Privilèges de contrôle d’accès¶
Ce chapitre décrit les privilèges disponibles dans le modèle de contrôle d’accès Snowflake. Les privilèges sont accordés aux rôles, et les rôles sont accordés aux utilisateurs pour spécifier les opérations que les utilisateurs peuvent effectuer sur les objets du système.
Dans ce chapitre :
Tous les privilèges (par ordre alphabétique)¶
Les privilèges suivants sont disponibles dans le modèle de contrôle d’accès Snowflake. La signification de chaque privilège varie selon le type d’objet auquel il s’applique, et tous les objets ne prennent pas en charge tous les privilèges :
Privilège |
Type d’objet |
Description |
|---|---|---|
ALL [ PRIVILEGES ] |
Tout |
Accorde tous les privilèges pour le type d’objet spécifié. |
APPLYBUDGET |
Base de données, schéma, table, table Iceberg, entrepôt, tâche, canal, vue matérialisée |
Permet d’ajouter ou de retirer un objet d’un budget. |
APPLY MASKING POLICY |
Global |
Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY PACKAGES POLICY |
Global |
Accorde la possibilité d’ajouter ou de supprimer une politique de paquets sur le compte Snowflake. |
APPLY PASSWORD POLICY |
Global |
Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake. |
APPLY ROW ACCESS POLICY |
Global |
Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY SESSION POLICY |
Global |
Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur. |
APPLY TAG |
Global |
Permet d’ajouter ou de détruire une balise sur un objet Snowflake. |
ATTACH POLICY |
Global |
Permet d’activer une politique réseau en l’associant à votre compte. |
AUDIT |
Global |
Permet de définir le paramètre utilisateur ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR. |
BIND SERVICE ENDPOINT |
Global |
Permet de créer un service qui prend en charge les points de terminaison publics. Pour plus d’informations sur les points de terminaison publics, voir Entrée : utilisation d’un service en dehors de Snowflake. |
CREATE <type_objet> |
Global, base de données, schéma |
Permet de créer un objet de <type_objet> (par exemple, CREATE TABLE donne la possibilité de créer une table dans un schéma). |
DELETE |
Table, table Iceberg |
Permet d’exécuter une commande DELETE sur la table. |
EVOLVE SCHEMA |
Table |
Permet à l”évolution du schéma de se produire sur une table lors du chargement des données. |
EXECUTE ALERT |
Global |
Permet d’exécuter les alertes appartenant au rôle. |
EXECUTE MANAGED TASK |
Global |
Permet de créer des tâches qui dépendent des ressources de calcul gérées par Snowflake (tâches sans serveur). Nécessaire uniquement pour créer des tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée. |
EXECUTE TASK |
Global |
Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK. |
FAILOVER |
Groupe de basculement |
Permet de promouvoir un groupe de basculement secondaire ou une connexion secondaire en tant que groupe principal. |
IMPORT SHARE |
Global |
S’applique aux consommateurs de données. Permet de voir les parties partagées avec votre compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE. |
OVERRIDE SHARE RESTRICTIONS |
Global |
Permet de définir la valeur du paramètre SHARE_RESTRICTIONS qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage. Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical. |
IMPORTED PRIVILEGES |
Base de données, Data Exchange |
Permet d’autoriser l’accès à une base de données partagée à des rôles autres que le rôle de propriétaire ou de gérer un Snowflake Marketplace / Data Exchange. |
INSERT |
Table, table Iceberg |
Permet d’exécuter une commande INSERT sur la table. |
MANAGE GRANTS |
Global |
Permet d’accorder ou de révoquer des privilèges sur n’importe quel objet comme si le rôle d’appel était le propriétaire de l’objet. |
MANAGE LISTING AUTOFULFILLMENT |
Global |
Permet de publier des annonces dans des régions distantes à l’aide de l’exécution automatique inter-Cloud et de gérer les paramètres d’exécution automatique des annonces. |
MANAGE WAREHOUSES |
Global |
Permet d’effectuer des opérations nécessitant les privilèges MODIFY, MONITOR, et OPERATE sur les entrepôts du même compte. |
MODIFY |
Moniteur de ressources, entrepôt, annonce Data Exchange, base de données, schéma, groupe de basculement, groupe de réplication, pool de calcul |
Permet de modifier les paramètres ou les propriétés d’un objet (par exemple, sur un entrepôt virtuel, permet de modifier la taille d’un entrepôt virtuel). |
MODIFY LOG LEVEL |
Global |
Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs dans le compte actuel. Pour plus d’informations, reportez-vous à LOG_LEVEL. |
MODIFY SESSION LOG LEVEL |
Global |
Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. Pour plus d’informations, reportez-vous à LOG_LEVEL. |
MODIFY TRACE LEVEL |
Global |
Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs dans le compte actuel. Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL. |
MODIFY SESSION TRACE LEVEL |
Global |
Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL. |
MONITOR |
Utilisateur, moniteur de ressources, entrepôt, base de données, schéma, tâche, groupe de basculement, groupe de réplication, alerte, pool de calcul, service |
Permet de voir les détails d’un objet (par exemple, les requêtes et l’utilisation dans un entrepôt). |
MONITOR EXECUTION |
Global |
Permet de surveiller des canaux (Snowpipe) ou des tâches du compte. |
MONITOR SECURITY |
Global |
Permet d’appeler les fonctions du système relatives à Clés gérées par le client. |
MONITOR USAGE |
Global |
Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans la console classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS. |
OPERATE |
Entrepôt, tâche, table dynamique, alerte, pool de calcul Service |
