Privilégios de controle de acesso

Este tópico descreve os privilégios que estão disponíveis no modelo de controle de acesso do Snowflake. Os privilégios são concedidos a funções, e as funções são concedidas a usuários para especificar as operações que os usuários podem realizar nos objetos do sistema.

Neste tópico:

Todos os privilégios (em ordem alfabética)

Os seguintes privilégios estão disponíveis no modelo de controle de acesso do Snowflake. O significado de cada privilégio varia dependendo do tipo de objeto ao qual é aplicado, e nem todos os objetos suportam todos os privilégios:

Privilégio

Tipo de objeto

Descrição

ALL [ PRIVILEGES ]

Todos

Concede todos os privilégios para o tipo de objeto especificado.

APPLY

Política, Tag

Permite atribuir uma política ou tag a um objeto que pode ser marcado com tag ou protegido por uma política.

APPLYBUDGET

Banco de dados, Esquema, Tabela, tabela híbrida, tabela Apache Iceberg™, Warehouse, Tarefa, Canal, Exibição materializada

Concede a capacidade de adicionar ou remover um objeto de ou para um orçamento.

APPLY AGGREGATION POLICY

Global

Permite adicionar e descartar uma política de agregação em uma tabela ou exibição.

APPLY AUTHENTICATION POLICY

Global

Concede a possibilidade de adicionar ou descartar uma política de autenticação na conta Snowflake ou um usuário na conta Snowflake.

APPLY MASKING POLICY

Global

Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY PACKAGES POLICY

Global

Concede a capacidade de adicionar ou descartar uma política de pacotes na conta Snowflake.

APPLY PASSWORD POLICY

Global

Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake.

APPLY PRIVACY POLICY

Global

Permite adicionar e descartar uma política de privacidade em uma tabela ou exibição.

APPLY PROJECTION POLICY

Global

Permite adicionar e descartar uma política de projeção em uma tabela ou exibição.

APPLY ROW ACCESS POLICY

Global

Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY SESSION POLICY

Global

Permite definir ou remover uma política de sessão em uma conta ou usuário.

APPLY TAG

Global

Permite adicionar ou descartar uma tag em um objeto Snowflake.

ATTACH POLICY

Global

Permite ativar uma política de redes associando-a à sua conta.

AUDIT

Global

Concede a capacidade de definir o parâmetro de usuário ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Global

Permite criar um serviço que oferece suporte a pontos de extremidade públicos. Para obter mais informações sobre pontos de extremidade públicos, consulte Entrada: usando um serviço de fora do Snowflake.

CREATE <Tipo_de_objeto>

Global, banco de dados, esquema

Permite criar um objeto de <tipo_objeto> (por exemplo, CREATE TABLE permite criar uma tabela dentro de um esquema).

DELETE

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando DELETE na tabela.

EVOLVE SCHEMA

Tabela

Concede a capacidade de evolução do esquema ocorrer em uma tabela ao carregar dados.

EXECUTE ALERT

Global

Concede a capacidade de executar alertas de propriedade da função. Para que alertas sem servidor sejam executados, a função com o privilégio OWNERSHIP no alerta também deve ter o privilégio global EXECUTE MANAGED ALERT.

EXECUTE DATA METRIC FUNCTION

Global

Permite o uso de recursos de computação sem servidor ao chamar uma função de métricas de dados.

EXECUTE MANAGED ALERT

Global

Permite criar alertas que dependem de recursos de computação sem servidor. Somente necessário para criar alertas sem servidor. A função com o privilégio OWNERSHIP sobre um alerta sem servidor deve ter tanto o privilégio EXECUTE MANAGED ALERT como o privilégio EXECUTE ALERT para que o alerta seja executado.

EXECUTE MANAGED TASK

Global

Concede a capacidade de criar tarefas que dependem de recursos de computação sem servidor. Somente necessário para criar tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada.

EXECUTE TASK

Global

Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK.

FAILOVER

Grupo de failover, conexão

Concede a capacidade de promover um grupo de failover secundário ou uma conexão secundária para servir como principal.

IMPORT SHARE

Global

Aplica-se a consumidores de dados. Permite exibir os compartilhamentos com sua conta. Também permite a criação bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE.

OVERRIDE SHARE RESTRICTIONS

Global

Concede a capacidade de definir o valor do parâmetro SHARE_RESTRICTIONS em um compartilhamento que permite que uma conta de provedor Business Critical adicione uma conta de consumidor (com edição não Business Critical) a um compartilhamento. Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para uma conta que não é Business Critical.

IMPORTED PRIVILEGES

Banco de dados, troca de dados

Permite a habilitação de funções diferentes daquela de proprietário a acessar um banco de dados compartilhado ou gerenciar um Snowflake Marketplace/troca de dados.

INSERT

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando INSERT na tabela.

MANAGE ACCOUNT SUPPORT CASES

Global

Permite visualizar, comentar e gerenciar todos os chamado de suporte para a conta atual no Snowsight.

MANAGE ACCOUNTS

Global

Permite gerenciar o ciclo de vida das contas em uma organização.

MANAGE GRANTS

Global

Permite conceder ou revogar privilégios para qualquer objeto como se a função invocadora fosse o proprietário do objeto.

MANAGE LISTING AUTOFULFILLMENT

Global

Concede a capacidade de publicar listagens em regiões remotas usando o preenchimento automático entre nuvens e gerenciar configurações de preenchimento automático para listagens.

