Privilégios de controle de acesso¶
Este tópico descreve os privilégios que estão disponíveis no modelo de controle de acesso do Snowflake. Os privilégios são concedidos a funções, e as funções são concedidas a usuários para especificar as operações que os usuários podem realizar nos objetos do sistema.
Neste tópico:
Todos os privilégios (em ordem alfabética)¶
Os seguintes privilégios estão disponíveis no modelo de controle de acesso do Snowflake. O significado de cada privilégio varia dependendo do tipo de objeto ao qual é aplicado, e nem todos os objetos suportam todos os privilégios:
Privilégio |
Tipo de objeto |
Descrição |
|---|---|---|
ALL [ PRIVILEGES ] |
Todos |
Concede todos os privilégios para o tipo de objeto especificado. |
APPLY MASKING POLICY |
Global |
Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições. |
APPLY PASSWORD POLICY |
Global |
Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake. |
APPLY ROW ACCESS POLICY |
Global |
Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições. |
APPLY SESSION POLICY |
Global |
Permite definir ou remover uma política de sessão em uma conta ou usuário. |
APPLY TAG |
Global |
Permite adicionar ou descartar uma tag em um objeto Snowflake. |
ATTACH POLICY |
Global |
Permite ativar uma política de redes associando-a à sua conta. |
CREATE <Tipo_de_objeto> |
Global, banco de dados, esquema |
Permite criar um objeto de <tipo_objeto> (por exemplo, CREATE TABLE permite criar uma tabela dentro de um esquema). |
DELETE |
Tabela |
Permite executar um comando DELETE na tabela. |
EXECUTE ALERT |
Global |
Concede a capacidade de executar alertas de propriedade da função. |
EXECUTE MANAGED TASK |
Global |
Permite criar tarefas que dependem de recursos computacionais gerenciados pelo Snowflake (modelo computacional sem servidor). Somente necessário para criar tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada. |
EXECUTE TASK |
Global |
Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK. |
FAILOVER |
Grupo de failover |
Permite promover um grupo secundário de failover para servir como grupo primário de failover. |
IMPORT SHARE |
Global |
Aplica-se a consumidores de dados. Permite exibir os compartilhamentos com sua conta. Também permite a criação bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE. |
OVERRIDE SHARE RESTRICTIONS |
Global |
Permite definir um valor para o parâmetro SHARE_RESTRICTIONS que habilita uma conta de provedor Business Critical a adicionar uma conta de consumidor (com edição diferente de Business Critical) a um compartilhamento. Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para outro tipo de conta. |
IMPORTED PRIVILEGES |
Banco de dados, troca de dados |
Permite a habilitação de funções diferentes daquela de proprietário a acessar um banco de dados compartilhado ou gerenciar um Snowflake Marketplace/troca de dados. |
INSERT |
Tabela |
Permite executar um comando INSERT na tabela. |
MANAGE GRANTS |
Global |
Permite conceder ou revogar privilégios para qualquer objeto como se a função invocadora fosse o proprietário do objeto. |
MODIFY |
Monitor de recursos, warehouse, listagem de troca de dados, banco de dados, esquema |
Permite alterar as configurações ou propriedades de um objeto (por exemplo, em um warehouse virtual, fornece a capacidade de alterar o tamanho de um warehouse virtual). |
MONITOR |
Usuário, monitor de recursos, warehouse, banco de dados, esquema, tarefa, grupo de failover, grupo de replicação |
Permite ver detalhes dentro de um objeto (por exemplo, consultas e uso dentro de um warehouse). |
MONITOR EXECUTION |
Global |
Permite monitorar canais (Snowpipe) ou tarefas na conta. |
MONITOR USAGE |
Global |
Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS. |
OPERATE |
Warehouse, tarefa |
