Privilèges de contrôle d’accès

Ce chapitre décrit les privilèges disponibles dans le modèle de contrôle d’accès Snowflake. Les privilèges sont accordés aux rôles, et les rôles sont accordés aux utilisateurs pour spécifier les opérations que les utilisateurs peuvent effectuer sur les objets du système.

Dans ce chapitre :

Tous les privilèges (par ordre alphabétique)

Les privilèges suivants sont disponibles dans le modèle de contrôle d’accès Snowflake. La signification de chaque privilège varie selon le type d’objet auquel il s’applique, et tous les objets ne prennent pas en charge tous les privilèges :

Privilège

Type d’objet

Description

ALL [ PRIVILEGES ]

Tout

Accorde tous les privilèges pour le type d’objet spécifié.

APPLY AGGREGATION POLICY

Global

Permet d’ajouter et de supprimer une politique d’agrégation sur une table ou une vue.

APPLYBUDGET

Base de données, schéma, table, table hybride, table Iceberg, entrepôt, tâche, canal, vue matérialisée

Permet d’ajouter ou de retirer un objet d’un budget.

APPLY AUTHENTICATION POLICY

Global

Permet d’ajouter ou de supprimer une politique d’authentification sur le compte Snowflake ou sur un utilisateur du compte Snowflake.

APPLY MASKING POLICY

Global

Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY PACKAGES POLICY

Global

Accorde la possibilité d’ajouter ou de supprimer une politique de paquets sur le compte Snowflake.

APPLY PASSWORD POLICY

Global

Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake.

APPLY PROJECTION POLICY

Global

Permet d’ajouter et de supprimer une politique de projection sur une table ou une vue.

APPLY ROW ACCESS POLICY

Global

Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue. Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY SESSION POLICY

Global

Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur.

APPLY TAG

Global

Permet d’ajouter ou de détruire une balise sur un objet Snowflake.

ATTACH POLICY

Global

Permet d’activer une politique réseau en l’associant à votre compte.

AUDIT

Global

Permet de définir le paramètre utilisateur ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Global

Permet de créer un service qui prend en charge les points de terminaison publics. Pour plus d’informations sur les points de terminaison publics, voir Entrée : utilisation d’un service en dehors de Snowflake.

CREATE <type_objet>

Global, base de données, schéma

Permet de créer un objet de <type_objet> (par exemple, CREATE TABLE donne la possibilité de créer une table dans un schéma).

DELETE

Table, table hybride, table Iceberg

Permet d’exécuter une commande DELETE sur la table.

EVOLVE SCHEMA

Table

Permet à l”évolution du schéma de se produire sur une table lors du chargement des données.

EXECUTE ALERT

Global

Permet d’exécuter les alertes appartenant au rôle.

EXECUTE MANAGED TASK

Global

Permet de créer des tâches qui s’appuient sur des ressources de calcul sans serveur. Nécessaire uniquement pour créer des tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée.

EXECUTE TASK

Global

Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK.

FAILOVER

Groupe de basculement

Permet de promouvoir un groupe de basculement secondaire ou une connexion secondaire en tant que groupe principal.

IMPORT SHARE

Global

S’applique aux consommateurs de données. Permet de voir les parties partagées avec votre compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE.

OVERRIDE SHARE RESTRICTIONS

Global

Permet de définir la valeur du paramètre SHARE_RESTRICTIONS sur un partage qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage. Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical.

IMPORTED PRIVILEGES

Base de données, Data Exchange

Permet d’autoriser l’accès à une base de données partagée à des rôles autres que le rôle de propriétaire ou de gérer un Snowflake Marketplace / Data Exchange.

INSERT

Table, table hybride, table Iceberg

Permet d’exécuter une commande INSERT sur la table.

MANAGE GRANTS

Global

Permet d’accorder ou de révoquer des privilèges sur n’importe quel objet comme si le rôle d’appel était le propriétaire de l’objet.

MANAGE LISTING AUTOFULFILLMENT

Global

Permet de publier des annonces dans des régions distantes à l’aide de l’exécution automatique inter-Cloud et de gérer les paramètres d’exécution automatique des annonces.

MANAGE WAREHOUSES

Global

Permet d’effectuer des opérations nécessitant les privilèges MODIFY, MONITOR, et OPERATE sur les entrepôts du même compte.

MODIFY

Moniteur de ressources, entrepôt, annonce Data Exchange, base de données, schéma, groupe de basculement, groupe de réplication, pool de calcul

Permet de modifier les paramètres ou les propriétés d’un objet (par exemple, sur un entrepôt virtuel, permet de modifier la taille d’un entrepôt virtuel).

MODIFY LOG LEVEL

Global

Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs dans le compte actuel. Pour plus d’informations, reportez-vous à LOG_LEVEL.

MODIFY SESSION LOG LEVEL

Global

Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. Pour plus d’informations, reportez-vous à LOG_LEVEL.

MODIFY TRACE LEVEL

Global

Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs dans le compte actuel. Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Global

Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle. Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL.

MONITOR

Utilisateur, moniteur de ressources, entrepôt, base de données, schéma, tâche, groupe de basculement, groupe de réplication, alerte, pool de calcul, service, table dynamique

Permet de voir les détails d’un objet (par exemple, les requêtes et l’utilisation dans un entrepôt).

MONITOR EXECUTION

Global

Permet de surveiller des canaux (Snowpipe) ou des tâches du compte.

MONITOR SECURITY

Global

Permet d’appeler les fonctions du système relatives à Clés gérées par le client.

MONITOR USAGE

Global

Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans la console classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS.

OPERATE

Entrepôt, tâche, table dynamique, alerte, pool de calcul Service

Permet de démarrer, d’arrêter, de suspendre ou de reprendre un entrepôt virtuel. Accorde la possibilité de suspendre ou de reprendre une tâche. Permet de suspendre, de reprendre ou d’actualiser une table dynamique. Accorde la possibilité de suspendre ou de reprendre un pool de calcul. Permet de suspendre ou de reprendre un service Snowpark Container Services, de mettre à niveau un service, de définir et de désactiver les propriétés d’un service.