MANAGE ORGANIZATION CONTACTS

Global

Permite gerenciar os contatos de uma organização.

MANAGE ORGANIZATION SUPPORT CASES

Global

Permite visualizar, comentar e gerenciar todos os chamados de suporte abertos pelo usuário atual no Snowsight.

MANAGE ORGANIZATION TERMS

Global

Permite gerenciar os termos legais de uma organização.

MANAGE USER SUPPORT CASES

Global

Permite que a função visualize, comente e gerencie todos os chamados de suporte para o usuário atual no Snowsight.

MANAGE WAREHOUSES

Global

Concede a capacidade de realizar operações que exigem os privilégios MODIFY, MONITOR e OPERATE em warehouses na mesma conta.

MODIFY

Monitor de recursos, warehouse, listagem de troca de dados, banco de dados, esquema, grupo de failover, grupo de replicação, pool de computação

Permite alterar as configurações ou propriedades de um objeto (por exemplo, em um warehouse virtual, fornece a capacidade de alterar o tamanho de um warehouse virtual).

MODIFY LOG LEVEL

Global

Permite definir o nível de mensagens de log capturadas para procedimentos armazenados e UDFs na conta atual. Para obter mais informações, consulte LOG_LEVEL.

MODIFY SESSION LOG LEVEL

Global

Permite definir o nível das mensagens de log capturadas para procedimentos armazenados e UDFs invocados na sessão atual. Para obter mais informações, consulte LOG_LEVEL.

MODIFY METRIC LEVEL

Global

Permite configurar o nível de dados de métricas capturados para procedimentos armazenados e UDFs na conta atual. Para obter mais informações, consulte METRIC_LEVEL.

MODIFY SESSION METRIC LEVEL

Global

Permite configurar o nível de dados de métricas capturados para procedimentos armazenados e UDFs invocados na sessão atual. Para obter mais informações, consulte METRIC_LEVEL.

MODIFY TRACE LEVEL

Global

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs na conta atual. Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Global

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs invocados na sessão atual. Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MONITOR

Usuário, monitor de recursos, warehouse, banco de dados, esquema, tarefa, grupo de failover, grupo de replicação, alerta, pool de computação, serviço, tabela dinâmica

Permite ver detalhes dentro de um objeto (por exemplo, consultas e uso dentro de um warehouse).

MONITOR EXECUTION

Global

Permite monitorar canais (Snowpipe) ou tarefas na conta.

MONITOR SECURITY

Global

Concede a capacidade de chamar funções do sistema pertencentes a Chaves gerenciadas pelo cliente.

MONITOR USAGE

Global

Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS.

OPERATE

Warehouse, tarefa, tabela dinâmica, alerta, pool de computação. Serviço

Permite iniciar, parar, suspender ou retomar um warehouse virtual. Permite suspender ou retomar uma tarefa. Permite suspender, retomar ou atualizar uma tabela dinâmica. Permite suspender ou retomar um pool de computação. Permite suspender ou retomar um serviço Snowpark Container Services, atualizar o serviço, configurar e cancelar a configuração das propriedades do serviço.

OWNERSHIP

Todos

Permite descartar, alterar e conceder ou revogar acesso a um objeto. Necessário para renomear um objeto e criar um objeto temporário com o mesmo nome do próprio objeto. OWNERSHIP é um privilégio especial para um objeto automaticamente concedido à função que criou o objeto, mas também pode ser transferido usando o comando GRANT OWNERSHIP para uma função diferente pela função proprietária ou qualquer função com o privilégio MANAGE GRANTS.

PURCHASE DATA EXCHANGE LISTING

Global

Concede a capacidade de comprar uma listagem paga.

READ

Estágio (somente interno), pool de computação, repositório Git, repositório de imagens

Permite realizar qualquer operação que requeira leitura de um estágio interno (GET, LIST, COPY INTO <tabela> etc.). Permite baixar uma imagem de um repositório de imagens. O privilégio READ é necessário no estágio e no repositório de imagens para criar um serviço do Snowpark Container Services.

READ SESSION

Global

Permite ler o contexto da sessão.

REFERENCES

Tabela, tabela híbrida, tabela Iceberg, tabela externa, exibição

Permite visualizar a estrutura de um objeto (mas não os dados). . . Para tabelas, o privilégio também permite referenciar o objeto como a tabela de chave única/primária para uma restrição de chave estrangeira.

REPLICATE

Grupo de replicação, grupo de failover

Permite atualizar um grupo de replicação ou um grupo de failover secundário.

RESOLVE ALL

Global

Concede a capacidade de resolver todos os objetos na conta, o que gera o objeto no comando SHOW <objetos> correspondente.

SELECT

Tabela, tabela híbrida, tabela Iceberg, tabela externa, exibição, fluxo

Permite executar uma instrução SELECT na tabela/exibição.

TRUNCATE

Tabela, tabela híbrida, tabela de eventos, tabela Iceberg

Permite executar um comando TRUNCATE TABLE na tabela.

UPDATE

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando UPDATE na tabela.

USAGE

Warehouse, listagem de troca de dados, integração, banco de dados, esquema, estágio (apenas externo), formato do arquivo, sequência, procedimento armazenado, função definida pelo usuário, função externa, pool de computação, serviço, instantâneo, modelo

Permite executar um comando USE <objeto> no objeto. Também permite executar um comando SHOW <objetos> no objeto. O uso em um pool de computação é necessário para criar um serviço do Snowpark Container Services. Para modelos, USAGE concede a capacidade de executar métodos de inferência. Ele não concede acesso aos artefatos subjacentes do modelo.