Permite iniciar, parar, suspender ou retomar um warehouse virtual. Permite suspender ou retomar uma tarefa. |
OWNERSHIP |
Todos |
Permite descartar, alterar e conceder ou revogar acesso a um objeto. Requerido para renomear um objeto. OWNERSHIP é um privilégio especial para um objeto automaticamente concedido à função que criou o objeto, mas também pode ser transferido usando o comando GRANT OWNERSHIP para uma função diferente pela função proprietária (ou qualquer função com o privilégio MANAGE GRANTS). |
READ |
Estágio (somente interno) |
Permite realizar qualquer operação que requeira leitura de um estágio interno (GET, LIST, COPY INTO <tabela> etc.). |
REFERENCES |
Tabela, tabela externa, exibição |
Permite visualizar a estrutura de um objeto (mas não os dados). . . Para tabelas, o privilégio também permite referenciar o objeto como a tabela de chave única/primária para uma restrição de chave estrangeira. |
REPLICATE |
Grupo de replicação, grupo de failover |
Permite atualizar um grupo de replicação ou um grupo de failover secundário. |
SELECT |
Tabela, tabela externa, exibição, fluxo |
Permite executar uma instrução SELECT na tabela/exibição. |
TRUNCATE |
Tabela |
Permite executar um comando TRUNCATE TABLE na tabela. |
UPDATE |
Tabela |
Permite executar um comando UPDATE na tabela. |
USAGE |
Warehouse, listagem de troca de dados, integração, banco de dados, esquema, estágio (apenas externo), formato do arquivo, sequência, procedimento armazenado, função definida pelo usuário, função externa |
Permite executar um comando USE <objeto> no objeto. Também permite executar um comando SHOW <objetos> no objeto. |
WRITE |
Estágio (somente interno) |
Permite realizar quaisquer operações que exijam gravar em um estágio interno (PUT, REMOVE, COPY INTO <local> etc.). |
As demais seções deste tópico descrevem os privilégios específicos disponíveis para cada tipo de objeto e seu uso.
Privilégios globais¶
Privilégio |
Uso |
Notas |
|---|---|---|
APPLY MASKING POLICY |
Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag. |
Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições. |
APPLY ROW ACCESS POLICY |
Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição. |
Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições. |
APPLY PASSWORD POLICY |
Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake. |
|
APPLY SESSION POLICY |
Permite definir ou remover uma política de sessão em uma conta ou usuário. |
|
ATTACH POLICY |
Permite ativar uma política de redes associando-a à sua conta. |
|
CREATE ACCOUNT |
Permite que um provedor de dados crie uma nova conta gerenciada (ou seja, uma conta de leitor). Para obter mais detalhes, consulte Gerenciamento de contas de leitor. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE FAILOVER GROUP |
Permite a criação de um novo grupo de failover. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE REPLICATION GROUP |
Possibilita a criação de um novo grupo de replicação. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE ROLE |
Permite criar uma nova função. |
|
CREATE USER |
Permite criar um novo usuário. |
|
MANAGE GRANTS |
Permite conceder ou revogar privilégios sobre objetos para os quais a função não é o proprietário. |
Deve ser concedido pela função SECURITYADMIN (ou superior). |
CREATE DATA EXCHANGE LISTING |
Permite criar uma nova listagem de troca de dados. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE INTEGRATION |
Permite criar uma nova integração de notificação, segurança ou armazenamento. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE NETWORK POLICY |
Permite criar uma nova política de rede. |
|
CREATE SHARE |
Permite a um provedor de dados criar um novo compartilhamento. Para obter mais detalhes, consulte Habilitação de funções diferentes de ACCOUNTADMIN a executar tarefas de compartilhamento de dados. |