Permet de démarrer, d’arrêter, de suspendre ou de reprendre un entrepôt virtuel. Accorde la possibilité de suspendre ou de reprendre une tâche. Permet de suspendre, de reprendre ou d’actualiser une table dynamique. Accorde la possibilité de suspendre ou de reprendre un pool de calcul. Permet de suspendre ou de reprendre un service Snowpark Container Services, de mettre à niveau un service, de définir et de désactiver les propriétés d’un service. |
OWNERSHIP |
Tout |
Donne la possibilité de détruire, de modifier, d’accorder ou de révoquer l’accès à un objet. Nécessaire pour renommer un objet et créer un objet temporaire portant le même nom que l’objet lui-même. OWNERSHIP est un privilège spécial sur un objet qui est automatiquement accordé au rôle qui a créé l’objet, mais qui peut aussi être transféré à l’aide de la commande GRANT OWNERSHIP à un rôle différent par le rôle propriétaire ou par tout rôle avec le privilège MANAGE GRANTS. |
PURCHASE DATA EXCHANGE LISTING |
Global |
Accorde la possibilité d’acheter une annonce payante. |
READ |
Zone de préparation (interne uniquement), pool de calcul, référentiel d’images |
Permet d’effectuer toute opération nécessitant la lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). Permet de télécharger une image à partir d’un référentiel d’images. Le privilège READ sur la zone de préparation et le référentiel d’images sont nécessaires pour créer un service Snowpark Container Services. |
REFERENCES |
Table, table Iceberg, table externe, vue |
Permet de voir la structure d’un objet (mais pas les données). . . Pour les tables, ce privilège permet également de référencer l’objet en tant que table à clé unique/primaire pour une contrainte de clé étrangère. |
REPLICATE |
Groupe de réplication, groupe de basculement |
Permet d’actualiser un groupe de réplication ou de basculement secondaire. |
RESOLVE ALL |
Global |
Permet de résoudre tous les objets dans le compte, ce qui génère la sortie de l’objet dans la commande SHOW <objets> correspondante. |
SELECT |
Table, table Iceberg, table externe, vue, flux |
Permet d’exécuter une instruction SELECT sur la table/vue. |
TRUNCATE |
Table, table Iceberg |
Permet d’exécuter une commande TRUNCATE TABLE sur la table. |
UPDATE |
Table, table Iceberg |
Permet d’exécuter une commande UPDATE sur la table. |
USAGE |
Entrepôt, annonce Data Exchange, intégration, base de données, schéma, zone de préparation (externe uniquement), format de fichier, séquence, procédure stockée, fonction définie par l’utilisateur, fonction externe, pool de calcul, service |
Permet d’exécuter une commande USE <objet> sur l’objet. Permet également d’exécuter une commande SHOW <objets> sur l’objet. L’utilisation d’un pool de calcul est nécessaire pour créer un service Snowpark Container Services. L’utilisation d’un service Snowpark Container Services est nécessaire pour lister les points de terminaison du service. |
WRITE |
Zone de préparation (interne uniquement), référentiel d’images |
Permet d’effectuer toute opération nécessitant une écriture sur une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). Permet de charger une image dans un référentiel d’images. |
Les autres sections de ce chapitre décrivent les privilèges spécifiques disponibles pour chaque type d’objet et leur utilisation.
Privilèges globaux (privilèges au niveau du compte)¶
Privilège |
Utilisation |
Remarques |
|---|---|---|
APPLY MASKING POLICY |
Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise. |
Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY ROW ACCESS POLICY |
Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue. |
Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues. |
APPLY PACKAGES POLICY |
Accorde la possibilité d’ajouter ou de supprimer une politique de paquets sur le compte Snowflake. |
|
APPLY PASSWORD POLICY |
Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake. |
|
APPLY SESSION POLICY |
Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur. |
|
ATTACH POLICY |
Permet d’activer une politique réseau en l’associant à votre compte. |
|
AUDIT |
Permet de définir le paramètre utilisateur ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR. |
|
BIND SERVICE ENDPOINT |
Permet de créer un service qui prend en charge les points de terminaison publics. Pour plus d’informations sur les points de terminaison publics, voir Entrée : utilisation d’un service en dehors de Snowflake |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE ACCOUNT |
Permet à un fournisseur de données de créer un nouveau compte géré (c’est-à-dire un compte de lecteur). Pour plus de détails, voir Gestion des comptes de lecteur. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE COMPUTE POOL |
Permet de créer un pool de calcul pour exécuter un service Snowpark Container Services. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE EXTERNAL VOLUME |
Permet de créer un nouveau volume externe pour Tables Iceberg. |
|
CREATE FAILOVER GROUP |
Permet de créer un nouveau groupe de basculement. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE REPLICATION GROUP |
Permet de créer un nouveau groupe de réplication. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE ROLE |
Permet de créer un nouveau rôle. |
|
CREATE USER |
Permet de créer un nouvel utilisateur. |
|
CREATE DATA EXCHANGE LISTING |
Permet de créer une nouvelle annonce Data Exchange. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE INTEGRATION |
Permet de créer une nouvelle intégration de catalogue, de notification, de sécurité ou de stockage. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE NETWORK POLICY |
Permet de créer une nouvelle politique réseau. |
|
CREATE SHARE |