WRITE

Estágio (somente interno), repositório de imagens, repositório Git

Permite realizar quaisquer operações que exijam gravar em um estágio interno (PUT, REMOVE, COPY INTO <local> etc.). Permite fazer upload de uma imagem para um repositório de imagens.

As demais seções deste tópico descrevem os privilégios específicos disponíveis para cada tipo de objeto e seu uso.

Privilégios globais (privilégios no nível da conta)

Privilégio

Uso

Notas

APPLY AGGREGATION POLICY

Permite adicionar e descartar uma política de agregação em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY AUTHENTICATION POLICY

Concede a possibilidade de adicionar ou descartar uma política de autenticação na conta Snowflake ou um usuário na conta Snowflake.

APPLY MASKING POLICY

Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY ROW ACCESS POLICY

Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY PACKAGES POLICY

Concede a capacidade de adicionar ou descartar uma política de pacotes na conta Snowflake.

APPLY PASSWORD POLICY

Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake.

APPLY PRIVACY POLICY

Permite adicionar e descartar uma política de privacidade em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY PROJECTION POLICY

Permite adicionar e descartar uma política de projeção em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY SESSION POLICY

Permite definir ou remover uma política de sessão em uma conta ou usuário.

APPLY TAG

Permite adicionar ou descartar uma tag em um objeto Snowflake.

ATTACH POLICY

Permite ativar uma política de redes associando-a à sua conta.

AUDIT

Concede a capacidade de definir o parâmetro de usuário ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Permite criar um serviço que oferece suporte a pontos de extremidade públicos. Para obter mais informações sobre pontos de extremidade públicos, consulte Entrada: usando um serviço de fora do Snowflake

Deve ser concedido pela função ACCOUNTADMIN.

CREATE ACCOUNT

Permite que um provedor de dados crie uma nova conta gerenciada (ou seja, uma conta de leitor). Para obter mais detalhes, consulte Gerenciamento de contas de leitor.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE COMPUTE POOL

Permite a criação de um pool de computação para executar um serviço Snowpark Container Services.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE DATABASE

Permite criar um novo banco de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE EXTERNAL VOLUME

Permite a criação de um novo volume externo para Tabelas Apache Iceberg™.

CREATE FAILOVER GROUP

Permite a criação de um novo grupo de failover.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE REPLICATION GROUP

Possibilita a criação de um novo grupo de replicação.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE ROLE

Permite criar uma nova função.

CREATE USER

Permite criar um novo usuário.

CREATE DATA EXCHANGE LISTING

Permite criar uma nova listagem de troca de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE INTEGRATION

Permite criar uma nova integração de catálogo, notificação, segurança ou armazenamento.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE NETWORK POLICY

Permite criar uma nova política de rede.

CREATE SHARE

Permite a um provedor de dados criar um novo compartilhamento. Para obter mais detalhes, consulte Permitir que funções não ACCOUNTADMIN executem tarefas de compartilhamento de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE WAREHOUSE

Permite criar um novo warehouse virtual.

EXECUTE ALERT

Concede a capacidade de executar alertas de propriedade da função. Para que alertas sem servidor sejam executados, a função com o privilégio OWNERSHIP no alerta também deve ter o privilégio global EXECUTE MANAGED ALERT.

Deve ser concedido pela função ACCOUNTADMIN.

EXECUTE DATA METRIC FUNCTION

Permite o uso de recursos de computação sem servidor ao chamar uma função de métricas de dados.

EXECUTE MANAGED ALERT

Permite criar alertas que dependem de recursos de computação sem servidor. Somente necessário para criar alertas sem servidor. A função com o privilégio OWNERSHIP sobre um alerta sem servidor deve ter tanto o privilégio EXECUTE MANAGED ALERT como o privilégio EXECUTE ALERT para que o alerta seja executado.

EXECUTE MANAGED TASK

Concede a capacidade de criar tarefas que dependem de recursos de computação sem servidor. Somente necessário para tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada.

Deve ser concedido pela função ACCOUNTADMIN.

EXECUTE TASK

Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK.

Deve ser concedido pela função ACCOUNTADMIN.

IMPORT SHARE

Permite que um consumidor de dados veja os compartilhamentos de sua conta. Também permite criar bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE. Para obter mais detalhes, consulte Permitir que funções não ACCOUNTADMIN executem tarefas de compartilhamento de dados.

Deve ser concedido pela função ACCOUNTADMIN.

MANAGE ACCOUNTS

Permite gerenciar o ciclo de vida das contas (por exemplo, criar e excluir).

Deve ser concedido pela função GLOBALORGADMIN na conta da organização.

MANAGE ACCOUNT SUPPORT CASES

Permite visualizar, comentar e gerenciar todos os chamado de suporte para a conta atual no Snowsight.

MANAGE GRANTS

Permite conceder ou revogar privilégios sobre objetos para os quais a função não é o proprietário.

Deve ser concedido pela função SECURITYADMIN (ou superior).

MANAGE ORGANIZATION CONTACTS

Permite gerenciar os contatos de uma organização.

Deve ser concedido pela função GLOBALORGADMIN na conta da organização.

MANAGE ORGANIZATION SUPPORT CASES

Permite visualizar, comentar e gerenciar todos os chamados de suporte abertos pelo usuário atual no Snowsight.