Deve ser concedido pela função ACCOUNTADMIN. |
CREATE WAREHOUSE |
Permite criar um novo warehouse virtual. |
|
EXECUTE ALERT |
Concede a capacidade de executar alertas de propriedade da função. |
Deve ser concedido pela função ACCOUNTADMIN. |
EXECUTE MANAGED TASK |
Permite criar tarefas que dependem de recursos computacionais gerenciados pelo Snowflake (modelo computacional sem servidor). Somente necessário para tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada. |
Deve ser concedido pela função ACCOUNTADMIN. |
EXECUTE TASK |
Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK. |
Deve ser concedido pela função ACCOUNTADMIN. |
IMPORT SHARE |
Permite que um consumidor de dados veja os compartilhamentos de sua conta. Também permite criar bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE. Para obter mais detalhes, consulte Habilitação de funções diferentes de ACCOUNTADMIN a executar tarefas de compartilhamento de dados. |
Deve ser concedido pela função ACCOUNTADMIN. |
MONITOR EXECUTION |
Permite monitorar quaisquer canais ou tarefas na conta. |
Deve ser concedido pela função ACCOUNTADMIN. O privilégio USAGE também é exigido em cada banco de dados e esquema que armazena esses objetos. |
MONITOR USAGE |
Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS. |
Deve ser concedido pela função ACCOUNTADMIN. |
OVERRIDE SHARE RESTRICTIONS |
Permite definir um valor para o parâmetro SHARE_RESTRICTIONS que habilita uma conta de provedor Business Critical a adicionar uma conta de consumidor (com edição diferente de Business Critical) a um compartilhamento. |
Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para outro tipo de conta. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios globais. |
Privilégios do usuário¶
Privilégio |
Uso |
|---|---|
MONITOR |
Permite visualizar o histórico de login do usuário. |
OWNERSHIP |
Concede controle total sobre um usuário/função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, ao usuário. |
Privilégios de função¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Concede controle total sobre uma função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função que possui. Para herdar permissões de um função, essa função precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções. |
Privilégios do monitor de recursos¶
Privilégio |
Uso |
|---|---|
MODIFY |
Permite alterar quaisquer propriedades de um monitor de recursos, tais como a alteração da cota de crédito mensal. |
MONITOR |
Permite exibir um monitor de recursos. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o monitor de recursos. |
Privilégios de warehouse virtual¶
Privilégio |
Uso |
|---|---|
MODIFY |
Permite alterar quaisquer propriedades de um warehouse, inclusive seu tamanho. . . Necessário para atribuir um warehouse a um monitor de recursos. Note que somente a função ACCOUNTADMIN pode atribuir warehouses a monitores de recursos. |
MONITOR |
Permite exibir consultas atuais e passadas executadas em um warehouse, assim como estatísticas de uso do warehouse. |
OPERATE |
Permite mudar o estado de um warehouse (parar, iniciar, suspender, retomar). Além disso, permite exibir consultas atuais e passadas executadas em um warehouse e cancelar qualquer consulta em execução. |
USAGE |
Permite utilizar um warehouse virtual e, como resultado, executar consultas no warehouse. Se o warehouse for configurado para retomada automática quando uma instrução SQL (por exemplo, consulta) for enviada a ele, o warehouse é retomado automaticamente e executa a instrução. |
OWNERSHIP |
Concede controle total sobre um warehouse. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o warehouse. |
Privilégios de conexão¶
Somente a função ACCOUNTADMIN possui conexões. O privilégio OWNERSHIP não pode ser concedido a outra função.