Permet à un fournisseur de données de créer un partage. Pour plus de détails, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données. |
Doit être accordé par le rôle ACCOUNTADMIN. |
CREATE WAREHOUSE |
Permet de créer un nouvel entrepôt virtuel. |
|
EXECUTE ALERT |
Permet d’exécuter les alertes appartenant au rôle. |
Doit être accordé par le rôle ACCOUNTADMIN. |
EXECUTE MANAGED TASK |
Permet de créer des tâches qui dépendent des ressources de calcul gérées par Snowflake (tâches sans serveur). Nécessaire uniquement pour les tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée. |
Doit être accordé par le rôle ACCOUNTADMIN. |
EXECUTE TASK |
Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK. |
Doit être accordé par le rôle ACCOUNTADMIN. |
IMPORT SHARE |
Permet à un consommateur de données de visualiser les partages partagés avec son compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE. Pour plus de détails, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données. |
Doit être accordé par le rôle ACCOUNTADMIN. |
MANAGE GRANTS |
Permet d’accorder ou de révoquer des privilèges sur des objets dont le rôle n’est pas le propriétaire. |
Doit être accordé par le rôle SECURITYADMIN (ou supérieur). |
MANAGE WAREHOUSES |
Permet d’effectuer des opérations nécessitant les privilèges MODIFY, MONITOR, et OPERATE sur les entrepôts du même compte. |
Doit être accordé par le rôle ACCOUNTADMIN. |
MANAGE LISTING AUTOFULFILLMENT |
Permet de publier des annonces dans des régions distantes à l’aide de l’exécution automatique inter-Cloud et de gérer les paramètres d’exécution automatique des annonces. |
Doit être accordé par le rôle ACCOUNTADMIN après que ce rôle se soit vu déléguer des privilèges par le rôle ORGADMIN. |
MODIFY LOG LEVEL |
Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs dans le compte actuel. |
Pour plus d’informations, reportez-vous à LOG_LEVEL. |
MODIFY SESSION LOG LEVEL |
Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. |
Pour plus d’informations, reportez-vous à LOG_LEVEL. |
MODIFY TRACE LEVEL |
Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs dans le compte actuel. |
Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL. |
MODIFY SESSION TRACE LEVEL |
Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. |
Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL. |
MONITOR EXECUTION |
Permet de surveiller tous les canaux ou toutes les tâches du compte. |
Doit être accordé par le rôle ACCOUNTADMIN. Le privilège USAGE est également requis sur chaque base de données et schéma qui stocke ces objets. |
MONITOR SECURITY |
Permet d’appeler les fonctions du système relatives à Clés gérées par le client. |
|
MONITOR USAGE |
Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans la console classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS. |
Doit être accordé par le rôle ACCOUNTADMIN. |
OVERRIDE SHARE RESTRICTIONS |
Permet de définir la valeur du paramètre SHARE_RESTRICTIONS qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage. |
Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical. |
PURCHASE DATA EXCHANGE LISTING |
Accorde la possibilité d’acheter une annonce payante. |
Voir Payer pour les annonces. |
RESOLVE ALL |
Permet de résoudre tous les objets dans le compte, ce qui génère la sortie de l’objet dans la commande SHOW <objets> correspondante. |
|
ALL [ PRIVILEGES ] |
Accorde tous les privilèges globaux. |
Privilèges des utilisateurs¶
Privilège |
Utilisation |
|---|---|
MONITOR |
Permet d’afficher l’historique de connexion de l’utilisateur. |
OWNERSHIP |
Donne le contrôle total sur un utilisateur/rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’utilisateur. |
Privilèges de rôle¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle détenu. Pour hériter des autorisations d’un rôle, ce rôle doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles. |
Privilèges du moniteur de ressources¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier toutes les propriétés d’un moniteur de ressources, par exemple de modifier le quota de crédit mensuel. |
MONITOR |
Permet d’afficher un moniteur de ressources. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le moniteur de ressources. |
Privilèges de l’entrepôt virtuel¶
Privilège |
Utilisation |
|---|---|
APPLYBUDGET |
Permet d’ajouter ou de supprimer un entrepôt d’un budget. |
MODIFY |
Permet de modifier toutes les propriétés d’un entrepôt, y compris sa taille. . . Requis pour affecter un entrepôt à un moniteur de ressources. Notez que seul le rôle ACCOUNTADMIN peut affecter des entrepôts aux moniteurs de ressources. |
MONITOR |
Permet de voir les requêtes actuelles et passées exécutées sur un entrepôt ainsi que les statistiques d’utilisation sur cet entrepôt. |
OPERATE |
Permet de modifier l’état d’un entrepôt (arrêt, démarrage, suspension, reprise). En outre, permet de voir les requêtes actuelles et passées exécutées sur un entrepôt et d’interrompre toute requête en cours d’exécution. |
USAGE |
Permet d’utiliser un entrepôt virtuel et, par conséquent, d’exécuter des requêtes sur l’entrepôt. Si l’entrepôt est configuré pour une reprise automatique lorsqu’une instruction SQL (par exemple, une requête) lui est soumise, l’entrepôt effectue automatiquement la reprise et exécute l’instruction. |
OWNERSHIP |
Donne le contrôle total sur un entrepôt. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’entrepôt. |
Astuce
L’attribution du privilège global MANAGE WAREHOUSES équivaut à l’attribution des privilèges MODIFY, MONITOR et OPERATE sur tous les entrepôts d’un compte. Vous pouvez accorder ce privilège à un rôle dont l’objet inclut la gestion d’un entrepôt afin de simplifier votre gestion du contrôle d’accès à Snowflake.
