). En outre, permet de voir les requêtes actuelles et passées exécutées sur un entrepôt et d’interrompre toute requête en cours d’exécution. |
USAGE |
Permet d’utiliser un entrepôt virtuel et, par conséquent, d’exécuter des requêtes sur l’entrepôt. Si l’entrepôt est configuré pour une reprise automatique lorsqu’une instruction SQL (par exemple, une requête) lui est soumise, l’entrepôt effectue automatiquement la reprise et exécute l’instruction. |
OWNERSHIP |
Donne le contrôle total sur un entrepôt. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’entrepôt. |
Privilèges de connexion¶
Seul le rôle ACCOUNTADMIN possède des connexions. Le privilège OWNERSHIP ne peut pas être accordé à un autre rôle.
Privilèges du groupe de basculement¶
MONITOR |
Permet de visualiser les détails d’un groupe de basculement. |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un groupe de basculement. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
FAILOVER |
Permet de promouvoir un groupe de basculement secondaire pour servir de groupe de basculement principal. |
REPLICATE |
Active l’actualisation d’un groupe de basculement secondaire. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de basculement. |
Privilèges du groupe de réplication¶
MONITOR |
Permet de visualiser les détails d’un groupe de réplication. |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un groupe de réplication. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
REPLICATE |
Active l’actualisation d’un groupe de réplication secondaire. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de réplication. |
Privilèges d’intégration¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet de référencer l’intégration de stockage lors de la création d’une zone de préparation (avec CREATE STAGE) ou de la modification d’une zone de préparation (avec ALTER STAGE). |
USE_ANY_ROLE |
Permet au client ou à l’utilisateur externe OAuth de changer de rôle uniquement si ce privilège est accordé au client ou à l’utilisateur. Configurez l’intégration de sécurité External OAuth pour utiliser le paramètre |
OWNERSHIP |
Permet le contrôle total d’une intégration. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’intégration. |
Privilèges de la politique réseau¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Permet un contrôle total de la politique réseau. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
Privilèges de politique de mot de passe¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Transfère la propriété d’une politique de mot de passe, ce qui accorde un contrôle total sur la politique de mot de passe. Nécessaire pour modifier la plupart des propriétés d’une politique de mot de passe. |
Privilèges de politique de session¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Transfère la propriété d’une politique de session, ce qui accorde un contrôle total sur la politique de session. Nécessaire pour modifier la plupart des propriétés d’une politique de session. |
Privilèges Data Exchange¶
Privilège |
Utilisation |
|---|---|
IMPORTED PRIVILEGES |
Permet à des rôles autres que le propriétaire de gérer un Snowflake Marketplace ou Data Exchange. |
Privilèges d’annonces Data Exchange¶
Note
Actuellement, les privilèges sur les annonces Data Exchange ne peuvent être accordés que dans l’interface Web Snowflake. Pour obtenir des instructions, voir Attribution de privilèges à d’autres rôles.
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet à des rôles autres que celui de propriétaire de modifier une annonce Snowflake Marketplace ou Data Exchange. |
USAGE |
Permet de visualiser une annonce Snowflake Marketplace ou Data Exchange. |
OWNERSHIP |
Confère le contrôle total d’une annonce Snowflake Marketplace ou Data Exchange. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une annonce Snowflake Marketplace ou Data Exchange. |
Privilèges de base de données¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier tous les paramètres d’une base de données. |
MONITOR |
Permet d’exécuter la commande DESCRIBE sur la base de données. |
USAGE |
Permet d’utiliser une base de données, y compris de renvoyer des détails de la base de données dans la sortie de la commande SHOW DATABASES. Des privilèges supplémentaires sont requis pour afficher ou exécuter des actions sur des objets dans une base de données. |
REFERENCE_USAGE |
Permet d’utiliser un objet (par exemple, une vue sécurisée dans un partage) lorsque l’objet fait référence à un autre objet dans une base de données différente. Accordez le privilège sur l’autre base de données au partage. Pour plus de détails, reportez-vous à GRANT <privilège> … TO SHARE et Partage de données de plusieurs bases de données. |
CREATE DATABASE ROLE |
Permet de créer un nouveau rôle de base de données dans une base de données. |
CREATE SCHEMA |
Permet de créer un nouveau schéma dans une base de données, y compris de cloner un schéma. |
IMPORTED PRIVILEGES |
Permet à des rôles autres que le rôle propriétaire d’accéder à une base de données partagée. S’applique uniquement aux bases de données partagées. |
OWNERSHIP |
Donne un contrôle total de la base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une base de données. |
Note
Notez que la modification des propriétés d’une base de données, y compris des commentaires, nécessite le privilège OWNERSHIP pour la base de données.