OWNERSHIP

Tout

Donne la possibilité de détruire, de modifier, d’accorder ou de révoquer l’accès à un objet. Nécessaire pour renommer un objet et créer un objet temporaire portant le même nom que l’objet lui-même. OWNERSHIP est un privilège spécial sur un objet qui est automatiquement accordé au rôle qui a créé l’objet, mais qui peut aussi être transféré à l’aide de la commande GRANT OWNERSHIP à un rôle différent par le rôle propriétaire ou par tout rôle avec le privilège MANAGE GRANTS.

PURCHASE DATA EXCHANGE LISTING

Global

Accorde la possibilité d’acheter une annonce payante.

READ

Zone de préparation (interne uniquement), pool de calcul, référentiel d’images

Permet d’effectuer toute opération nécessitant la lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). Permet de télécharger une image à partir d’un référentiel d’images. Le privilège READ sur la zone de préparation et le référentiel d’images sont nécessaires pour créer un service Snowpark Container Services.

REFERENCES

Table, table hybride, table Iceberg, table externe, vue

Permet de voir la structure d’un objet (mais pas les données). . . Pour les tables, ce privilège permet également de référencer l’objet en tant que table à clé unique/primaire pour une contrainte de clé étrangère.

REPLICATE

Groupe de réplication, groupe de basculement

Permet d’actualiser un groupe de réplication ou de basculement secondaire.

RESOLVE ALL

Global

Permet de résoudre tous les objets dans le compte, ce qui génère la sortie de l’objet dans la commande SHOW <objets> correspondante.

SELECT

Table, table hybride, table Iceberg, table externe, vue, flux

Permet d’exécuter une instruction SELECT sur la table/vue.

TRUNCATE

Table, table hybride, table Iceberg

Permet d’exécuter une commande TRUNCATE TABLE sur la table.

UPDATE

Table, table hybride, table Iceberg

Permet d’exécuter une commande UPDATE sur la table.

USAGE

Entrepôt, annonce Data Exchange, intégration, base de données, schéma, zone de préparation (externe uniquement), format de fichier, séquence, procédure stockée, fonction définie par l’utilisateur, fonction externe, pool de calcul, service

Permet d’exécuter une commande USE <objet> sur l’objet. Permet également d’exécuter une commande SHOW <objets> sur l’objet. L’utilisation d’un pool de calcul est nécessaire pour créer un service Snowpark Container Services. L’utilisation d’un service Snowpark Container Services est nécessaire pour lister les points de terminaison du service.

WRITE

Zone de préparation (interne uniquement), référentiel d’images

Permet d’effectuer toute opération nécessitant une écriture sur une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). Permet de charger une image dans un référentiel d’images.

Les autres sections de ce chapitre décrivent les privilèges spécifiques disponibles pour chaque type d’objet et leur utilisation.

Privilèges globaux (privilèges au niveau du compte)

Privilège

Utilisation

Remarques

APPLY AGGREGATION POLICY

Permet d’ajouter et de supprimer une politique d’agrégation sur une table ou une vue.

Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY AUTHENTICATION POLICY

Permet d’ajouter ou de supprimer une politique d’authentification sur le compte Snowflake ou sur un utilisateur du compte Snowflake.

APPLY MASKING POLICY

Permet de définir une politique de masquage de sécurité au niveau de la colonne sur une table ou une colonne de vue et de définir une politique de masquage sur une balise.

Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY ROW ACCESS POLICY

Permet d’ajouter et de détruire une politique d’accès aux lignes sur une table ou une vue.

Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY PACKAGES POLICY

Accorde la possibilité d’ajouter ou de supprimer une politique de paquets sur le compte Snowflake.

APPLY PASSWORD POLICY

Donne la possibilité d’ajouter ou de détruire une politique de mot de passe sur le compte Snowflake ou sur un utilisateur du compte Snowflake.

APPLY PROJECTION POLICY

Permet d’ajouter et de supprimer une politique de projection sur une table ou une vue.

Ce privilège global permet également d’exécuter l’opération DESCRIBE sur les tables et les vues.

APPLY SESSION POLICY

Permet de définir ou de désactiver une politique de session sur un compte ou un utilisateur.

ATTACH POLICY

Permet d’activer une politique réseau en l’associant à votre compte.

AUDIT

Permet de définir le paramètre utilisateur ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Permet de créer un service qui prend en charge les points de terminaison publics. Pour plus d’informations sur les points de terminaison publics, voir Entrée : utilisation d’un service en dehors de Snowflake

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE ACCOUNT

Permet à un fournisseur de données de créer un nouveau compte géré (c’est-à-dire un compte de lecteur). Pour plus de détails, voir Gestion des comptes de lecteur.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE COMPUTE POOL

Permet de créer un pool de calcul pour exécuter un service Snowpark Container Services.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE DATABASE

Permet de créer une nouvelle base de données.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE EXTERNAL VOLUME

Permet de créer un nouveau volume externe pour Tables Iceberg.

CREATE FAILOVER GROUP

Permet de créer un nouveau groupe de basculement.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE REPLICATION GROUP

Permet de créer un nouveau groupe de réplication.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE ROLE

Permet de créer un nouveau rôle.

CREATE USER

Permet de créer un nouvel utilisateur.

CREATE DATA EXCHANGE LISTING

Permet de créer une nouvelle annonce Data Exchange.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE INTEGRATION

Permet de créer une nouvelle intégration de catalogue, de notification, de sécurité ou de stockage.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE NETWORK POLICY

Permet de créer une nouvelle politique réseau.

CREATE SHARE

Permet à un fournisseur de données de créer un partage. Pour plus de détails, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données.

Doit être accordé par le rôle ACCOUNTADMIN.

CREATE WAREHOUSE

Permet de créer un nouvel entrepôt virtuel.

EXECUTE ALERT

Permet d’exécuter les alertes appartenant au rôle.

Doit être accordé par le rôle ACCOUNTADMIN.

EXECUTE MANAGED TASK

Permet de créer des tâches qui s’appuient sur des ressources de calcul sans serveur. Nécessaire uniquement pour les tâches sans serveur. Le rôle qui dispose du privilège OWNERSHIP sur une tâche doit disposer à la fois du privilège EXECUTE MANAGED TASK et du privilège EXECUTE TASK pour que la tâche puisse être exécutée.