Pour plus de détails, reportez-vous à Délégation de la gestion des entrepôts.
Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.
Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.
Privilèges de connexion¶
Seul le rôle ACCOUNTADMIN possède des connexions. Le privilège OWNERSHIP ne peut pas être accordé à un autre rôle.
Privilèges de volume externe¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet de référencer le volume externe lors de l’exécution d’autres commandes qui utilisent le volume externe, et donne la possibilité d’afficher les détails d’un volume externe dans une commande SHOW ou DESCRIBE. |
OWNERSHIP |
Donne le contrôle total sur un volume externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
Privilèges du groupe de basculement¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier les propriétés d’un groupe de basculement. |
MONITOR |
Permet de visualiser les détails d’un groupe de basculement. |
OWNERSHIP |
Donne le contrôle total sur un groupe de basculement. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
FAILOVER |
Permet de promouvoir un groupe de basculement secondaire pour servir de groupe de basculement principal. |
REPLICATE |
Active l’actualisation d’un groupe de basculement secondaire. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de basculement. |
Privilèges du groupe de réplication¶
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet de modifier les propriétés d’un groupe de réplication. |
MONITOR |
Permet de visualiser les détails d’un groupe de réplication. |
OWNERSHIP |
Donne le contrôle total sur un groupe de réplication. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
REPLICATE |
Active l’actualisation d’un groupe de réplication secondaire. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de réplication. |
Privilèges d’intégration¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet de référencer l’intégration lors de l’exécution d’autres commandes qui utilisent l’intégration. Pour plus d’informations, voir les exigences de contrôle d’accès pour CREATE STAGE et CREATE EXTERNAL ACCESS INTEGRATION. |
USE_ANY_ROLE |
Permet au client ou à l’utilisateur externe OAuth de changer de rôle uniquement si ce privilège est accordé au client ou à l’utilisateur. Configurez l’intégration de sécurité External OAuth pour utiliser le paramètre |
OWNERSHIP |
Permet le contrôle total d’une intégration. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’intégration. |
Privilèges de la règle de réseau¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Permet un contrôle total de la règle réseau. |
Privilèges de la politique réseau¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Permet un contrôle total de la politique réseau. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
Privilèges de politique de paquets¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Transfère la propriété d’une politique de paquets, ce qui accorde un contrôle total sur la politique de paquets. Nécessaire pour modifier la plupart des propriétés d’une politique de paquets. |
USAGE |
Accorde la possibilité d’afficher le contenu d’une politique de paquets dans une commande SHOW ou DESCRIBE. |
Privilèges de politique de mot de passe¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Transfère la propriété d’une politique de mot de passe, ce qui accorde un contrôle total sur la politique de mot de passe. Nécessaire pour modifier la plupart des propriétés d’une politique de mot de passe. |
Privilèges de politique de session¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Transfère la propriété d’une politique de session, ce qui accorde un contrôle total sur la politique de session. Nécessaire pour modifier la plupart des propriétés d’une politique de session. |
Privilèges Data Exchange¶
Privilège |
Utilisation |
|---|---|
IMPORTED PRIVILEGES |
Permet à des rôles autres que le propriétaire de gérer un Data Exchange. |
Privilèges au niveau de l’annonce¶
Note
Vous devez utiliser Snowsight pour gérer les privilèges au niveau des annonces. Voir Attribution de privilèges à d’autres rôles.
Privilège |
Utilisation |
|---|---|
MODIFY |
Permet à des rôles autres que celui de propriétaire de modifier une annonce. |
USAGE |
Permet de consulter une annonce. |
OWNERSHIP |
Donne le contrôle total sur une annonce. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une annonce. |
Privilèges de base de données¶
Privilège |
Utilisation |
|---|---|
APPLYBUDGET |
Permet d’ajouter ou de supprimer une base de données d’un budget. |
MODIFY |
Permet de modifier tous les paramètres d’une base de données. |
MONITOR |
Permet d’exécuter la commande DESCRIBE sur la base de données. |
USAGE |
Permet d’utiliser une base de données, y compris de renvoyer des détails de la base de données dans la sortie de la commande SHOW DATABASES. Des privilèges supplémentaires sont requis pour afficher ou exécuter des actions sur des objets dans une base de données. |
REFERENCE_USAGE |
Permet d’utiliser un objet (par exemple, une vue sécurisée dans un partage) lorsque l’objet fait référence à un autre objet dans une base de données différente. Accordez le privilège sur l’autre base de données au partage. Vous ne pouvez pas accorder ce privilège sur une base de données à n’importe quel type de rôle. Pour plus de détails, reportez-vous à GRANT <privilège> … TO SHARE et Partage des données de plusieurs bases de données. |
CREATE DATABASE ROLE |
Permet de créer un nouveau rôle de base de données dans une base de données. |
CREATE SCHEMA |
Permet de créer un nouveau schéma dans une base de données, y compris de cloner un schéma. |
IMPORTED PRIVILEGES |
Permet à des rôles autres que le rôle propriétaire d’accéder à une base de données partagée. S’applique uniquement aux bases de données partagées. |
OWNERSHIP |
Donne un contrôle total de la base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une base de données. |
Note
Notez que la modification des propriétés d’une base de données nécessite le privilège OWNERSHIP pour la base de données.
