ACCOUNTADMIN 외 역할이 데이터 공유 작업을 수행할 수 있도록 설정

이 항목에는 공유와 관련된 SQL 작업을 수행하는 데 필요한 최소 권한이 나와 있습니다.

기본적으로, 공유를 만들고 관리하는 데 필요한 권한은 ACCOUNTADMIN 역할에만 부여되므로 계정 관리자만 이러한 태스크를 수행할 수 있습니다. 그러나 이러한 권한은 다른 역할에 부여되어 태스크를 계정의 다른 사용자에게 위임할 수 있습니다.

지정된 권한 세트로 사용자 지정 역할을 만드는 방법에 대한 지침은 사용자 지정 역할 만들기 섹션을 참조하십시오.

보안 오브젝트 에 대해 SQL 작업을 수행하기 위한 역할과 권한 부여에 대한 일반적인 정보는 Snowflake에서의 액세스 제어 섹션을 참조하십시오.

참고

계정의 다른 사용자에게 공유 권한을 부여하는 경우 다른 사용자의 사용자 프로필에 이름, 성, 이메일 주소가 포함되어 있는지 확인하십시오. Snowsight 에서 사용자 프로필을 수정하려면 사용자 세부 정보 및 기본 설정 지정하기 섹션을 참조하십시오.

데이터 공급자

데이터 공급자는 다음 옵션 중 하나 를 선택하여 공유에 오브젝트를 추가할 수 있습니다.

  • 옵션 1: 공유할 데이터베이스에 데이터베이스 역할을 만듭니다. 데이터베이스의 오브젝트에 대한 권한을 데이터베이스 역할에 부여합니다. 데이터베이스 역할을 공유에 부여합니다.

  • 옵션 2: 데이터베이스와 데이터베이스 오브젝트에 대한 권한을 공유에 직접 부여합니다.

이러한 옵션에 대한 자세한 내용은 데이터베이스 오브젝트 공유 방법 선택하기 섹션을 참조하십시오.

데이터 공급자 또는 데이터 컨슈머 계정에서 공유를 만들고 관리하는 데 필요한 최소 권한은 사용된 옵션에 따라 다릅니다.

옵션 1

동작

권한

오브젝트

참고

공유를 만듭니다.

CREATE SHARE

계정

기본적으로 ACCOUNTADMIN 역할만 이 권한을 가집니다. 필요에 따라 추가 역할에 권한을 부여할 수 있습니다.

데이터베이스에서 데이터베이스 역할을 생성합니다.

CREATE DATABASE ROLE

데이터베이스

기본적으로 데이터베이스 소유자 역할(즉, 데이터베이스에 대한 OWNERSHIP 권한이 있는 역할)만 이 권한을 가집니다. 필요에 따라 추가 역할에 권한을 부여할 수 있습니다.

옵션 2

동작

권한

오브젝트

참고

공유를 만듭니다.

CREATE SHARE

계정

기본적으로 ACCOUNTADMIN 역할만 이 권한을 가집니다. 필요에 따라 추가 역할에 권한을 부여할 수 있습니다.

오브젝트에 대한 권한을 공유에 부여하거나 공유에서 취소합니다.

OWNERSHIP

공유

또한 최소한 이 역할은 권한 부여 옵션이 있는 데이터베이스 오브젝트에 대해 다음 권한이 있어야 합니다.

  • 데이터베이스에 대한 USAGE 권한

  • 스키마에 대한 USAGE 권한

  • 모든 테이블, 외부 테이블, 보안 뷰 또는 보안 구체화된 뷰에 대한 SELECT 권한

  • 모든 보안 UDF에 대한 USAGE 권한

스키마의 모든 오브젝트에 대해 작업하려면 상위 데이터베이스 및 스키마에 대한 USAGE 권한도 필요합니다.

주의

CREATE SHARE를 다른 역할에 부여하면 공유를 보다 유연하게 관리할 수 있지만, 이러한 역할을 보유한 사용자는 자신이 소유한(또는 필요한 권한을 보유한) 오브젝트를 다른 계정에 노출할 수도 있습니다. 이는 민감한 데이터나 독점 데이터가 포함된 계정에서 데이터를 공유하는 경우 특히 중요합니다.

CREATE SHARE 권한을 다른 사용자에게 부여하기 전 이를 고려하십시오.

공유에서 오브젝트에 대한 액세스 차단

공유를 소유하는 역할 또는 오브젝트를 소유하는 역할은 공유에서 오브젝트에 대한 액세스를 차단할 수 있습니다.

  • 공유를 소유하는 역할의 경우, 공유에서 오브젝트에 대한 권한을 취소하여 액세스를 차단할 수 있습니다.

  • 공유를 소유하지 않지만 공유의 오브젝트를 소유하는 역할의 경우, 공유 소유자의 오브젝트에 대한 CASCADE를 사용하여 USAGE 또는 SELECT 권한을 취소하여 액세스를 차단할 수 있습니다.

참고

공유의 소유권 및 공유의 오브젝트는 역할에 대한 직접 권한 부여를 통해 수행되거나 역할 계층의 하위 수준 역할로부터 상속될 수 있습니다. 자세한 내용은 역할 계층 구조 및 권한 상속 섹션을 참조하십시오.

또한, 동일한 역할이 공유 및 공유의 오브젝트를 소유하는 것도 가능합니다.

데이터 컨슈머

컨슈머 계정에서 전역 IMPORT SHARE 권한을 통해 계정과 공유된 인바운드 공유를 볼 수 있습니다. 또한 이 권한을 사용해 인바운드 공유에서 데이터베이스를 생성할 수 있고, 이 작업에서는 전역 CREATE DATABASE 권한도 필요합니다.

IMPORT SHARE 권한

IMPORT SHARE 권한이 역할에 부여되면 해당 역할을 보유한 모든 사용자가 다음 작업을 수행할 수 있습니다.

  • 모든 INBOUND 공유(공급자 계정에서 공유) 보기 및 공유를 위한 데이터베이스 생성.

  • 역할이 소유한 모든 OUTBOUND 공유 보기.

같은 역할에 전역 CREATE DATABASE 권한이 있는 경우 그 역할은 공유에서 데이터베이스를 만들 수도 있습니다.

권한을 다른 역할에 부여하기

IMPORT SHARE 권한을 컨슈머 계정의 ACCOUNTADMIN 외 역할에 부여하려면, ACCOUNTADMIN 역할 및 GRANT <권한> 명령을 사용합니다.

예를 들어, SYSADMIN 역할에 권한을 부여하려면:

USE ROLE ACCOUNTADMIN;

GRANT IMPORT SHARE ON ACCOUNT TO SYSADMIN;
맨 위로 이동