Privilégios do grupo de failover¶
Privilégio |
Uso |
|---|---|
MONITOR |
Permite a visualização de detalhes de um grupo de failover. |
OWNERSHIP |
Concede controle total sobre um grupo de failover. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
FAILOVER |
Permite promover um grupo secundário de failover para servir como grupo primário de failover. |
REPLICATE |
Permite atualizar um grupo secundário de failover. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, ao canal. |
Privilégios do grupo de replicação¶
Privilégio |
Uso |
|---|---|
MONITOR |
Permite a visualização de detalhes de um grupo de replicação. |
OWNERSHIP |
Concede controle total sobre um grupo de replicação. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
REPLICATE |
Permite atualizar um grupo secundário de replicação. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, ao grupo de replicação. |
Privilégios de integração¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite referenciar a integração de armazenamento ao criar um estágio (usando CREATE STAGE) ou modificar um estágio (usando ALTER STAGE). |
USE_ANY_ROLE |
Permite ao usuário ou cliente OAuth externo trocar de função somente se este privilégio for concedido ao cliente ou usuário. Configure a integração de segurança OAuth externa para usar o parâmetro |
OWNERSHIP |
Concede controle total sobre uma integração. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para a integração. |
Privilégios de política de rede¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Concede controle total sobre a política de rede. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
Privilégios de política de senhas¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Transfere a propriedade de uma política de senhas, o que concede controle total sobre a política de senhas. Necessário para alterar a maioria das propriedades de uma política de senhas. |
Privilégios de política de sessão¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Transfere a propriedade de uma política de sessão, o que concede controle total sobre a política de sessão. Necessário para alterar a maioria das propriedades de uma política de sessão. |
Privilégios de troca de dados¶
Privilégio |
Uso |
|---|---|
IMPORTED PRIVILEGES |
Permite habilitar funções diferentes daquela de proprietário a gerenciar um Snowflake Marketplace ou Data Exchange. |
Privilégios de listagem de troca de dados¶
Nota
Atualmente, os privilégios para listagens de troca de dados só podem ser concedidos na interface da Web do Snowflake. Para obter instruções, consulte Concessão de privilégios a outras funções.
Privilégio |
Uso |
|---|---|
MODIFY |
Permite habilitar funções diferentes daquela de proprietário a modificar uma listagem do Snowflake Marketplace ou Data Exchange. |
USAGE |
Permite exibir uma listagem do Snowflake Marketplace ou Data Exchange. |
OWNERSHIP |
Concede controle total sobre uma listagem do Snowflake Marketplace ou Data Exchange. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para uma listagem do Snowflake Marketplace ou Data Exchange. |
Privilégios de banco de dados¶
Privilégio |
Uso |
|---|---|
MODIFY |
Permite alterar quaisquer configurações de banco de dados. |
MONITOR |
Permite executar o comando DESCRIBE no banco de dados. |
USAGE |
Permite utilizar um banco de dados, incluindo retornar os detalhes do banco de dados na saída do comando SHOW DATABASES. São necessários privilégios adicionais para visualizar ou executar ações em objetos de um banco de dados. |
REFERENCE_USAGE |
Permite usar um objeto (por exemplo, exibição segura em um compartilhamento) quando o objeto faz referência a outro objeto em um banco de dados diferente. Conceda o privilégio no outro banco de dados para o compartilhamento. Para obter mais detalhes, consulte GRANT <privilégio> … TO SHARE e Compartilhamento de dados a partir de diversos bancos de dados. |
CREATE DATABASE ROLE |
Permite criar uma nova função de banco de dados em um banco de dados. |
CREATE SCHEMA |
Permite criar um novo esquema em um banco de dados, incluindo clonar um esquema. |
IMPORTED PRIVILEGES |
Permite que funções diferentes de proprietário acessem um banco de dados compartilhado; aplica-se somente a bancos de dados compartilhados. |
OWNERSHIP |
Concede controle total sobre o banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para um banco de dados. |
Nota
A alteração das propriedades de um banco de dados, incluindo comentários, requer o privilégio OWNERSHIP para o banco de dados.
Se qualquer privilégio de banco de dados for concedido a uma função, essa função pode executar ações SQL em objetos de um esquema usando nomes totalmente qualificados. A função deve ter o privilégio USAGE no esquema, bem como o privilégio ou privilégios necessários no objeto. Para tornar um banco de dados ativo em uma sessão do usuário, é necessário ter o privilégio USAGE para o banco de dados.