La mise à jour de la propriété COMMENT ne nécessite que le privilège MODIFY pour la base de données.
Si n’importe quel privilège de base de données est accordé à un rôle, ce rôle peut effectuer des actions SQL sur des objets d’un schéma utilisant des noms entièrement qualifiés. Le rôle doit disposer du privilège USAGE sur le schéma ainsi que du ou des privilèges requis sur l’objet. Pour faire d’une base de données la base de données active dans une session utilisateur, le privilège USAGE sur la base de données est nécessaire.
Un rôle de niveau compte (c’est-à-dire
r1) possédant le privilège OWNERSHIP sur la base de données peut accorder le privilège CREATE DATABASE ROLE à un rôle au niveau du compte différent (c’est-à-direr2). De même,r1peut également révoquer le privilège CREATE DATABASE ROLE d’un autre rôle au niveau du compte.Dans ce scénario,
r2doit disposer du privilège USAGE sur la base de données pour créer un nouveau rôle dans cette base de données.Lorsque vous créez un rôle de base de données, le privilège USAGE sur la base de données qui contient le rôle de base de données est automatiquement accordé au rôle de base de données.
Privilèges de schéma¶
Privilège |
Utilisation |
|---|---|
APPLYBUDGET |
Permet d’ajouter ou de supprimer un schéma d’un budget. |
MODIFY |
Permet de modifier les paramètres d’un schéma. |
MONITOR |
Permet d’exécuter la commande DESCRIBE sur le schéma. |
USAGE |
Permet d’utiliser un schéma, y compris d’exécuter des commandes pour renvoyer les détails du schéma dans une commande SHOW SCHEMAS. . . Pour exécuter des commandes SHOW <objets> sur des objets (tables, vues, zones de préparation, formats de fichier, séquences, canaux ou fonctions) dans le schéma, un rôle doit disposer d’au moins un privilège accordé à l’objet. |
CREATE TABLE |
Permet de créer une nouvelle table dans un schéma, y compris de cloner une table. Notez que ce privilège n’est pas nécessaire pour créer des tables temporaires, qui sont ramenées à la session utilisateur en cours et sont automatiquement détruites à la fin de la session. |
CREATE EXTERNAL TABLE |
Permet de créer une nouvelle table externe dans un schéma. |
CREATE ICEBERG TABLE |
Permet de créer un nouveau Tables Iceberg dans un schéma. |
CREATE VIEW |
Permet de créer une nouvelle vue dans un schéma. |
CREATE MASKING POLICY |
Permet de créer une nouvelle politique de masquage dans un schéma. |
CREATE MATERIALIZED VIEW |
Permet de créer une nouvelle vue matérialisée dans un schéma. |
CREATE NETWORK RULE |
Permet de créer une nouvelle règle réseau dans un schéma. |
CREATE ROW ACCESS POLICY |
Permet de créer une nouvelle politique d’accès aux lignes dans un schéma. |
CREATE SECRET |
Permet de créer un nouveau secret dans le schéma actuel/spécifié ou remplace un secret existant. |
CREATE SESSION POLICY |
Permet de créer une nouvelle politique de session dans un schéma. |
CREATE STAGE |
Permet de créer une nouvelle zone de préparation dans un schéma, y compris de cloner une zone de préparation. |
CREATE STREAMLIT |
Permet de créer et de visualiser une application Streamlit. |
CREATE FILE FORMAT |
Permet de créer un nouveau format de fichier dans un schéma, y compris de cloner un format de fichier. |
CREATE SEQUENCE |
Permet de créer une nouvelle séquence dans un schéma, y compris de cloner une séquence. |
CREATE FUNCTION |
Permet de créer une nouvelle fonction UDF ou externe dans un schéma. |
CREATE PACKAGES POLICY |
Permet de créer une nouvelle politique de paquets dans un schéma. |
CREATE PASSWORD POLICY |
Permet de créer une nouvelle politique de mot de passe dans un schéma. |
CREATE PIPE |
Permet de créer un nouveau canal dans un schéma. |
CREATE STREAM |
Permet de créer un nouveau flux dans un schéma, y compris de cloner un flux. |
CREATE TAG |
Permet de créer une nouvelle clé de balise dans un schéma. |
CREATE TASK |
Permet de créer une nouvelle tâche dans un schéma, y compris de cloner une tâche. |
CREATE PROCEDURE |
Permet de créer une nouvelle procédure stockée dans un schéma. |
CREATE ALERT |
Permet de créer une nouvelle alerte dans un schéma. |
CREATE SNOWFLAKE.CORE.BUDGET |
Permet de créer un nouveau budget sur un schéma. |
CREATE SNOWFLAKE.ML.FORECAST |
Permet de créer de nouvelles instances du modèle de prévision sur un schéma. |
CREATE SNOWFLAKE.ML.ANOMALY_DETECTION |
Permet de créer de nouvelles instances du modèle de détection d’anomalies sur un schéma. |
ADD SEARCH OPTIMIZATION |
Permet l’ajout de l’optimisation de la recherche à une table dans un schéma. |
OWNERSHIP |
Donne un contrôle total du schéma. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur un schéma. |
Note
Changer les propriétés d’un schéma, y compris les commentaires, nécessite le privilège OWNERSHIP pour la base de données.