Si n’importe quel privilège de base de données est accordé à un rôle, ce rôle peut effectuer des actions SQL sur des objets d’un schéma utilisant des noms entièrement qualifiés. Le rôle doit disposer du privilège USAGE sur le schéma ainsi que du ou des privilèges requis sur l’objet. Pour faire d’une base de données la base de données active dans une session utilisateur, le privilège USAGE sur la base de données est nécessaire.
Un rôle de niveau compte (c’est-à-dire
r1) possédant le privilège OWNERSHIP sur la base de données peut accorder le privilège CREATE DATABASE ROLE à un rôle au niveau du compte différent (c’est-à-direr2). De même,r1peut également révoquer le privilège CREATE DATABASE ROLE d’un autre rôle au niveau du compte.Dans ce scénario,
r2doit disposer du privilège USAGE sur la base de données pour créer un nouveau rôle dans cette base de données.
Privilèges de schéma¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier les paramètres d’un schéma. |
MONITOR |
Permet d’exécuter la commande DESCRIBE sur le schéma. |
USAGE |
Permet d’utiliser un schéma, y compris d’exécuter des commandes pour renvoyer les détails du schéma dans une commande SHOW SCHEMAS. . . Pour exécuter des commandes SHOW <objets> sur des objets (tables, vues, zones de préparation, formats de fichier, séquences, canaux ou fonctions) dans le schéma, un rôle doit disposer d’au moins un privilège accordé à l’objet. |
CREATE TABLE |
Permet de créer une nouvelle table dans un schéma, y compris de cloner une table. Notez que ce privilège n’est pas nécessaire pour créer des tables temporaires, qui sont ramenées à la session utilisateur en cours et sont automatiquement détruites à la fin de la session. |
CREATE EXTERNAL TABLE |
Permet de créer une nouvelle table externe dans un schéma. |
CREATE VIEW |
Permet de créer une nouvelle vue dans un schéma. |
CREATE MATERIALIZED VIEW |
Permet de créer une nouvelle vue matérialisée dans un schéma. |
CREATE MASKING POLICY |
Permet de créer une nouvelle politique de masquage Sécurité au niveau des colonnes dans un schéma. |
CREATE ROW ACCESS POLICY |
Permet de créer une nouvelle politique d’accès aux lignes dans un schéma. |
CREATE SESSION POLICY |
Permet de créer une nouvelle politique de session dans un schéma. |
CREATE STAGE |
Permet de créer une nouvelle zone de préparation dans un schéma, y compris de cloner une zone de préparation. |
CREATE FILE FORMAT |
Permet de créer un nouveau format de fichier dans un schéma, y compris de cloner un format de fichier. |
CREATE SEQUENCE |
Permet de créer une nouvelle séquence dans un schéma, y compris de cloner une séquence. |
CREATE FUNCTION |
Permet de créer une nouvelle fonction UDF ou externe dans un schéma. |
CREATE PASSWORD POLICY |
Permet de créer une nouvelle politique de mot de passe dans un schéma. |
CREATE PIPE |
Permet de créer un nouveau canal dans un schéma. |
CREATE STREAM |
Permet de créer un nouveau flux dans un schéma, y compris de cloner un flux. |
CREATE TAG |
Permet de créer une nouvelle clé de balise dans un schéma. |
CREATE TASK |
Permet de créer une nouvelle tâche dans un schéma, y compris de cloner une tâche. |
CREATE PROCEDURE |
Permet de créer une nouvelle procédure stockée dans un schéma. |
CREATE ALERT |
Permet de créer une nouvelle alerte dans un schéma. |
ADD SEARCH OPTIMIZATION |
Permet l’ajout de l’optimisation de la recherche à une table dans un schéma. |
OWNERSHIP |
Donne un contrôle total du schéma. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur un schéma. |
Note
Changer les propriétés d’un schéma, y compris les commentaires, nécessite le privilège OWNERSHIP pour la base de données.