Doit être accordé par le rôle ACCOUNTADMIN.

EXECUTE TASK

Permet d’exécuter des tâches appartenant au rôle. Pour que les tâches sans serveur s’exécutent, le rôle qui dispose du privilège OWNERSHIP sur la tâche doit également disposer du privilège global EXECUTE MANAGED TASK.

Doit être accordé par le rôle ACCOUNTADMIN.

IMPORT SHARE

Permet à un consommateur de données de visualiser les partages partagés avec son compte. Permet également de créer des bases de données à partir des partages ; requiert le privilège global CREATE DATABASE. Pour plus de détails, voir Autoriser les rôles non ACCOUNTADMIN à effectuer des tâches de partage de données.

Doit être accordé par le rôle ACCOUNTADMIN.

MANAGE GRANTS

Permet d’accorder ou de révoquer des privilèges sur des objets dont le rôle n’est pas le propriétaire.

Doit être accordé par le rôle SECURITYADMIN (ou supérieur).

MANAGE WAREHOUSES

Permet d’effectuer des opérations nécessitant les privilèges MODIFY, MONITOR, et OPERATE sur les entrepôts du même compte.

Doit être accordé par le rôle ACCOUNTADMIN.

MANAGE LISTING AUTOFULFILLMENT

Permet de publier des annonces dans des régions distantes à l’aide de l’exécution automatique inter-Cloud et de gérer les paramètres d’exécution automatique des annonces.

Doit être accordé par le rôle ACCOUNTADMIN après que ce rôle se soit vu déléguer des privilèges par le rôle ORGADMIN.

MODIFY LOG LEVEL

Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs dans le compte actuel.

Pour plus d’informations, reportez-vous à LOG_LEVEL.

MODIFY SESSION LOG LEVEL

Active la définition du niveau des messages du journal capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle.

Pour plus d’informations, reportez-vous à LOG_LEVEL.

MODIFY TRACE LEVEL

Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs dans le compte actuel.

Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Active la définition du niveau des événements de trace capturés pour les procédures stockées et les UDFs invoquées dans la session actuelle.

Lors du traçage d’événements, vous devez également définir le paramètre LOG_LEVEL sur l’une des valeurs prises en charge. Pour plus d’informations, reportez-vous à TRACE_LEVEL.

MONITOR EXECUTION

Permet de surveiller tous les canaux ou toutes les tâches du compte.

Doit être accordé par le rôle ACCOUNTADMIN. Le privilège USAGE est également requis sur chaque base de données et schéma qui stocke ces objets.

MONITOR SECURITY

Permet d’appeler les fonctions du système relatives à Clés gérées par le client.

MONITOR USAGE

Permet de surveiller l’utilisation au niveau du compte et les informations historiques des bases de données et entrepôts. Pour plus de détails, voir Permettre aux administrateurs sans compte de surveiller l’historique d’utilisation et de facturation dans la console classique. De plus, il est possible d’afficher les comptes gérés à l’aide de SHOW MANAGED ACCOUNTS.

Doit être accordé par le rôle ACCOUNTADMIN.

OVERRIDE SHARE RESTRICTIONS

Permet de définir la valeur du paramètre SHARE_RESTRICTIONS sur un partage qui permet à un compte de fournisseur Business Critical d’ajouter un compte de consommateur (avec une édition non Business Critical) à un partage.

Pour plus de détails, voir Activation du partage depuis un compte Business Critical vers un compte non Business Critical.

PURCHASE DATA EXCHANGE LISTING

Accorde la possibilité d’acheter une annonce payante.

Voir Payer pour les annonces.

RESOLVE ALL

Permet de résoudre tous les objets dans le compte, ce qui génère la sortie de l’objet dans la commande SHOW <objets> correspondante.

ALL [ PRIVILEGES ]

Accorde tous les privilèges globaux.

Privilèges des utilisateurs

Privilège

Utilisation

MONITOR

Permet d’afficher l’historique de connexion de l’utilisateur.

OWNERSHIP

Donne le contrôle total sur un utilisateur/rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur l’utilisateur.

Privilèges de rôle

Privilège

Utilisation

OWNERSHIP

Donne le contrôle total sur un rôle. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle détenu. Pour hériter des autorisations d’un rôle, ce rôle doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles.

Privilèges du moniteur de ressources

Privilège

Utilisation

MODIFY

Permet de modifier toutes les propriétés d’un moniteur de ressources, par exemple de modifier le quota de crédit mensuel.

MONITOR

Permet d’afficher un moniteur de ressources.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le moniteur de ressources.

Privilèges de l’entrepôt virtuel

Privilège

Utilisation

APPLYBUDGET

Permet d’ajouter ou de supprimer un entrepôt d’un budget.

MODIFY

Permet de modifier toutes les propriétés d’un entrepôt, y compris sa taille. . . Requis pour affecter un entrepôt à un moniteur de ressources. Notez que seul le rôle ACCOUNTADMIN peut affecter des entrepôts aux moniteurs de ressources.

MONITOR

Permet de voir les requêtes actuelles et passées exécutées sur un entrepôt ainsi que les statistiques d’utilisation sur cet entrepôt.

OPERATE

Permet de modifier l’état d’un entrepôt (arrêt, démarrage, suspension, reprise). En outre, permet de voir les requêtes actuelles et passées exécutées sur un entrepôt et d’interrompre toute requête en cours d’exécution.

USAGE

Permet d’utiliser un entrepôt virtuel et, par conséquent, d’exécuter des requêtes sur l’entrepôt. Si l’entrepôt est configuré pour une reprise automatique lorsqu’une instruction SQL (par exemple, une requête) lui est soumise, l’entrepôt effectue automatiquement la reprise et exécute l’instruction.

OWNERSHIP

Donne le contrôle total sur un entrepôt. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur l’entrepôt.

Astuce

L’attribution du privilège global MANAGE WAREHOUSES équivaut à l’attribution des privilèges MODIFY, MONITOR et OPERATE sur tous les entrepôts d’un compte. Vous pouvez accorder ce privilège à un rôle dont l’objet inclut la gestion d’un entrepôt afin de simplifier votre gestion du contrôle d’accès à Snowflake.