Uma função de nível de conta (isto é,
r1) com o privilégio OWNERSHIP no banco de dados pode conceder o privilégio CREATE DATABASE ROLE a uma função de nível de conta diferente (isto é,r2). Da mesma forma,r1também pode revogar o privilégio CREATE DATABASE ROLE de outra função de nível de conta.Neste cenário,
r2deve ter o privilégio USAGE no banco de dados para criar uma nova função de banco de dados no banco de dados.
Privilégios de esquema¶
Privilégio |
Uso |
|---|---|
MODIFY |
Permite alterar quaisquer configurações de um esquema. |
MONITOR |
Permite executar o comando DESCRIBE no esquema. |
USAGE |
Permite utilizar um esquema, incluindo retornar os detalhes do esquema na saída do comando SHOW SCHEMAS. . . Para executar comandos SHOW <objetos> para objetos (tabelas, exibições, estágios, formatos de arquivo, sequências, canais ou funções) no esquema, um função deve ter pelo menos um privilégio concedido para o objeto. |
CREATE TABLE |
Permite criar uma nova tabela em um esquema, incluindo clonar uma tabela. Note que este privilégio não é necessário para criar tabelas temporárias, cujo escopo é a sessão atual do usuário e que são automaticamente descartadas quando a sessão termina. |
CREATE EXTERNAL TABLE |
Permite criar uma nova tabela externa em um esquema. |
CREATE VIEW |
Permite criar uma nova exibição em um esquema. |
CREATE MASKING POLICY |
Permite a criação de uma nova política de mascaramento em um esquema. |
CREATE MATERIALIZED VIEW |
Permite criar uma nova exibição materializada em um esquema. |
CREATE ROW ACCESS POLICY |
Permite a criação de uma nova política de acesso a linhas em um esquema. |
CREATE SECRET |
Permite a criação de um novo segredo no esquema atual/especificado ou substitui um segredo existente. |
CREATE SESSION POLICY |
Permite a criação de uma nova política de sessão em um esquema. |
CREATE STAGE |
Permite criar um novo estágio em um esquema, incluindo clonar um estágio. |
CREATE FILE FORMAT |
Permite criar um novo formato de arquivo em um esquema, incluindo clonar um formato de arquivo. |
CREATE SEQUENCE |
Permite criar uma nova sequência em um esquema, incluindo clonar uma sequência. |
CREATE FUNCTION |
Permite criar uma nova função UDF ou função externa em um esquema. |
CREATE PASSWORD POLICY |
Permite a criação de uma nova política de senhas em um esquema. |
CREATE PIPE |
Permite criar um novo canal em um esquema. |
CREATE STREAM |
Permite criar um novo fluxo em um esquema, incluindo clonar um fluxo. |
CREATE TAG |
Permite criar uma nova chave de tag em um esquema. |
CREATE TASK |
Permite criar uma nova tarefa em um esquema, incluindo clonar uma tarefa. |
CREATE PROCEDURE |
Permite criar um novo procedimento armazenado em um esquema. |
CREATE ALERT |
Permite criar um novo alerta em um esquema. |
ADD SEARCH OPTIMIZATION |
Permite adicionar a otimização de pesquisa a uma tabela em um esquema. |
OWNERSHIP |
Concede controle total sobre o esquema. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para um esquema. |
Nota
A alteração das propriedades de um esquema, incluindo comentários, requer o privilégio OWNERSHIP para o banco de dados.
A operação em um esquema também requer o privilégio USAGE no banco de dados pai.