MANAGE ORGANIZATION TERMS

Permite gerenciar os termos legais de uma organização.

Deve ser concedido pela função GLOBALORGADMIN na conta da organização.

MANAGE USER SUPPORT CASES

Permite que a função visualize, comente e gerencie todos os chamados de suporte para o usuário atual no Snowsight.

MANAGE WAREHOUSES

Concede a capacidade de realizar operações que exigem privilégios MODIFY, MONITOR e OPERATE em warehouses na mesma conta.

Deve ser concedido pela função ACCOUNTADMIN.

MANAGE LISTING AUTOFULFILLMENT

Concede a capacidade de publicar listagens em regiões remotas usando o preenchimento automático entre nuvens e gerenciar configurações de preenchimento automático para listagens.

Na conta da organização, deve ser concedido pela função GLOBALORGADMIN. Em todas as outras contas, deve ser concedido pela função ACCOUNTADMIN depois que essa função tiver privilégios delegados pela função ORGADMIN.

MODIFY LOG LEVEL

Permite definir o nível de mensagens de log capturadas para procedimentos armazenados e UDFs na conta atual.

Para obter mais informações, consulte LOG_LEVEL.

MODIFY METRIC LEVEL

Permite configurar o nível de dados de métricas capturados para procedimentos armazenados e UDFs na conta atual.

Para obter mais informações, consulte METRIC_LEVEL.

MODIFY SESSION LOG LEVEL

Permite definir o nível das mensagens de log capturadas para procedimentos armazenados e UDFs invocados na sessão atual.

Para obter mais informações, consulte LOG_LEVEL.

MODIFY SESSION METRIC LEVEL

Permite configurar o nível de dados de métricas capturados para procedimentos armazenados e UDFs invocados na sessão atual.

Para obter mais informações, consulte METRIC_LEVEL.

MODIFY TRACE LEVEL

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs na conta atual.

Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs invocados na sessão atual.

Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MONITOR EXECUTION

Permite monitorar quaisquer canais ou tarefas na conta.

Deve ser concedido pela função ACCOUNTADMIN. O privilégio USAGE também é exigido em cada banco de dados e esquema que armazena esses objetos.

MONITOR SECURITY

Concede a capacidade de chamar funções do sistema pertencentes a Chaves gerenciadas pelo cliente.

MONITOR USAGE

Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS.

Deve ser concedido pela função ACCOUNTADMIN.

OVERRIDE SHARE RESTRICTIONS

Concede a capacidade de definir o valor do parâmetro SHARE_RESTRICTIONS em um compartilhamento que permite que uma conta de provedor Business Critical adicione uma conta de consumidor (com edição não Business Critical) a um compartilhamento.

Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para uma conta que não é Business Critical.

PURCHASE DATA EXCHANGE LISTING

Concede a capacidade de comprar uma listagem paga.

Consulte Pagamento de listagens.

READ SESSION

Permite ler o contexto da sessão.

Deve ser concedido pela função ACCOUNTADMIN.

RESOLVE ALL

Concede a capacidade de resolver todos os objetos na conta, o que gera o objeto no comando SHOW <objetos> correspondente.

ALL [ PRIVILEGES ]

Concede todos os privilégios globais.

Privilégios do usuário

Privilégio

Uso

MONITOR

Permite visualizar o histórico de login do usuário.

OWNERSHIP

Concede controle total sobre um usuário/função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao usuário.

Privilégios de função

Privilégio

Uso

OWNERSHIP

Concede controle total sobre uma função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função que possui. Para herdar permissões de um função, essa função precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções.

Privilégios do monitor de recursos

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um monitor de recursos, tais como a alteração da cota de crédito mensal.

MONITOR

Permite exibir um monitor de recursos.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o monitor de recursos.

Privilégios de warehouse virtual

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um warehouse de um orçamento.

MODIFY

Permite alterar quaisquer propriedades de um warehouse, inclusive seu tamanho. . . Necessário para atribuir um warehouse a um monitor de recursos. Note que somente a função ACCOUNTADMIN pode atribuir warehouses a monitores de recursos.

MONITOR

Permite exibir consultas atuais e passadas executadas em um warehouse, assim como estatísticas de uso do warehouse.

OPERATE

Permite mudar o estado de um warehouse (parar, iniciar, suspender, retomar). Além disso, permite exibir consultas atuais e passadas executadas em um warehouse e cancelar qualquer consulta em execução.

USAGE

Permite utilizar um warehouse virtual e, como resultado, executar consultas no warehouse. Se o warehouse for configurado para retomada automática quando uma instrução SQL (por exemplo, consulta) for enviada a ele, o warehouse é retomado automaticamente e executa a instrução.

OWNERSHIP

Concede controle total sobre um warehouse. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o warehouse.

Dica

A concessão do privilégio global MANAGE WAREHOUSES é equivalente a conceder os privilégios MODIFY, MONITOR e OPERATE em todos os warehouses em uma conta. Você pode conceder esse privilégio a uma função cuja finalidade inclua o gerenciamento de um warehouse para simplificar o gerenciamento de controle de acesso do Snowflake.

Para obter mais detalhes, consulte Como delegar o gerenciamento do warehouse.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Privilégios de conexão

Privilégio

Uso

FAILOVER

Concede a capacidade de promover uma conexão secundária para servir como principal.

Privilégios de volume externo

Privilégio

Uso

USAGE

Permite fazer referência ao volume externo ao executar outros comandos que usam o volume externo e concede a capacidade de visualizar detalhes de um volume externo em um comando SHOW ou DESCRIBE.