Pour plus de détails, reportez-vous à Délégation de la gestion des entrepôts.

Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.

Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.

Privilèges de connexion

Seul le rôle ACCOUNTADMIN possède des connexions. Le privilège OWNERSHIP ne peut pas être accordé à un autre rôle.

Privilèges de volume externe

Privilège

Utilisation

USAGE

Permet de référencer le volume externe lors de l’exécution d’autres commandes qui utilisent le volume externe, et donne la possibilité d’afficher les détails d’un volume externe dans une commande SHOW ou DESCRIBE.

OWNERSHIP

Donne le contrôle total sur un volume externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

Privilèges du groupe de basculement

Privilège

Utilisation

MODIFY

Permet de modifier les propriétés d’un groupe de basculement.

MONITOR

Permet de visualiser les détails d’un groupe de basculement.

OWNERSHIP

Donne le contrôle total sur un groupe de basculement. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

FAILOVER

Permet de promouvoir un groupe de basculement secondaire pour servir de groupe de basculement principal.

REPLICATE

Active l’actualisation d’un groupe de basculement secondaire.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de basculement.

Privilèges du groupe de réplication

Privilège

Utilisation

MODIFY

Permet de modifier les propriétés d’un groupe de réplication.

MONITOR

Permet de visualiser les détails d’un groupe de réplication.

OWNERSHIP

Donne le contrôle total sur un groupe de réplication. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

REPLICATE

Active l’actualisation d’un groupe de réplication secondaire.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le groupe de réplication.

Privilèges d’intégration

Privilège

Utilisation

USAGE

Permet de référencer l’intégration lors de l’exécution d’autres commandes qui utilisent l’intégration. Pour plus d’informations, voir les exigences de contrôle d’accès pour CREATE STAGE et CREATE EXTERNAL ACCESS INTEGRATION.

USE_ANY_ROLE

Permet au client ou à l’utilisateur externe OAuth de changer de rôle uniquement si ce privilège est accordé au client ou à l’utilisateur. Configurez l’intégration de sécurité External OAuth pour utiliser le paramètre EXTERNAL_OAUTH_ANY_ROLE_MODE à l’aide de CREATE SECURITY INTEGRATION ou ALTER SECURITY INTEGRATION.

OWNERSHIP

Permet le contrôle total d’une intégration. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur l’intégration.

Privilèges des politiques d’authentification

Privilège

Utilisation

OWNERSHIP

Transfère la propriété d’une politique d’authentification, ce qui accorde un contrôle total sur la politique d’authentification. Nécessaire pour modifier la plupart des propriétés d’une politique d’authentification.

Privilèges de la règle réseau

Privilège

Utilisation

OWNERSHIP

Permet un contrôle total de la règle réseau.

Privilèges de la politique réseau

Privilège

Utilisation

OWNERSHIP

Permet un contrôle total de la politique réseau. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

Privilèges de politique de paquets

Privilège

Utilisation

OWNERSHIP

Transfère la propriété d’une politique de paquets, ce qui accorde un contrôle total sur la politique de paquets. Nécessaire pour modifier la plupart des propriétés d’une politique de paquets.

USAGE

Accorde la possibilité d’afficher le contenu d’une politique de paquets dans une commande SHOW ou DESCRIBE.

Privilèges de politique de mot de passe

Privilège

Utilisation

OWNERSHIP

Transfère la propriété d’une politique de mot de passe, ce qui accorde un contrôle total sur la politique de mot de passe. Nécessaire pour modifier la plupart des propriétés d’une politique de mot de passe.

Privilèges de politique de session

Privilège

Utilisation

OWNERSHIP

Transfère la propriété d’une politique de session, ce qui accorde un contrôle total sur la politique de session. Nécessaire pour modifier la plupart des propriétés d’une politique de session.

Privilèges Data Exchange

Privilège

Utilisation

IMPORTED PRIVILEGES

Permet à des rôles autres que le propriétaire de gérer un Data Exchange.

Privilèges au niveau de l’annonce

Note

Vous devez utiliser Snowsight pour gérer les privilèges au niveau des annonces. Voir Attribution de privilèges à d’autres rôles.

Privilège

Utilisation

MODIFY

Permet à des rôles autres que celui de propriétaire de modifier une annonce.

USAGE

Permet de consulter une annonce.

OWNERSHIP

Donne le contrôle total sur une annonce. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une annonce.

Privilèges de partage

Privilège

Utilisation

OWNERSHIP

Donne le contrôle total sur un partage. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Ne peut être transféré.

Privilèges de base de données

Privilège

Utilisation

APPLYBUDGET

Permet d’ajouter ou de supprimer une base de données d’un budget.

MODIFY

Permet de modifier tous les paramètres d’une base de données.

MONITOR

Permet d’exécuter la commande DESCRIBE sur la base de données.

USAGE

Permet d’utiliser une base de données, y compris de renvoyer des détails de la base de données dans la sortie de la commande SHOW DATABASES. Des privilèges supplémentaires sont requis pour afficher ou exécuter des actions sur des objets dans une base de données.

REFERENCE_USAGE

Permet d’utiliser un objet (par exemple, une vue sécurisée dans un partage) lorsque l’objet fait référence à un autre objet dans une base de données différente. Accordez le privilège sur l’autre base de données au partage. Vous ne pouvez pas accorder ce privilège sur une base de données à n’importe quel type de rôle. Pour plus de détails, reportez-vous à GRANT <privilège> … TO SHARE et Partage des données de plusieurs bases de données.

CREATE DATABASE ROLE

Permet de créer un nouveau rôle de base de données dans une base de données.

CREATE SCHEMA

Permet de créer un nouveau schéma dans une base de données, y compris de cloner un schéma.

IMPORTED PRIVILEGES

Permet à des rôles autres que le rôle propriétaire d’accéder à une base de données partagée. S’applique uniquement aux bases de données partagées.

OWNERSHIP

Donne un contrôle total de la base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une base de données.

Note

  • Notez que la modification des propriétés d’une base de données nécessite le privilège OWNERSHIP pour la base de données.

    La mise à jour de la propriété COMMENT ne nécessite que le privilège MODIFY pour la base de données.