L’utilisation d’un schéma nécessite également le privilège USAGE sur la base de données parent.
Privilèges de table¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table. |
INSERT |
Permet d’exécuter une commande INSERT sur une table. Permet également d’utiliser la commande ALTER TABLE avec une clause |
UPDATE |
Permet d’exécuter une commande UPDATE sur une table. |
TRUNCATE |
Permet d’exécuter une commande TRUNCATE TABLE sur une table. |
DELETE |
Permet d’exécuter une commande DELETE sur une table. |
EVOLVE SCHEMA |
Permet à l’évolution du schéma de se produire sur une table lors du chargement des données. |
REFERENCES |
Permet de référencer une table en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également de visualiser la structure d’une table (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
APPLYBUDGET |
Permet d’ajouter ou de supprimer une table d’un budget. |
OWNERSHIP |
Permet un contrôle total de la table. Requis pour modifier la plupart des propriétés d’une table, à l’exception du reclustering. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une table. |
Note
Effectuer des opérations sur une table nécessite également le privilège USAGE sur la base de données et le schéma parents.
Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.
Privilèges des tables dynamiques¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table dynamique. |
OPERATE |
Nécessaire pour modifier les propriétés d’une table dynamique, notamment :
|
OWNERSHIP |
Donne un contrôle total de la table dynamique. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la table dynamique. |
Privilèges de table d’événements¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table d’événements. |
INSERT |
En conjonction avec OWNERSHIP du compte, permet d’associer un compte à une table d’événements. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la table d’événements. |
OWNERSHIP |
Transfère la propriété d’une table d’événements, ce qui confère un contrôle total sur la table d’événements. . . Nécessaire pour modifier la table d’événements. . . En conjonction avec OWNERSHIP du compte, permet d’associer un compte à une table d’événements. |
Note
Effectuer des opérations sur une table d’événements nécessite le privilège USAGE sur la base de données et le schéma parents.
Privilèges de table externe¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table externe. |
REFERENCES |
Permet de voir la structure d’une table externe (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
OWNERSHIP |
Confère un contrôle total de la table externe ; nécessaire pour actualiser une table externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, à l’exception de OWNERSHIP, sur une table externe. |
Note
Effectuer des opérations sur une table externe nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de table Iceberg¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une table Iceberg. |
INSERT |
Permet d’exécuter une commande INSERT sur une table Iceberg. |
UPDATE |
Permet d’exécuter une commande UPDATE sur une table Iceberg. |
TRUNCATE |
Permet d’exécuter une commande TRUNCATE TABLE sur une table Iceberg. |
DELETE |
Permet d’exécuter une commande DELETE sur une table Iceberg. |
REFERENCES |
Permet de référencer une table Iceberg en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également de voir la structure d’une table Iceberg (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
APPLYBUDGET |
Permet d’ajouter une table Iceberg à un budget ou de la supprimer d’un budget. |
OWNERSHIP |
Donne un contrôle total sur la table Iceberg. Nécessaire pour modifier la plupart des propriétés d’une table Iceberg. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, à l’exception de OWNERSHIP, sur une table Iceberg. |
Note
Pour pouvoir effectuer des opérations sur une table Iceberg, il convient également de disposer du privilège USAGE sur la base de données et le schéma parents.
Les privilèges suivants n’ont aucun effet lorsqu’ils sont accordés sur une table Iceberg qui utilise une intégration de catalogue : INSERT, UPDATE, DELETE. Les tables Iceberg qui utilisent une intégration de catalogue sont en lecture seule.
Affichage des privilèges¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une vue. . . Notez que ce privilège est suffisant pour interroger une vue. Le privilège SELECT sur les objets sous-jacents d’une vue n’est pas nécessaire. |
REFERENCES |
Permet de visualiser la structure d’une vue (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
OWNERSHIP |
Permet un contrôle total de la vue. Requis pour modifier une vue. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une vue. |
Note
Les privilèges DML de la table tels que INSERT, UPDATE et DELETE peuvent être attribués à des vues ; toutefois, comme les vues sont en lecture seule, ces privilèges n’ont aucun effet.
Effectuer des opérations sur une vue nécessite également le privilège USAGE sur la base de données et le schéma parents.
Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.