OWNERSHIP

Concede controle total sobre um volume externo. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

Privilégios do grupo de failover

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um grupo de failover.

MONITOR

Permite a visualização de detalhes de um grupo de failover.

OWNERSHIP

Concede controle total sobre um grupo de failover. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

FAILOVER

Permite promover um grupo secundário de failover para servir como grupo primário de failover.

REPLICATE

Habilita a atualização de um grupo de failover secundário.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao canal.

Privilégios do grupo de replicação

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um grupo de replicação.

MONITOR

Permite a visualização de detalhes de um grupo de replicação.

OWNERSHIP

Concede controle total sobre um grupo de replicação. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

REPLICATE

Habilita a atualização de um grupo de replicação secundário.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao grupo de replicação.

Privilégios de integração

Privilégio

Uso

USAGE

Permite referenciar a integração ao executar outros comandos que utilizam a integração. Para obter mais informações, consulte requisitos de controle de acesso para CREATE STAGE e CREATE EXTERNAL ACCESS INTEGRATION.

USE_ANY_ROLE

Permite ao usuário ou cliente OAuth externo trocar de função somente se este privilégio for concedido ao cliente ou usuário. Configure a integração de segurança OAuth externa para usar o parâmetro EXTERNAL_OAUTH_ANY_ROLE_MODE usando CREATESECURITYINTEGRATION ou ALTERSECURITYINTEGRATION.

OWNERSHIP

Concede controle total sobre uma integração. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a integração.

Privilégios da política de autenticação

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de autenticação, que concede controle total sobre a política de autenticação. Obrigatório para alterar a maioria das propriedades de uma política de autenticação.

Privilégios da regra de rede

Privilégio

Uso

OWNERSHIP

Concede controle total sobre a regra de rede.

Privilégios de política de redes

Privilégio

Uso

OWNERSHIP

Concede controle total sobre a política de rede. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

Privilégios da política de pacotes

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de pacotes, o que concede controle total sobre a política de pacotes. Necessário para alterar a maioria das propriedades de uma política de pacotes.

USAGE

Concede a capacidade de visualizar o conteúdo de uma política de pacotes em um comando SHOW ou DESCRIBE.

Privilégios de política de senhas

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de senhas, o que concede controle total sobre a política de senhas. Necessário para alterar a maioria das propriedades de uma política de senhas.

Privilégios de política de sessão

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de sessão, o que concede controle total sobre a política de sessão. Necessário para alterar a maioria das propriedades de uma política de sessão.

Privilégios de troca de dados

Privilégio

Uso

IMPORTED PRIVILEGES

Permite habilitar funções diferentes de proprietário para gerenciar um Data Exchange.

Privilégios de listagem

Privilégio

Uso

MODIFY

Permite que funções diferentes daquela de proprietário modifiquem uma listagem.

USAGE

Permite visualizar uma listagem.

OWNERSHIP

Concede controle total sobre uma listagem. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma listagem.

Compartilhamento de privilégios

Privilégio

Uso

OWNERSHIP

Concede controle total sobre um compartilhamento. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Não pode ser transferido.

Privilégios de banco de dados

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um banco de dados de um orçamento.

MODIFY

Permite alterar quaisquer configurações de banco de dados.

MONITOR

Permite executar o comando DESCRIBE no banco de dados.

USAGE

Permite utilizar um banco de dados, incluindo retornar os detalhes do banco de dados na saída do comando SHOW DATABASES. São necessários privilégios adicionais para visualizar ou executar ações em objetos de um banco de dados.

REFERENCE_USAGE

Permite usar um objeto (por exemplo, exibição segura em um compartilhamento) quando o objeto faz referência a outro objeto em um banco de dados diferente. Conceda o privilégio no outro banco de dados para o compartilhamento. Não é possível conceder esse privilégio em um banco de dados a nenhum tipo de função. Para obter mais detalhes, consulte GRANT <privilégio> … TO SHARE e Compartilhamento de dados de vários bancos de dados.

CREATE DATABASE ROLE

Permite criar uma nova função de banco de dados em um banco de dados.

CREATE SCHEMA

Permite criar um novo esquema em um banco de dados, incluindo clonar um esquema.

IMPORTED PRIVILEGES

Permite que funções diferentes de proprietário acessem um banco de dados compartilhado; aplica-se somente a bancos de dados compartilhados.

OWNERSHIP

Concede controle total sobre o banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para um banco de dados.

Nota

  • Alterar as propriedades de um banco de dados exige o privilégio OWNERSHIP para o banco de dados.

    A atualização da propriedade COMMENT exige apenas o privilégio MODIFY para o banco de dados.

  • Se qualquer privilégio de banco de dados for concedido a uma função, essa função pode executar ações SQL em objetos de um esquema usando nomes totalmente qualificados. A função deve ter o privilégio USAGE no esquema, bem como o privilégio ou privilégios necessários no objeto. Para tornar um banco de dados ativo em uma sessão do usuário, é necessário ter o privilégio USAGE para o banco de dados.

  • Uma função de nível de conta (isto é, r1) com o privilégio OWNERSHIP no banco de dados pode conceder o privilégio CREATE DATABASE ROLE a uma função de nível de conta diferente (isto é, r2). Da mesma forma, r1 também pode revogar o privilégio CREATE DATABASE ROLE de outra função de nível de conta.