  • Si n’importe quel privilège de base de données est accordé à un rôle, ce rôle peut effectuer des actions SQL sur des objets d’un schéma utilisant des noms entièrement qualifiés. Le rôle doit disposer du privilège USAGE sur le schéma ainsi que du ou des privilèges requis sur l’objet. Pour faire d’une base de données la base de données active dans une session utilisateur, le privilège USAGE sur la base de données est nécessaire.

  • Un rôle de niveau compte (c’est-à-dire r1) possédant le privilège OWNERSHIP sur la base de données peut accorder le privilège CREATE DATABASE ROLE à un rôle au niveau du compte différent (c’est-à-dire r2). De même, r1 peut également révoquer le privilège CREATE DATABASE ROLE d’un autre rôle au niveau du compte.

    Dans ce scénario, r2 doit disposer du privilège USAGE sur la base de données pour créer un nouveau rôle dans cette base de données.

  • Lorsque vous créez un rôle de base de données, le privilège USAGE sur la base de données qui contient le rôle de base de données est automatiquement accordé au rôle de base de données.

Privilèges de schéma

Privilège

Utilisation

APPLYBUDGET

Permet d’ajouter ou de supprimer un schéma d’un budget.

MODIFY

Permet de modifier les paramètres d’un schéma.

MONITOR

Permet d’exécuter la commande DESCRIBE sur le schéma.

USAGE

Permet d’utiliser un schéma, y compris d’exécuter des commandes pour renvoyer les détails du schéma dans une commande SHOW SCHEMAS. . . Pour exécuter des commandes SHOW <objets> sur des objets (tables, vues, zones de préparation, formats de fichier, séquences, canaux ou fonctions) dans le schéma, un rôle doit disposer d’au moins un privilège accordé à l’objet.

CREATE AUTHENTICATION POLICY

Permet de créer une nouvelle politique d’authentification dans un schéma.

CREATE TABLE

Permet de créer une nouvelle table dans un schéma, y compris de cloner une table. Notez que ce privilège n’est pas nécessaire pour créer des tables temporaires, qui sont ramenées à la session utilisateur en cours et sont automatiquement détruites à la fin de la session.

CREATE DYNAMIC TABLE

Permet de créer une nouvelle table dynamique dans un schéma.

CREATE EXTERNAL TABLE

Permet de créer une nouvelle table externe dans un schéma.

CREATE HYBRID TABLE

Permet de créer une nouvelle table hybride dans un schéma.

CREATE ICEBERG TABLE

Permet de créer une nouvelle table Iceberg dans un schéma.

CREATE VIEW

Permet de créer une nouvelle vue dans un schéma.

CREATE MASKING POLICY

Permet de créer une nouvelle politique de masquage dans un schéma.

CREATE MATERIALIZED VIEW

Permet de créer une nouvelle vue matérialisée dans un schéma.

CREATE NETWORK RULE

Permet de créer une nouvelle règle réseau dans un schéma.

CREATE ROW ACCESS POLICY

Permet de créer une nouvelle politique d’accès aux lignes dans un schéma.

CREATE SECRET

Permet de créer un nouveau secret dans le schéma actuel/spécifié ou remplace un secret existant.

CREATE SESSION POLICY

Permet de créer une nouvelle politique de session dans un schéma.

CREATE STAGE

Permet de créer une nouvelle zone de préparation dans un schéma, y compris de cloner une zone de préparation.

CREATE STREAMLIT

Permet de créer et de visualiser une application Streamlit.

CREATE FILE FORMAT

Permet de créer un nouveau format de fichier dans un schéma, y compris de cloner un format de fichier.

CREATE SEQUENCE

Permet de créer une nouvelle séquence dans un schéma, y compris de cloner une séquence.

CREATE FUNCTION

Permet de créer une nouvelle fonction UDF ou externe dans un schéma.

CREATE PACKAGES POLICY

Permet de créer une nouvelle politique de paquets dans un schéma.

CREATE PASSWORD POLICY

Permet de créer une nouvelle politique de mot de passe dans un schéma.

CREATE PIPE

Permet de créer un nouveau canal dans un schéma.

CREATE STREAM

Permet de créer un nouveau flux dans un schéma, y compris de cloner un flux.

CREATE TAG

Permet de créer une nouvelle clé de balise dans un schéma.

CREATE TASK

Permet de créer une nouvelle tâche dans un schéma, y compris de cloner une tâche.

CREATE PROCEDURE

Permet de créer une nouvelle procédure stockée dans un schéma.

CREATE ALERT

Permet de créer une nouvelle alerte dans un schéma.

CREATE SNOWFLAKE.CORE.BUDGET

Permet de créer un nouveau budget sur un schéma.

CREATE SNOWFLAKE.ML.FORECAST

Permet de créer de nouvelles instances du modèle de prévision sur un schéma.

CREATE SNOWFLAKE.ML.ANOMALY_DETECTION

Permet de créer de nouvelles instances du modèle de détection d’anomalies sur un schéma.

CREATE MODEL

Permet de créer un modèle de machine learning sur un schéma.

ADD SEARCH OPTIMIZATION

Permet l’ajout de l’optimisation de la recherche à une table dans un schéma.

OWNERSHIP

Donne un contrôle total du schéma. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur un schéma.

Note

  • Changer les propriétés d’un schéma, y compris les commentaires, nécessite le privilège OWNERSHIP pour la base de données.

  • L’utilisation d’un schéma nécessite également le privilège USAGE sur la base de données parent.

Privilèges de table

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table et de classifier une table.

INSERT

Permet d’exécuter une commande INSERT sur une table. Permet également d’utiliser la commande ALTER TABLE avec une clause RECLUSTER pour regrouper manuellement une table avec une clé de clustering.

UPDATE

Permet d’exécuter une commande UPDATE sur une table.

TRUNCATE

Permet d’exécuter une commande TRUNCATE TABLE sur une table.

DELETE

Permet d’exécuter une commande DELETE sur une table.

EVOLVE SCHEMA

Permet à l’évolution du schéma de se produire sur une table lors du chargement des données.

REFERENCES

Permet de référencer une table en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également de visualiser la structure d’une table (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

APPLYBUDGET

Permet d’ajouter ou de supprimer une table d’un budget.