L’utilisation d’un schéma nécessite également le privilège USAGE sur la base de données parent.
Privilèges de table¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table. |
INSERT |
Permet d’exécuter une commande INSERT sur une table. Permet également d’utiliser la commande ALTER TABLE avec une clause |
UPDATE |
Permet d’exécuter une commande UPDATE sur une table. |
TRUNCATE |
Permet d’exécuter une commande TRUNCATE TABLE sur une table. |
DELETE |
Permet d’exécuter une commande DELETE sur une table. |
REFERENCES |
Permet de référencer une table en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également de visualiser la structure d’une table (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
OWNERSHIP |
Permet un contrôle total de la table. Requis pour modifier la plupart des propriétés d’une table, à l’exception du reclustering. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une table. |
Note
Effectuer des opérations sur une table nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de table externe¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table externe. |
REFERENCES |
Permet de voir la structure d’une table externe (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
OWNERSHIP |
Confère un contrôle total de la table externe ; nécessaire pour actualiser une table externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, à l’exception de OWNERSHIP, sur une table externe. |
Note
Effectuer des opérations sur une table externe nécessite également le privilège USAGE sur la base de données et le schéma parents.
Affichage des privilèges¶
Les privilèges suivants s’appliquent aux vues standard et matérialisées.
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une vue. . . Notez que ce privilège est suffisant pour interroger une vue. Le privilège SELECT sur les objets sous-jacents d’une vue n’est pas nécessaire. |
REFERENCES |
Permet de visualiser la structure d’une vue (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
OWNERSHIP |
Permet un contrôle total de la vue. Requis pour modifier une vue. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une vue. |
Note
Les privilèges DML de la table tels que INSERT, UPDATE et DELETE peuvent être attribués à des vues ; toutefois, comme les vues sont en lecture seule, ces privilèges n’ont aucun effet.
Effectuer des opérations sur une vue nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de zone de préparation¶
Privilège |
Utilisation |
|---|---|
USAGE |
Active l’utilisation d’un objet de zones de préparation externes dans une instruction SQL. Ne s’applique pas aux zones de préparation internes. |
READ |
Permet d’effectuer toute opération nécessitant une lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). Ne s’applique pas aux zones de préparation externes. |
WRITE |
Permet d’effectuer toute opération nécessitant une écriture vers une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). Ne s’applique pas aux zones de préparation externes. |
OWNERSHIP |
Permet un contrôle total de la zone de préparation. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges applicables, sauf OWNERSHIP, sur la zone de préparation (interne ou externe). |
Note
Lors de l’octroi des privilèges READ et WRITE pour une zone de préparation interne, le privilège READ doit être accordé avant ou en même temps que le privilège WRITE.
Lors de la révocation des privilèges READ et WRITE pour une zone de préparation interne, le privilège WRITE doit être révoqué avant ou en même temps que le privilège READ.
Effectuer des opérations une zone de préparation nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de format de fichier¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’utiliser un format de fichier dans une instruction SQL. |
OWNERSHIP |
Permet un contrôle total du format du fichier. Nécessaire pour modifier un format de fichier. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le format de fichier. |
Note
Effectuer des opérations sur des formats de fichier nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de canal¶
Les objets canal sont créés et gérés pour charger des données à l’aide de Snowpipe.