    Neste cenário, r2 deve ter o privilégio USAGE no banco de dados para criar uma nova função de banco de dados no banco de dados.

  • Ao criar uma função do banco de dados, o privilégio USAGE no banco de dados que contém a função do banco de dados é concedido automaticamente à função do banco de dados.

Privilégios de esquema

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um esquema de um orçamento.

MODIFY

Permite alterar quaisquer configurações de um esquema.

MONITOR

Permite executar o comando DESCRIBE no esquema.

USAGE

Permite utilizar um esquema, incluindo retornar os detalhes do esquema na saída do comando SHOW SCHEMAS. . . Para executar comandos SHOW <objetos> para objetos (tabelas, exibições, estágios, formatos de arquivo, sequências, canais ou funções) no esquema, um função deve ter pelo menos um privilégio concedido para o objeto.

CREATE AUTHENTICATION POLICY

Permite a criação de uma nova política de autenticação em um esquema.

CREATE DATA METRIC FUNCTION

Permite criar uma nova função de métrica de dados em um esquema.

CREATE TABLE

Permite criar uma nova tabela em um esquema, incluindo clonar uma tabela. Note que este privilégio não é necessário para criar tabelas temporárias, cujo escopo é a sessão atual do usuário e que são automaticamente descartadas quando a sessão termina.

CREATE DYNAMIC TABLE

Permite criar uma nova tabela dinâmica em um esquema.

CREATE EVENT TABLE

Permite criar uma nova tabela de evento em um esquema.

CREATE EXTERNAL TABLE

Permite criar uma nova tabela externa em um esquema.

CREATE GIT REPOSITORY

Permite criar um novo estágio de repositório Git em um esquema.

CREATE ICEBERG TABLE

Permite criar uma nova tabela Iceberg em um esquema.

CREATE VIEW

Permite criar uma nova exibição em um esquema.

CREATE MASKING POLICY

Permite a criação de uma nova política de mascaramento em um esquema.

CREATE MATERIALIZED VIEW

Permite criar uma nova exibição materializada em um esquema.

CREATE NETWORK RULE

Permite a criação de uma nova regra de rede em um esquema.

CREATE NOTEBOOK

Permite criar um novo notebook em um esquema.

CREATE ROW ACCESS POLICY

Permite a criação de uma nova política de acesso a linhas em um esquema.

CREATE SECRET

Permite a criação de um novo segredo no esquema atual/especificado ou substitui um segredo existente.

CREATE SESSION POLICY

Permite a criação de uma nova política de sessão em um esquema.

CREATE STAGE

Permite criar um novo estágio em um esquema, incluindo clonar um estágio.

CREATE STREAMLIT

Permite criar um novo aplicativo Streamlit em um esquema.

CREATE FILE FORMAT

Permite criar um novo formato de arquivo em um esquema, incluindo clonar um formato de arquivo.

CREATE SEQUENCE

Permite criar uma nova sequência em um esquema, incluindo clonar uma sequência.

CREATE FUNCTION

Permite criar uma nova função UDF ou função externa em um esquema.

CREATE PACKAGES POLICY

Permite a criação de uma nova política de pacotes em um esquema.

CREATE PASSWORD POLICY

Permite a criação de uma nova política de senhas em um esquema.

CREATE PIPE

Permite criar um novo canal em um esquema.

CREATE STREAM

Permite criar um novo fluxo em um esquema, incluindo clonar um fluxo.

CREATE TAG

Permite criar uma nova chave de tag em um esquema.

CREATE TASK

Permite criar uma nova tarefa em um esquema, incluindo clonar uma tarefa.

CREATE PROCEDURE

Permite criar um novo procedimento armazenado em um esquema.

CREATE ALERT

Permite criar um novo alerta em um esquema.

CREATE CORTEX SEARCH SERVICE

Permite a criação de novos serviços do Cortex Search em um esquema.

CREATE SNOWFLAKE.CORE.BUDGET

Permite a criação de um novo orçamento em um esquema.

CREATE SNOWFLAKE.DATA_PRIVACY.CUSTOM_CLASSIFIER

Permite a criação de uma nova instância de classificador personalizado em um esquema.

CREATE SNOWFLAKE.ML.ANOMALY_DETECTION

Permite a criação de novas instâncias de modelo de detecção de anomalias em um esquema.

CREATE SNOWFLAKE.ML.CLASSIFICATION

Permite a criação de novas instâncias de modelo de classificação em um esquema.

CREATE SNOWFLAKE.ML.FORECAST

Permite a criação de novas instâncias de modelo de previsão em um esquema.

CREATE SNOWFLAKE.ML.TOP_INSIGHTS

Permite a criação de novas instâncias do Top Insights em um esquema.

CREATE SNOWFLAKE.ML.DOCUMENT_INTELLIGENCE

Permite criar novas instâncias de construção de modelo de Document AI em um esquema.

CREATE MODEL

Permite a criação de um modelo de machine learning em um esquema.

CREATE IMAGE REPOSITORY

Permite a criação de um repositório de imagens do Snowpark Container Services em um esquema.

CREATE SERVICE

Permite a criação de um serviço do Snowpark Container Services em um esquema.

CREATE SNAPSHOT

Permite a criação de um instantâneo do Snowpark Container Services em um esquema.

ADD SEARCH OPTIMIZATION

Permite adicionar a otimização de pesquisa a uma tabela em um esquema.