Privilèges des vues matérialisées¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur une vue. . . Notez que ce privilège est suffisant pour interroger une vue. Le privilège SELECT sur les objets sous-jacents d’une vue n’est pas nécessaire. |
REFERENCES |
Permet de visualiser la structure d’une vue (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema. |
APPLYBUDGET |
Permet d’ajouter ou de supprimer une vue matérialisée d’un budget. |
OWNERSHIP |
Permet un contrôle total de la vue. Requis pour modifier une vue. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur une vue. |
Note
Les privilèges DML de la table tels que INSERT, UPDATE et DELETE peuvent être attribués à des vues ; toutefois, comme les vues sont en lecture seule, ces privilèges n’ont aucun effet.
Effectuer des opérations sur une vue nécessite également le privilège USAGE sur la base de données et le schéma parents.
Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.
Privilèges de zone de préparation¶
Privilège |
Utilisation |
|---|---|
USAGE |
Active l’utilisation d’un objet de zones de préparation externes dans une instruction SQL. Ne s’applique pas aux zones de préparation internes. |
READ |
Permet d’effectuer toute opération nécessitant une lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). Ne s’applique pas aux zones de préparation externes. |
WRITE |
Permet d’effectuer toute opération nécessitant une écriture vers une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). Ne s’applique pas aux zones de préparation externes. |
OWNERSHIP |
Permet un contrôle total de la zone de préparation. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges applicables, sauf OWNERSHIP, sur la zone de préparation (interne ou externe). |
Note
Lors de l’octroi des privilèges READ et WRITE pour une zone de préparation interne, le privilège READ doit être accordé avant ou en même temps que le privilège WRITE.
Lors de la révocation des privilèges READ et WRITE pour une zone de préparation interne, le privilège WRITE doit être révoqué avant ou en même temps que le privilège READ.
Effectuer des opérations une zone de préparation nécessite également le privilège USAGE sur la base de données et le schéma parents.
Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.
Privilèges de format de fichier¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’utiliser un format de fichier dans une instruction SQL. |
OWNERSHIP |
Permet un contrôle total du format du fichier. Nécessaire pour modifier un format de fichier. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le format de fichier. |
Note
Effectuer des opérations sur des formats de fichier nécessite également le privilège USAGE sur la base de données et le schéma parents.
Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.
Privilèges de canal¶
Les objets canal sont créés et gérés pour charger des données à l’aide de Snowpipe.
Privilège |
Utilisation |
|---|---|
APPLYBUDGET |
Permet d’ajouter ou de supprimer un canal d’un budget. |
MONITOR |
Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES). |
OPERATE |
Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES), de suspendre ou de reprendre le canal et de l’actualiser. |
OWNERSHIP |
Permet un contrôle total du canal. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le canal. |
Note
Effectuer des opérations sur des canaux nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de rôle de base de données¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Donne le contrôle total sur un rôle de base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle de base de données détenu. Pour hériter des autorisations d’un rôle de base de données, ce rôle de base de données doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles. |
Privilèges de flux¶
Privilège |
Utilisation |
|---|---|
SELECT |
Permet d’exécuter une instruction SELECT sur un flux. |
OWNERSHIP |
Permet un contrôle total du flux. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur le flux. |
Privilèges de tâches¶
Privilège |
Utilisation |
|---|---|
APPLYBUDGET |
Permet d’ajouter ou de supprimer une tâche d’un budget. |
MONITOR |
Permet d’afficher les détails de la tâche (à l’aide de DESCRIBE TASK ou SHOW TASKS). |
OPERATE |
Permet de voir les détails de la tâche (à l’aide de DESCRIBE TASK ou de SHOW TASKS) et de reprendre ou de suspendre la tâche. |
OWNERSHIP |
Permet un contrôle total de la tâche. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la tâche. |
Privilèges de secrets¶
Privilège |
Utilisation |
|---|---|
READ |
Permet à une UDF ou à une procédure stockée qui utilise un secret d’accéder aux identifiants de connexion stockés dans le secret. Pour plus de détails, voir Création d’un secret pour représenter les identifiants de connexion. |
USAGE |
Permet d’utiliser un secret. |
OWNERSHIP |
Transfère la propriété d’un secret, ce qui confère un contrôle total sur le secret. Nécessaire pour modifier la plupart des propriétés d’un secret ou supprimer un secret du système. |
Privilèges de politique de masquage¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter les opérations non définies et définies pour une politique de masquage sur une colonne. Notez que l’octroi du privilège global APPLY MASKING POLICY (c’est-à-dire APPLY MASKING POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues. Pour des exemples de syntaxe, voir Privilèges de politique de masquage. |
OWNERSHIP |
Permet un contrôle total de la politique de masquage. Nécessaire pour modifier la plupart des propriétés d’une politique de masquage. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une politique de masquage nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de la politique d’accès aux lignes¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter des opérations d’ajout et de destruction pour la politique d’accès aux lignes sur une table ou une vue. Notez que l’octroi du privilège global APPLY ROW ACCESS POLICY (c’est-à-dire APPLY ROW ACCESS POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues. Pour des exemples de syntaxe, voir Résumé des commandes, des opérations et des privilèges DDL. |
OWNERSHIP |
Permet un contrôle total de la politique d’accès aux lignes. Nécessaire pour modifier la plupart des propriétés d’une politique d’accès aux lignes. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une politique d’accès aux lignes nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges des balises¶
Privilège |
Utilisation |
|---|---|
APPLY |
Permet d’exécuter des opérations d’ajout et de destruction de la balise sur un objet Snowflake. |
READ |
Permet à un consommateur de partage de données de voir les attributions de balises partagées à l’aide d’une commande SHOW TAGS. Le fournisseur de partage de données accorde ce privilège à un rôle de base de données ou directement au partage. |
OWNERSHIP |
Donne un contrôle total de la balise. Nécessaire pour modifier la plupart des propriétés d’une balise. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Les balises sont stockées au niveau du schéma.