OWNERSHIP

Permet un contrôle total de la table. Requis pour modifier la plupart des propriétés d’une table, à l’exception du reclustering. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une table.

Note

  • Effectuer des opérations sur une table nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.

Privilèges des tables dynamiques

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table dynamique.

OPERATE

Permet de modifier les propriétés d’une table dynamique.

Si vous ne disposez pas de ce privilège sur une table dynamique, vous ne pouvez pas utiliser la commande ALTER DYNAMIC TABLE, qui vous permet d’effectuer les opérations suivantes :

MONITOR

Permet d’accéder aux métadonnées d’une table dynamique via des commandes et fonctions Snowsight et SQL.

Si vous ne disposez pas du privilège MONITOR sur une table dynamique, vous ne pouvez pas effectuer les opérations suivantes :

  • Appeler la fonction de table DYNAMIC_TABLE_GRAPH_HISTORY pour afficher l’historique des graphiques de cette table dynamique.

  • Appeler la fonction de table DYNAMIC_TABLE_REFRESH_HISTORY pour afficher l’historique d’actualisation de cette table dynamique.

  • Afficher cette table dynamique dans la sortie de la commande SHOW DYNAMIC TABLES.

  • Afficher les métadonnées de cette table dynamique dans la sortie de la commande DESCRIBE DYNAMIC TABLE ou sur la page de détails des tables dynamiques Snowsight.

    • Si vous disposez du privilège MONITOR, mais pas du privilège SELECT, les champs suivants sont masqués : text, warehouse, scheduling_state, last_suspended_on et suspend_reason_code (uniquement masqués dans Snowsight).

OWNERSHIP

Donne un contrôle total de la table dynamique. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

Obligatoire pour supprimer une table dynamique.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur la table dynamique.

Privilèges de table d’événements

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table d’événements.

INSERT

En conjonction avec OWNERSHIP du compte, permet d’associer un compte à une table d’événements.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur la table d’événements.

OWNERSHIP

Transfère la propriété d’une table d’événements, ce qui confère un contrôle total sur la table d’événements. . . Nécessaire pour modifier la table d’événements. . . En conjonction avec OWNERSHIP du compte, permet d’associer un compte à une table d’événements.

Note

Effectuer des opérations sur une table d’événements nécessite le privilège USAGE sur la base de données et le schéma parents.

Privilèges de table externe

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table externe et de classifier une table externe.

REFERENCES

Permet de voir la structure d’une table externe (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

OWNERSHIP

Confère un contrôle total de la table externe ; nécessaire pour actualiser une table externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, à l’exception de OWNERSHIP, sur une table externe.

Note

Effectuer des opérations sur une table externe nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges des tables hybrides

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table hybride.

INSERT

Permet d’exécuter une commande INSERT sur une table hybride.

UPDATE

Permet d’exécuter une commande UPDATE sur une table hybride.

TRUNCATE

Permet d’exécuter une commande TRUNCATE TABLE sur une table hybride.

DELETE

Permet d’exécuter une commande DELETE sur une table hybride.

REFERENCES

Permet de référencer une table hybride en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également d’afficher la structure d’une table hybride (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

APPLYBUDGET

Permet d’ajouter une table hybride à un budget ou de l’en supprimer.

OWNERSHIP

Accorde un contrôle total sur la table hybride. Obligatoire pour modifier la plupart des propriétés d’une table hybride. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une table hybride.

Note

  • Pour effectuer des opérations sur une table hybride, il convient également de disposer du privilège USAGE sur la base de données et le schéma parents.

  • Les privilèges suivants n’ont aucun effet lorsqu’ils sont accordés sur une table hybride qui utilise une intégration de catalogue : INSERT, UPDATE, DELETE. Les tables hybrides qui utilisent une intégration de catalogue sont en lecture seule.

Privilèges de table Iceberg

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une table Iceberg.

INSERT

Permet d’exécuter une commande INSERT sur une table Iceberg.

UPDATE

Permet d’exécuter une commande UPDATE sur une table Iceberg.

TRUNCATE

Permet d’exécuter une commande TRUNCATE TABLE sur une table Iceberg.

DELETE

Permet d’exécuter une commande DELETE sur une table Iceberg.

REFERENCES

Permet de référencer une table Iceberg en tant que table de clé unique/primaire pour une contrainte de clé étrangère. Permet également de voir la structure d’une table Iceberg (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

APPLYBUDGET

Permet d’ajouter une table Iceberg à un budget ou de la supprimer d’un budget.

OWNERSHIP

Donne un contrôle total sur la table Iceberg. Nécessaire pour modifier la plupart des propriétés d’une table Iceberg. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, à l’exception de OWNERSHIP, sur une table Iceberg.

Note

  • Pour pouvoir effectuer des opérations sur une table Iceberg, il convient également de disposer du privilège USAGE sur la base de données et le schéma parents.

  • Les privilèges suivants n’ont aucun effet lorsqu’ils sont accordés sur une table Iceberg qui utilise une intégration de catalogue : INSERT, UPDATE, DELETE. Les tables Iceberg qui utilisent une intégration de catalogue sont en lecture seule.

Affichage des privilèges

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une vue et de classifier une vue. . . Ce privilège est suffisant pour interroger une vue ; le privilège SELECT sur les objets à partir desquels une vue est créée n’est pas obligatoire.

REFERENCES

Permet de visualiser la structure d’une vue (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

OWNERSHIP

Permet un contrôle total de la vue. Requis pour modifier une vue. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une vue.

Note

  • Les privilèges DML de la table tels que INSERT, UPDATE et DELETE peuvent être attribués à des vues ; toutefois, comme les vues sont en lecture seule, ces privilèges n’ont aucun effet.

  • Effectuer des opérations sur une vue nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.

Privilèges des vues matérialisées

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur une vue et de classifier une vue matérialisée. . . Notez que ce privilège est suffisant pour interroger une vue. Le privilège SELECT sur les objets sous-jacents d’une vue n’est pas nécessaire.

REFERENCES

Permet de visualiser la structure d’une vue (mais pas les données) via la commande DESCRIBE ou SHOW ou en interrogeant Information Schema.