OWNERSHIP

Concede controle total sobre o esquema. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para um esquema.

Nota

  • A alteração das propriedades de um esquema, incluindo comentários, requer o privilégio OWNERSHIP para o banco de dados.

  • A operação em um esquema também requer o privilégio USAGE no banco de dados pai.

Privilégios de tabela

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela e a classificação de uma tabela.

INSERT

Permite executar um comando INSERT em uma tabela. Também permite utilizar o comando ALTER TABLE com uma cláusula RECLUSTER para reagrupar uma tabela manualmente com uma chave de clustering.

UPDATE

Permite executar um comando UPDATE em uma tabela.

TRUNCATE

Permite executar um comando TRUNCATE TABLE em uma tabela.

DELETE

Permite executar um comando DELETE em uma tabela.

EVOLVE SCHEMA

Permite que a evolução do esquema ocorra em uma tabela ao carregar dados.

REFERENCES

Permite fazer referência a uma tabela como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela. É necessário para alterar a maioria das propriedades de uma tabela, exceto reclustering. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela.

Nota

  • A operação em uma tabela também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios da tabela dinâmica

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela dinâmica.

OPERATE

Permite alterar as propriedades de um tabela dinâmica.

Se você não tiver esse privilégio em uma tabela dinâmica, não poderá usar o comando ALTER DYNAMIC TABLE, que permite:

MONITOR

Permite acessar os metadados de uma tabela dinâmica por meio de comandos e funções Snowsight e SQL.

Se você tiver o privilégio MONITOR em uma tabela dinâmica, não poderá fazer o seguinte:

  • Chamar a função de tabela DYNAMIC_TABLE_GRAPH_HISTORY para visualizar o histórico gráfico dessa tabela dinâmica.

  • Chamar a função de tabela DYNAMIC_TABLE_REFRESH_HISTORY para visualizar o histórico de atualização dessa tabela dinâmica.

  • Visualizar essa tabela dinâmica na saída do comando SHOW DYNAMIC TABLES.

  • Visualizar os metadados dessa tabela dinâmica na saída do comando DESCRIBE DYNAMIC TABLE ou na página de detalhes das tabelas dinâmicas Snowsight.

    • Se você tiver o privilégio SELECT, mas não tiver o privilégio MONITOR, os seguintes campos ficarão ocultos: text, warehouse, scheduling_state, last_suspended_on e suspend_reason_code (ocultados apenas no Snowsight).

OWNERSHIP

Concede controle total sobre a tabela dinâmica. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

É exigido o descarte de uma tabela dinâmica.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, na tabela dinâmica.

Privilégios de tabela de eventos

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela de eventos.

INSERT

Permite executar um comando INSERT em uma tabela de evento.

TRUNCATE

Permite executar um comando TRUNCATE TABLE na tabela de evento.

DELETE

Permite executar um comando DELETE em uma tabela de evento.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a tabela de eventos.

OWNERSHIP

Concede controle total sobre a tabela de evento. Necessário para alterar a tabela de evento. Em conjunto com OWNERSHIP da conta, concede a capacidade de associar uma conta a uma tabela de eventos.

Nota

A operação em uma tabela de eventos também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tabela externa

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela externa e classificar uma tabela externa.

REFERENCES

Permite visualizar a estrutura de uma tabela externa (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

OWNERSHIP

Concede controle total sobre a tabela externa; necessário para atualizar uma tabela externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela externa.

Nota

A operação em uma tabela externa também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tabela híbrida

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela híbrida.

INSERT

Permite executar um comando INSERT em uma tabela híbrida.

UPDATE

Permite executar um comando UPDATE em uma tabela híbrida.

TRUNCATE

Permite executar um comando TRUNCATE TABLE em uma tabela híbrida.

DELETE

Permite executar um comando DELETE em uma tabela híbrida.

REFERENCES

Permite fazer referência a uma tabela híbrida como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela híbrida (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela híbrida de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela híbrida. Necessário para alterar a maioria das propriedades de uma tabela híbrida. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma tabela híbrida.

Nota

  • A operação em uma tabela híbrida também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Os seguintes privilégios não têm efeito quando concedidos em uma tabela híbrida que usa uma integração de catálogo: INSERT, UPDATE, DELETE. As tabelas híbridas que usam uma integração de catálogo são somente leitura.

Privilégios da tabela Iceberg

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela Iceberg.

INSERT

Permite a execução de um comando INSERT em uma tabela Iceberg.

UPDATE

Permite a execução de um comando UPDATE em uma tabela Iceberg.

TRUNCATE

Permite a execução de um comando TRUNCATE TABLE em uma tabela Iceberg.

DELETE

Permite a execução de um comando DELETE em uma tabela Iceberg.

REFERENCES

Permite fazer referência a uma tabela Iceberg como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela Iceberg (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela Iceberg de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela Iceberg. Obrigatório para alterar a maioria das propriedades de uma tabela Iceberg. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela Iceberg.

Nota

  • A operação em uma tabela Iceberg também requer o privilégio USAGE no esquema e banco de dados pai.

  • Os seguintes privilégios não têm efeito quando concedidos em uma tabela Iceberg que utiliza um catálogo externo: INSERT, UPDATE, DELETE. As tabelas Iceberg que usam um catálogo externo são somente leitura.

Privilégios de exibição

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma exibição e classificar uma exibição. . . Esse privilégio é suficiente para consultar uma exibição; o privilégio SELECT não é necessário nos objetos a partir dos quais a exibição é criada.