Privilégios de tabela¶
Privilégio |
Uso |
|---|---|
SELECT |
Permite executar uma instrução SELECT em uma tabela. |
INSERT |
Permite executar um comando INSERT em uma tabela. Também permite utilizar o comando ALTER TABLE com uma cláusula |
UPDATE |
Permite executar um comando UPDATE em uma tabela. |
TRUNCATE |
Permite executar um comando TRUNCATE TABLE em uma tabela. |
DELETE |
Permite executar um comando DELETE em uma tabela. |
REFERENCES |
Permite fazer referência a uma tabela como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema. |
OWNERSHIP |
Concede controle total sobre a tabela. É necessário para alterar a maioria das propriedades de uma tabela, exceto reclustering. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para uma tabela. |
Nota
A operação em uma tabela também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de tabela externa¶
Privilégio |
Uso |
|---|---|
SELECT |
Permite executar uma instrução SELECT em uma tabela externa. |
REFERENCES |
Permite visualizar a estrutura de uma tabela externa (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema. |
OWNERSHIP |
Concede controle total sobre a tabela externa; necessário para atualizar uma tabela externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para uma tabela externa. |
Nota
A operação em uma tabela externa também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de exibição¶
Os seguintes privilégios se aplicam tanto a exibições padrão como a exibições materializadas.
Privilégio |
Uso |
|---|---|
SELECT |
Permite executar uma instrução SELECT em uma exibição. . . Note que este privilégio é suficiente para consultar uma exibição. O privilégio SELECT nos objetos subjacentes para uma exibição não é necessário. |
REFERENCES |
Permite visualizar a estrutura de uma exibição (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema. |
OWNERSHIP |
Concede controle total sobre a exibição. Necessário para alterar uma exibição. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, em uma exibição. |
Nota
Os privilégios da tabela DML como INSERT, UPDATE e DELETE podem ser concedidos em exibições; no entanto, como as exibições são somente de leitura, estes privilégios não têm efeito.
A operação em uma exibição também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de estágio¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite utilizar um objeto de preparação externo em uma instrução SQL; não aplicável a estágios internos. |
READ |
Permite realizar qualquer operação que requeira leitura de um estágio interno (GET, LIST, COPY INTO <tabela>, etc.); não aplicável a estágios externos. |
WRITE |
Permite realizar qualquer operação que requeira gravação em um estágio interno (PUT, REMOVE, COPY INTO <local>, etc.); não aplicável a estágios externos. |
OWNERSHIP |
Concede controle total sobre o estágio. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios aplicáveis, exceto OWNERSHIP, para o estágio (interno ou externo). |
Nota
Ao conceder ambos os privilégios READ e WRITE para um estágio interno, o privilégio READ deve ser concedido antes ou ao mesmo tempo que o privilégio WRITE.
Ao revogar ambos os privilégios READ e WRITE para um estágio interno, o privilégio WRITE deve ser revogado antes ou ao mesmo tempo que o privilégio READ.
A operação em um estágio também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de formato de arquivo¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite utilizar um formato de arquivo em uma instrução SQL. |
OWNERSHIP |
Concede controle total sobre o formato de arquivo. Necessário para alterar um formato de arquivo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o formato de arquivo. |
Nota
A operação em formatos de arquivo também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de canal¶
Objetos de canal são criados e gerenciados para carregar dados usando o Snowpipe.