Effectuer des opérations sur une balise nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges de séquences¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’utiliser une séquence dans une instruction SQL. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la séquence. |
OWNERSHIP |
Confère un contrôle total sur la séquence ; nécessaire pour modifier la séquence. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une séquence nécessite également le privilège USAGE sur la base de données et le schéma parents.
Privilèges des procédures stockées¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’appeler une procédure stockée. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur la procédure stockée. |
OWNERSHIP |
Confère un contrôle total de la procédure stockée ; nécessaire pour modifier la procédure stockée. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une procédure stockée nécessite également le privilège USAGE sur la base de données et le schéma parents.
Si une procédure stockée fonctionne avec les droits de l’appelant, l’utilisateur qui appelle la procédure stockée doit avoir des privilèges sur les objets de la base de données (par exemple, des tables) auxquels la procédure stockée accède. Pour plus de détails, voir Understanding Caller’s Rights and Owner’s Rights Stored Procedures.
Privilèges des fonctions définies par l’utilisateur (UDF) et des fonctions externes¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet d’appeler une UDF ou une fonction externe. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’UDF ou la fonction externe. |
OWNERSHIP |
Confère un contrôle total de l’UDF ou de la fonction externe ; nécessaire pour modifier l’UDF ou la fonction externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Note
Effectuer des opérations sur une UDF ou une fonction externe nécessite également le privilège USAGE sur la base de données et le schéma parents.
Le propriétaire d’une UDF doit avoir des privilèges sur les objets auxquels la fonction accède ; l’utilisateur qui appelle une UDF n’a pas besoin de ces privilèges. Pour plus de détails, voir Exigences en matière de sécurité et de privilège pour les UDFs SQL.
Le propriétaire d’une fonction externe doit avoir le privilège USAGE sur l’objet d’intégration API associé à la fonction externe. Pour plus de détails, voir Contrôle d’accès dans la documentation sur les fonctions externes.
Privilèges d’alerte¶
Privilège |
Utilisation |
|---|---|
MONITOR |
Permet d’afficher les détails de l’alerte (à l’aide de DESCRIBE ALERT ou SHOW ALERTS). |
OPERATE |
Permet de voir les détails de l’alerte (à l’aide de DESCRIBE ALERT ou de SHOW ALERTS) et de reprendre ou de suspendre la tâche (à l’aide de ALTER ALERT). |
OWNERSHIP |
Donne un contrôle total sur l’alerte. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Accorde tous les privilèges, sauf OWNERSHIP, sur l’alerte. |
Privilèges de pool de calcul¶
Privilège |
Utilisation |
|---|---|
OPERATE |
Permet de suspendre ou de reprendre un pool de calcul. |
MODIFY |
Permet de modifier les propriétés du pool de calcul et des paramètres. |
USAGE |
Permet l’exécution d’un service ou d’une tâche. Permet de communiquer avec le service (créer une fonction de service, utiliser des points de terminaison publics et se connecter à partir d’un autre service). |
MONITOR |
Permet d’afficher l’utilisation du pool de calcul (nombre de services et de tâches en cours d’exécution), les propriétés et la liste des pools de calcul dans le compte pour lequel le rôle dispose de privilèges d’accès. |
OWNERSHIP |
Donne un contrôle total sur le pool de calcul. Un seul rôle peut détenir ce privilège sur un objet de pool de calcul spécifique. |
Privilèges du référentiel d’images¶
Privilège |
Utilisation |
|---|---|
OWNERSHIP |
Permet un contrôle total sur le référentiel d’images. Le rôle doté de ce privilège peut également supprimer un référentiel d’images. |
READ |
Permet de répertorier et de télécharger des images à partir d’un référentiel d’images. |
WRITE |
Permet de répertorier et de télécharger des images à partir d’un dépôt. Permet également de pousser des images dans le référentiel. |
Privilèges de service¶
Privilège |
Utilisation |
|---|---|
OPERATE |
Permet de suspendre ou de reprendre un service, de le mettre à niveau et d’en modifier les propriétés. |
OWNERSHIP |
Permet un contrôle total du service. Le rôle disposant de ce privilège peut également supprimer un service d’un schéma. |
MONITOR |
Permet de surveiller un service et d’obtenir son statut d’exécution. |
USAGE |
Permet d’établir la liste des points de terminaison d’un service. |
Privilèges de tâche¶
L’utilisateur qui a créé une tâche peut contrôler et obtenir le statut d’exécution de la tâche. Les tâches ne permettent pas d’accorder des privilèges à d’autres utilisateurs ou rôles.
Privilèges Streamlit¶
Privilège |
Utilisation |
|---|---|
USAGE |
Permet de visualiser et d’exécuter une application Streamlit. |