APPLYBUDGET

Permet d’ajouter ou de supprimer une vue matérialisée d’un budget.

OWNERSHIP

Permet un contrôle total de la vue. Requis pour modifier une vue. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur une vue.

Note

  • Les privilèges DML de la table tels que INSERT, UPDATE et DELETE peuvent être attribués à des vues ; toutefois, comme les vues sont en lecture seule, ces privilèges n’ont aucun effet.

  • Effectuer des opérations sur une vue nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.

Privilèges de zone de préparation

Privilège

Utilisation

USAGE

Active l’utilisation d’un objet de zones de préparation externes dans une instruction SQL. Ne s’applique pas aux zones de préparation internes.

READ

Permet d’effectuer toute opération nécessitant une lecture à partir d’une zone de préparation interne (GET, LIST, COPY INTO <table>, etc.). Ne s’applique pas aux zones de préparation externes.

WRITE

Permet d’effectuer toute opération nécessitant une écriture vers une zone de préparation interne (PUT, REMOVE, COPY INTO <emplacement>, etc.). Ne s’applique pas aux zones de préparation externes.

OWNERSHIP

Permet un contrôle total de la zone de préparation. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges applicables, sauf OWNERSHIP, sur la zone de préparation (interne ou externe).

Note

  • Lors de l’octroi des privilèges READ et WRITE pour une zone de préparation interne, le privilège READ doit être accordé avant ou en même temps que le privilège WRITE.

  • Lors de la révocation des privilèges READ et WRITE pour une zone de préparation interne, le privilège WRITE doit être révoqué avant ou en même temps que le privilège READ.

  • Effectuer des opérations une zone de préparation nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.

Privilèges de format de fichier

Privilège

Utilisation

USAGE

Permet d’utiliser un format de fichier dans une instruction SQL.

OWNERSHIP

Permet un contrôle total du format du fichier. Nécessaire pour modifier un format de fichier. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le format de fichier.

Note

  • Effectuer des opérations sur des formats de fichier nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Un rôle doit se voir accorder le privilège OWNERSHIP ou en hériter sur l’objet pour créer un objet temporaire portant le même nom que l’objet qui existe déjà dans le schéma.

Privilèges de canal

Les objets canal sont créés et gérés pour charger des données à l’aide de Snowpipe.

Privilège

Utilisation

APPLYBUDGET

Permet d’ajouter ou de supprimer un canal d’un budget.

MONITOR

Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES).

OPERATE

Permet de visualiser les détails du canal (en utilisant DESCRIBE PIPE ou SHOW PIPES), de suspendre ou de reprendre le canal et de l’actualiser.

OWNERSHIP

Permet un contrôle total du canal. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le canal.

Note

Effectuer des opérations sur des canaux nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges de rôle de base de données

Privilège

Utilisation

OWNERSHIP

Donne le contrôle total sur un rôle de base de données. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Notez que le rôle propriétaire n’hérite pas des autorisations accordées au rôle de base de données détenu. Pour hériter des autorisations d’un rôle de base de données, ce rôle de base de données doit être accordé à un autre rôle, créant ainsi une relation parent-enfant dans une hiérarchie de rôles.

Privilèges de flux

Privilège

Utilisation

SELECT

Permet d’exécuter une instruction SELECT sur un flux.

OWNERSHIP

Permet un contrôle total du flux. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur le flux.

Privilèges de tâches

Privilège

Utilisation

APPLYBUDGET

Permet d’ajouter ou de supprimer une tâche d’un budget.

MONITOR

Permet d’afficher les détails de la tâche (à l’aide de DESCRIBE TASK ou SHOW TASKS).

OPERATE

Permet de voir les détails de la tâche (à l’aide de DESCRIBE TASK ou de SHOW TASKS) et de reprendre ou de suspendre la tâche.

OWNERSHIP

Permet un contrôle total de la tâche. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur la tâche.

Privilèges de secrets

Privilège

Utilisation

READ

Permet à une UDF ou à une procédure stockée qui utilise un secret d’accéder aux identifiants de connexion stockés dans le secret. Pour plus de détails, voir Création d’un secret pour représenter les identifiants de connexion.

USAGE

Permet d’utiliser un secret.

OWNERSHIP

Transfère la propriété d’un secret, ce qui confère un contrôle total sur le secret. Nécessaire pour modifier la plupart des propriétés d’un secret ou supprimer un secret du système.

Privilèges des politiques d’agrégation

Privilège

Utilisation

APPLY

Permet d’exécuter les opérations d’annulation et de définition pour une politique d’agrégation sur une table ou une vue.

Notez que l’octroi du privilège global APPLY AGGREGATION POLICY (c’est-à-dire APPLY AGGREGATION POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues.

OWNERSHIP

Accorde un contrôle total sur la politique d’agrégation. Nécessaire pour modifier la plupart des propriétés d’une politique d’agrégation. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Pour pouvoir effectuer des opérations sur une politique d’agrégation, il convient également de disposer du privilège USAGE sur la base de données et le schéma parents.

Privilèges de politique de masquage

Privilège

Utilisation

APPLY

Permet d’exécuter les opérations non définies et définies pour une politique de masquage sur une colonne.

Notez que l’octroi du privilège global APPLY MASKING POLICY (c’est-à-dire APPLY MASKING POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues.

Pour des exemples de syntaxe, voir Privilèges de politique de masquage.

OWNERSHIP

Permet un contrôle total de la politique de masquage. Nécessaire pour modifier la plupart des propriétés d’une politique de masquage. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Effectuer des opérations sur une politique de masquage nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges des politiques de projection

Privilège

Utilisation

APPLY

Permet d’exécuter les opérations d’annulation et de définition pour une politique de projection sur une colonne.

Notez que l’octroi du privilège global APPLY PROJECTION POLICY (c’est-à-dire APPLY PROJECTION POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues.

OWNERSHIP

Accorde un contrôle total sur la politique de projection. Nécessaire pour modifier la plupart des propriétés d’une politique de projection. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Pour pouvoir effectuer des opérations sur une politique de projection, il convient également disposer du privilège USAGE sur la base de données et le schéma parents.