Privilégio |
Uso |
|---|---|
MONITOR |
Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES). |
OPERATE |
Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES), pausando ou retomando o canal e atualizando o canal. |
OWNERSHIP |
Concede controle total sobre o canal. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o canal. |
Nota
A operação em canais também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios da função de banco de dados¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Concede controle total sobre uma função de banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função do banco de dados que possui. Para herdar permissões de um função de banco de dados, essa função de banco de dados precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções. |
Privilégios de fluxo¶
Privilégio |
Uso |
|---|---|
SELECT |
Permite executar uma instrução SELECT em um fluxo. |
OWNERSHIP |
Concede controle total sobre o fluxo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o fluxo. |
Privilégios de tarefa¶
Privilégio |
Uso |
|---|---|
MONITOR |
Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS). |
OPERATE |
Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS) e retomar ou suspender a tarefa. |
OWNERSHIP |
Concede controle total sobre a tarefa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para a tarefa. |
Privilégios do segredo¶
Privilégio |
Uso |
|---|---|
OWNERSHIP |
Transfere a propriedade de um segredo, o que garante o controle total sobre o segredo. Exigido para alterar a maioria das propriedades de um segredo ou descartar um segredo do sistema. |
USAGE |
Permite o uso de um segredo. |
Privilégios da política de mascaramento¶
Privilégio |
Uso |
|---|---|
APPLY |
Permite executar as operações de remover e definir para uma política de mascaramento em uma coluna. Observe que a concessão do privilégio global APPLY MASKING POLICY (isto é, APPLY MASKING POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições. Para exemplos de sintaxe, consulte Privilégios da política de mascaramento. |
OWNERSHIP |
Concede controle total sobre a política de mascaramento. Requerido para alterar a maioria das propriedades de uma política de mascaramento. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
A operação em uma política de mascaramento também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios da política de acesso a linhas¶
Privilégio |
Uso |
|---|---|
APPLY |
Permite a execução das operações de adição e descarte para a política de acesso a linhas em uma tabela ou exibição. Observe que a concessão do privilégio global APPLY ROW ACCESSPOLICY (ou seja, APPLY ROW ACCESS POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições. Para exemplos de sintaxe, consulte Resumo de comandos DDL, operações e privilégios. |
OWNERSHIP |
Concede controle total sobre a política de acesso a linhas. Requerido para alterar a maioria das propriedades de uma política de acesso a linhas. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
A operação em uma política de acesso a linhas também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de tags¶
Privilégio |
Uso |
|---|---|
APPLY |
Permite a execução das operações de adição e descarte para a tag em um objeto do Snowflake. |
OWNERSHIP |
Concede controle total sobre a tag. Necessário para alterar a maioria das propriedades de uma tag. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
As tags são armazenadas no nível do esquema.
A operação em uma tag requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de sequência¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite utilizar uma sequência em uma instrução SQL. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para a sequência. |
OWNERSHIP |
Concede controle total sobre a sequência; necessário para alterar a sequência. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
A operação em uma sequência também requer o privilégio USAGE no banco de dados pai e no esquema.
Privilégios de procedimento armazenado¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite chamar um procedimento armazenado. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para o procedimento armazenado. |
OWNERSHIP |
Concede controle total para o procedimento armazenado; necessário para alterar o procedimento armazenado. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
A operação em um procedimento armazenado também requer o privilégio USAGE no banco de dados pai e no esquema.
Se um procedimento armazenado for executado com direitos do chamador, o usuário que chama o procedimento armazenado deve ter privilégios para os objetos do banco de dados (por exemplo, tabelas) acessados pelo procedimento armazenado. Para obter mais detalhes, consulte Compreensão dos procedimentos armazenados com direitos do chamador e direitos do proprietário.
Privilégios de função definida pelo usuário (UDF) e função externa¶
Privilégio |
Uso |
|---|---|
USAGE |
Permite chamar uma função UDF ou função externa. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, para a função UDF ou função externa. |
OWNERSHIP |
Concede controle total sobre a função UDF ou função externa; necessário para alterar a função UDF ou função externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
Nota
A operação em uma função UDF ou função externa também requer o privilégio USAGE no banco de dados pai e no esquema.
O proprietário de uma função UDF deve ter privilégios sobre os objetos acessados pela função; o usuário que chama uma função UDF não precisa desses privilégios. Para obter mais detalhes, consulte Requisitos de segurança/privilégio para UDFs de SQL.
O proprietário de uma função externa deve ter o privilégio USAGE para o objeto de integração API associado à função externa. Para obter mais detalhes, consulte Controle de acesso na documentação sobre funções externas.
Privilégios do alerta¶
Privilégio |
Uso |
|---|---|
OPERATE |
Permite visualizar detalhes do alerta (usando DESCRIBE ALERT ou SHOW ALERTS) e retomar ou suspender o alerta (ALTER ALERT). |
OWNERSHIP |
Concede controle total sobre a tarefa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
Concede todos os privilégios, exceto OWNERSHIP, no alerta. |