Permissão para que um aplicativo crie recursos na conta do consumidor¶

Visão geral da concessão automatizada de privilégios¶

Muitas vezes, um aplicativo precisa criar ou acessar objetos ou executar outras ações em uma conta de consumidor. Isso requer que o consumidor conceda os privilégios necessários que permitem que o aplicativo execute essas ações.

Os privilégios automáticos permitem que os provedores especifiquem os privilégios necessários no arquivo de manifesto de um aplicativo. Quando o consumidor instala ou atualiza um aplicativo, os privilégios especificados no manifesto são concedidos automaticamente ao aplicativo pelo Snowflake.

Considerações de segurança ao usar a concessão automatizada de privilégios¶

Quando um provedor configura um aplicativo para usar manifest_version: 2 no arquivo de manifesto, a concessão automática de privilégios está habilitada. Por padrão, isso permite que o Snowflake conceda automaticamente certos privilégios ao aplicativo. Para informações sobre os privilégios que podem ser concedidos automaticamente ao aplicativo, consulte Privilégios concedidos pela concessão automatizada de privilégios.

Durante a instalação, Snowsight exibe uma notificação sobre os privilégios solicitados pelo aplicativo. Quando um consumidor instala um aplicativo que usa a concessão automática de privilégios, ele concorda que o aplicativo pode receber esses privilégios durante atualizações sem exigir consentimento adicional.

Os consumidores podem criar políticas de recursos que restringem os objetos que um aplicativo pode criar. Para mais informações sobre a criação de políticas de recursos, consulte Usar políticas de recursos para limitar os objetos que um aplicativo pode criar.

Privilégios concedidos pela concessão automatizada de privilégios¶

Ao usar a concessão automatizada de privilégios, um provedor pode adicionar os seguintes privilégios ao arquivo de manifesto do aplicativo:

• EXECUTE TASK

• EXECUTE MANAGED TASK

• CREATE WAREHOUSE

• CREATE COMPUTE POOL

• BIND SERVICE ENDPOINT

• CREATE DATABASE

• CREATE EXTERNAL ACCESS INTEGRATION

• CREATE SECURITY INTEGRATION

Restrições na CREATE EXTERNAL ACCESS INTEGRATION e CREATE SECURITY INTEGRATION¶

Os privilégios CREATE EXTERNAL ACCESS INTEGRATION e CREATE SECURITY INTEGRATION permitem que um aplicativo crie os objetos na conta do consumidor que são necessários para se conectar a um ponto de extremidade externo. No entanto, para permitir conexões com um ponto de extremidade externo, os consumidores também devem aprovar a especificação do aplicativo, que permite que o aplicativo se conecte a hosts externos. Se um consumidor não aprovar a especificação do aplicativo, a conexão externa permanecerá desabilitada.

Para obter mais informações, consulte Aprovar conexões com recursos externos usando especificações de aplicativo.