Esquema:

ACCOUNT_USAGE

Exibição GRANTS_TO_ROLES

Esta exibição do Account Usage pode ser usada para consultar os privilégios de controle de acesso da consulta concedidos a uma função.

Colunas

Nome da coluna

Tipo de dados

Descrição

CREATED_ON

TIMESTAMP_LTZ

Data e hora (no fuso horário UTC) em que o privilégio é concedido à função.

MODIFIED_ON

TIMESTAMP_LTZ

Data e hora (no fuso horário UTC) em que o privilégio é atualizado.

PRIVILEGE

VARCHAR

Nome do privilégio adicionado à função.

GRANTED_ON

VARCHAR

Tipo de objeto, como TABLE ou DATABASE, no qual o privilégio é concedido.

NAME

VARCHAR

Nome do objeto no qual o privilégio é concedido.

TABLE_CATALOG

VARCHAR

Nome do banco de dados da tabela atual ou nome do banco de dados que armazena a instância de uma classe.

TABLE_SCHEMA

VARCHAR

Nome do esquema da tabela atual ou nome do esquema que armazena a instância de uma classe.

GRANTED_TO

VARCHAR

ROLE, DATABASE_ROLE, INSTANCE_ROLE, APPLICATION_ROLE ou APPLICATION.

GRANTEE_NAME

VARCHAR

Identificador da função do destinatário, a função a qual o privilégio é concedido ou o nome do objeto Snowflake Native App.

GRANT_OPTION

BOOLEAN

TRUE / FALSE. Se definido como TRUE, a função receptora pode conceder o privilégio a outras funções.

GRANTED_BY

VARCHAR

Indica a função que autorizou a concessão de privilégios ao beneficiário. GRANTED_BY exibe vazio para privilégios concedidos pela função de sistema SNOWFLAKE.

DELETED_ON

TIMESTAMP_LTZ

Data e hora (no fuso horário UTC) em que o privilégio é revogado.

GRANTED_BY_ROLE_TYPE

VARCHAR

APPLICATION, ROLE ou DATABASE_ROLE.

OBJECT_INSTANCE

VARCHAR

O nome completo do objeto que contém a função de instância para uma classe específica no formato database.schema.class.

Notas de uso

  • A latência da visualização pode ser de até 120 minutos (2 horas).

  • A exibição não contém concessões para funções de banco de dados de bancos de dados criados a partir de compartilhamentos.

  • A exibição não contém concessões em objetos descartados.

  • A exibição é atualizada periodicamente para incluir suporte a novos objetos. É possível usar um comando SHOW GRANTS TO ROLE para listar todas as concessões para uma função específica.

  • A coluna GRANTED_BY indica a função que autorizou a concessão de um privilégio ao beneficiário. A função de autorização é conhecida como concessor.

    Quando você concede privilégios sobre um objeto a uma função usando GRANT <privilégios>, as seguintes regras de autorização determinam qual função é listada como concessor do privilégio:

    1. Se uma função ativa é o proprietário do objeto (ou seja, tem o privilégio OWNERSHIP sobre o objeto), essa função é o concessor.

    2. Se uma função ativa tiver a permissão especificada com a opção de concessão autorizada (ou seja, o privilégio foi concedido à função ativa com a cláusula WITH GRANT OPTION do GRANT <privilégios>, em que <nome_da_função> é uma das funções ativas). Se assim for, a função que detém o privilégio com a opção de concessão autorizada é a função do concessor. Observe que se vários funções ativos cumprem este critério, não é determinístico qual dos funções se torna a função do concessor.

    3. Se um papel ativo detém o privilégio global MANAGE GRANTS, a função concessor é o proprietário do objeto, não a função que detinha o privilégio MANAGE GRANTS. Ou seja, o privilégio MANAGE GRANTS permite que uma função faça o papel de proprietário do objeto para fins de concessão de privilégios sobre aquele objeto.

    A coluna GRANTED_BY é exibida vazia para privilégios concedidos pela função Snowflake SYSTEM. Certas operações internas são realizadas com essa função. As concessões de privilégios autorizadas pela função SYSTEM não podem ser modificadas por clientes.