Privilèges de la politique d’accès aux lignes

Privilège

Utilisation

APPLY

Permet d’exécuter des opérations d’ajout et de destruction pour la politique d’accès aux lignes sur une table ou une vue.

Notez que l’octroi du privilège global APPLY ROW ACCESS POLICY (c’est-à-dire APPLY ROW ACCESS POLICY sur ACCOUNT) permet d’exécuter l’opération DESCRIBE sur des tables et des vues.

Pour des exemples de syntaxe, voir Résumé des commandes, des opérations et des privilèges DDL.

OWNERSHIP

Permet un contrôle total de la politique d’accès aux lignes. Nécessaire pour modifier la plupart des propriétés d’une politique d’accès aux lignes. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Effectuer des opérations sur une politique d’accès aux lignes nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges des balises

Privilège

Utilisation

APPLY

Permet d’exécuter des opérations d’ajout et de destruction de la balise sur un objet Snowflake.

READ

Permet à un consommateur de partage de données de voir les attributions de balises partagées à l’aide d’une commande SHOW TAGS. Le fournisseur de partage de données accorde ce privilège à un rôle de base de données ou directement au partage.

OWNERSHIP

Donne un contrôle total de la balise. Nécessaire pour modifier la plupart des propriétés d’une balise. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Les balises sont stockées au niveau du schéma.

Effectuer des opérations sur une balise nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges de séquences

Privilège

Utilisation

USAGE

Permet d’utiliser une séquence dans une instruction SQL.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur la séquence.

OWNERSHIP

Confère un contrôle total sur la séquence ; nécessaire pour modifier la séquence. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

Effectuer des opérations sur une séquence nécessite également le privilège USAGE sur la base de données et le schéma parents.

Privilèges des procédures stockées

Privilège

Utilisation

USAGE

Permet d’appeler une procédure stockée.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur la procédure stockée.

OWNERSHIP

Confère un contrôle total de la procédure stockée ; nécessaire pour modifier la procédure stockée. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

  • Effectuer des opérations sur une procédure stockée nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Si une procédure stockée fonctionne avec les droits de l’appelant, l’utilisateur qui appelle la procédure stockée doit avoir des privilèges sur les objets de la base de données (par exemple, des tables) auxquels la procédure stockée accède. Pour plus de détails, voir Understanding Caller’s Rights and Owner’s Rights Stored Procedures.

Privilèges des fonctions définies par l’utilisateur (UDF) et des fonctions externes

Privilège

Utilisation

USAGE

Permet d’appeler une UDF ou une fonction externe.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur l’UDF ou la fonction externe.

OWNERSHIP

Confère un contrôle total de l’UDF ou de la fonction externe ; nécessaire pour modifier l’UDF ou la fonction externe. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Note

  • Effectuer des opérations sur une UDF ou une fonction externe nécessite également le privilège USAGE sur la base de données et le schéma parents.

  • Le propriétaire d’une UDF doit avoir des privilèges sur les objets auxquels la fonction accède ; l’utilisateur qui appelle une UDF n’a pas besoin de ces privilèges. Pour plus de détails, voir Exigences en matière de sécurité et de privilège pour les UDFs SQL.

  • Le propriétaire d’une fonction externe doit avoir le privilège USAGE sur l’objet d’intégration API associé à la fonction externe. Pour plus de détails, voir Contrôle d’accès dans la documentation sur les fonctions externes.

Privilèges d’alerte

Privilège

Utilisation

MONITOR

Permet d’afficher les détails de l’alerte (à l’aide de DESCRIBE ALERT ou SHOW ALERTS).

OPERATE

Permet de voir les détails de l’alerte (à l’aide de DESCRIBE ALERT ou de SHOW ALERTS) et de reprendre ou de suspendre la tâche (à l’aide de ALTER ALERT).

OWNERSHIP

Donne un contrôle total sur l’alerte. Un seul rôle peut détenir ce privilège sur un objet spécifique à la fois. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Accorde tous les privilèges, sauf OWNERSHIP, sur l’alerte.

Privilèges de pool de calcul

Privilège

Utilisation

OPERATE

Permet de suspendre ou de reprendre un pool de calcul.

MODIFY

Permet de modifier les propriétés du pool de calcul et des paramètres.

USAGE

Permet l’exécution d’un service ou d’une tâche. Permet de communiquer avec le service (créer une fonction de service, utiliser des points de terminaison publics et se connecter à partir d’un autre service).

MONITOR

Permet d’afficher l’utilisation du pool de calcul (nombre de services et de tâches en cours d’exécution), les propriétés et la liste des pools de calcul dans le compte pour lequel le rôle dispose de privilèges d’accès.

OWNERSHIP

Donne un contrôle total sur le pool de calcul. Un seul rôle peut détenir ce privilège sur un objet de pool de calcul spécifique.

Privilèges du référentiel d’images

Privilège

Utilisation

OWNERSHIP

Permet un contrôle total sur le référentiel d’images. Le rôle doté de ce privilège peut également supprimer un référentiel d’images.

READ

Permet de répertorier et de télécharger des images à partir d’un référentiel d’images.

WRITE

Permet de répertorier et de télécharger des images à partir d’un dépôt. Permet également de pousser des images dans le référentiel.

Privilèges de service

Privilège

Utilisation

OPERATE

Permet de suspendre ou de reprendre un service, de le mettre à niveau et d’en modifier les propriétés.

OWNERSHIP

Permet un contrôle total du service. Le rôle disposant de ce privilège peut également supprimer un service d’un schéma.

MONITOR

Permet de surveiller un service et d’obtenir son statut d’exécution.

USAGE

Permet d’établir la liste des points de terminaison d’un service.

Privilèges de tâche

L’utilisateur qui a créé une tâche peut contrôler et obtenir le statut d’exécution de la tâche. Les tâches ne permettent pas d’accorder des privilèges à d’autres utilisateurs ou rôles.

Privilèges Streamlit

Privilège

Utilisation

USAGE

Permet de visualiser et d’exécuter une application Streamlit.

Privilèges des modèles

Privilège

Utilisation

USAGE

Permet d’afficher des informations sur un modèle et d’invoquer ses méthodes.