Privilège |
Utilisation |
|---|---|
MONITOR |
Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES). |
OPERATE |
Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES), de suspendre ou de reprendre le canal et de l’actualiser. |
OWNERSHIP |
Permet un contrôle total du canal. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le canal. |
Note
Effectuer des opérations sur des canaux nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de rôle de base de données¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un rôle de base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle de base de données détenu. Pour hériter des autorisations d’un rôle de base de données, ce rôle de base de données doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles. |
Privilèges de flux¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur un flux. |
OWNERSHIP |
Permet un contrôle total du flux. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le flux. |
Privilèges de tâches¶
Privilège |
Utilisation |
|---|---|
MONITOR |
Permet d’afficher les détails de la tâche (à l’aide de DESCRIBE TASK ou SHOW TASKS). |
OPERATE |
Permet de voir les détails de la tâche (à l’aide de DESCRIBE TASK ou de SHOW TASKS) et de reprendre ou de suspendre la tâche. |
OWNERSHIP |
Permet un contrôle total de la tâche. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la tâche. |
Privilèges de politique de masquage¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter les opérations non définies et définies pour une politique de masquage sur une colonne. Notez que l’octroi du privilège global APPLY MASKING POLICY (c’est-à-dire APPLY MASKING POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues. Pour des exemples de syntaxe, voir Privilèges de politique de masquage. |
OWNERSHIP |
Permet un contrôle total de la politique de masquage. Nécessaire pour modifier la plupart des propriétés d’une politique de masquage. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une politique de masquage nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de la politique d’accès aux lignes¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter des opérations d’ajout et de destruction pour la politique d’accès aux lignes sur une table ou une vue. Notez que l’octroi du privilège global APPLY ROW ACCESS POLICY (c’est-à-dire APPLY ROW ACCESS POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues. Pour des exemples de syntaxe, voir Résumé des commandes, opérations et privilèges DDL. |
OWNERSHIP |
Permet un contrôle total de la politique d’accès aux lignes. Nécessaire pour modifier la plupart des propriétés d’une politique d’accès aux lignes. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une politique d’accès aux lignes nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges des balises¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter des opérations d’ajout et de destruction de la balise sur un objet Snowflake. |
OWNERSHIP |
Donne un contrôle total de la balise. Nécessaire pour modifier la plupart des propriétés d’une balise. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Les balises sont stockées au niveau du schéma.
Effectuer des opérations sur une balise nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de séquences¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’utiliser une séquence dans une instruction SQL. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la séquence. |
OWNERSHIP |
Confère un contrôle total sur la séquence ; nécessaire pour modifier la séquence. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une séquence nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges des procédures stockées¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’appeler une procédure stockée. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la procédure stockée. |
OWNERSHIP |
Confère un contrôle total de la procédure stockée ; nécessaire pour modifier la procédure stockée. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une procédure stockée nécessite également le privilège USAGE sur la base de données et le schéma parents.
Si une procédure stockée fonctionne avec les droits de l’appelant, l’utilisateur qui appelle la procédure stockée doit avoir des privilèges sur les objets de la base de données (par exemple, des tables) auxquels la procédure stockée accède. Pour plus de détails, voir Présentation des procédures stockées des droits de l’appelant et des droits du propriétaire.
Privilèges des fonctions définies par l’utilisateur (UDF) et des fonctions externes¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’appeler une UDF ou une fonction externe. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’UDF ou la fonction externe. |
OWNERSHIP |
Confère un contrôle total de l’UDF ou de la fonction externe ; nécessaire pour modifier l’UDF ou la fonction externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une UDF ou une fonction externe nécessite également le privilège USAGE sur la base de données et le schéma parents.
Le propriétaire d’une UDF doit avoir des privilèges sur les objets auxquels la fonction accède ; l’utilisateur qui appelle une UDF n’a pas besoin de ces privilèges. Pour plus de détails, voir Exigences en matière de sécurité et de privilège pour les UDFs SQL.
Le propriétaire d’une fonction externe doit avoir le privilège USAGE sur l’objet d’intégration API associé à la fonction externe. Pour plus de détails, voir Contrôle d’accès dans la documentation sur les fonctions externes.
Privilèges d’alerte¶
Privilège |
Utilisation |
|---|---|
OPERATE |
Permet de voir les détails de l’alerte (à l’aide de DESC ALERT ou de SHOW ALERTS) et de reprendre ou de suspendre la tâche (à l’aide de ALTER ALERT). |
OWNERSHIP |
Permet un contrôle total de la tâche. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’alerte. |