REFERENCES

Permite visualizar a estrutura de uma exibição (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

OWNERSHIP

Concede controle total sobre a exibição. Necessário para alterar uma exibição. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma exibição.

Nota

  • Os privilégios da tabela DML como INSERT, UPDATE e DELETE podem ser concedidos em exibições; no entanto, como as exibições são somente de leitura, estes privilégios não têm efeito.

  • A operação em uma exibição também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios da exibição materializada

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma exibição e classificar uma exibição materializada. . . Observe que esse privilégio é suficiente para consultar uma exibição. O privilégio SELECT nos objetos subjacentes para uma exibição não é necessário.

REFERENCES

Permite visualizar a estrutura de uma exibição (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma exibição materializada de um orçamento.

OWNERSHIP

Concede controle total sobre a exibição. Necessário para alterar uma exibição. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma exibição.

Nota

  • Os privilégios da tabela DML como INSERT, UPDATE e DELETE podem ser concedidos em exibições; no entanto, como as exibições são somente de leitura, estes privilégios não têm efeito.

  • A operação em uma exibição também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios de notebook

Privilégio

Uso

OWNERSHIP

Concede controle total sobre o notebook. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Privilégios de estágio

Privilégio

Uso

USAGE

Permite utilizar um objeto de preparação externo em uma instrução SQL e inclui os privilégios READ e WRITE; não aplicável a estágios internos.

READ

Permite executar qualquer operação que exija leitura de um estágio (por exemplo, comandos de preparação de arquivos e COPY INTO <tabela>).

WRITE

Permite executar qualquer operação que exija gravação em um estágio (por exemplo, comandos de preparação de arquivos e COPY INTO <local>).

OWNERSHIP

Concede controle total sobre o estágio. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios aplicáveis, exceto OWNERSHIP, para o estágio (interno ou externo).

Nota

  • Ao conceder ambos os privilégios READ e WRITE para um estágio interno, o privilégio READ deve ser concedido antes ou ao mesmo tempo que o privilégio WRITE.

  • Ao revogar ambos os privilégios READ e WRITE para um estágio interno, o privilégio WRITE deve ser revogado antes ou ao mesmo tempo que o privilégio READ.

  • A operação em um estágio também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios da tabela de diretório

A tabela a seguir resume os privilégios do estágio necessários para executar comandos SQL comuns ao trabalhar com tabelas de diretório em um estágio.

Operação

Tipo de objeto

Privilégio obrigatório

Recupere os URLs do arquivo de uma tabela de diretório usando uma instrução SELECT FROM DIRECTORY.

Estágio

Uma das seguintes opções, dependendo do tipo de estágio:

  • Estágio interno: uma função de conta ou função de banco de dados com o privilégio READ no estágio.

  • Estágio externo: uma função de conta ou função de banco de dados com o privilégio READ ou USAGE no estágio.

Carregue os dados usando o comando PUT.

Estágio (somente interno)

Uma função de conta ou função de banco de dados com o privilégio WRITE no estágio.

Remova arquivos usando o comando REMOVE.

Estágio

Uma das seguintes opções, dependendo do tipo de estágio:

  • Estágio interno: uma função de conta ou função de banco de dados com o privilégio WRITE no estágio.

  • Estágio externo: uma função de conta ou função de banco de dados com o privilégio WRITE ou USAGE no estágio.

Atualize os metadados usando o comando ALTER STAGE.

Estágio

Uma das seguintes opções, dependendo do tipo de estágio:

  • Estágio interno: uma função de conta ou função de banco de dados com o privilégio WRITE no estágio.

  • Estágio externo: uma função de conta ou função de banco de dados com o privilégio WRITE ou USAGE no estágio.

Privilégios de repositório Git

Privilégio

Uso

READ

Permite executar qualquer operação que exija a leitura de um estágio do repositório Git.

WRITE

Permite executar operações que exigem gravação em um estágio do repositório Git, como alterar as propriedades do objeto ou executar um FETCH a partir do repositório remoto.

OWNERSHIP

Concede controle total sobre o estágio do repositório Git. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios aplicáveis, exceto OWNERSHIP, no estágio do repositório Git.

Privilégios de formato de arquivo

Privilégio

Uso

USAGE

Permite utilizar um formato de arquivo em uma instrução SQL.

OWNERSHIP

Concede controle total sobre o formato de arquivo. Necessário para alterar um formato de arquivo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o formato de arquivo.

Nota

  • A operação em formatos de arquivo também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios de canal

Objetos de canal são criados e gerenciados para carregar dados usando o Snowpipe.

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um canal de um orçamento.

MONITOR

Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES).

OPERATE

Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES), pausando ou retomando o canal e atualizando o canal.

OWNERSHIP

Concede controle total sobre o canal. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o canal.

Nota

A operação em canais também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da função de banco de dados

Privilégio

Uso

OWNERSHIP

Concede controle total sobre uma função de banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função do banco de dados que possui. Para herdar permissões de um função de banco de dados, essa função de banco de dados precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções.

Privilégios de fluxo

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em um fluxo.

OWNERSHIP

Concede controle total sobre o fluxo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o fluxo.

Privilégios de tarefa

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover uma tarefa de um orçamento.

MONITOR

Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS).

OPERATE

Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS) e retomar ou suspender a tarefa.

OWNERSHIP

Concede controle total sobre a tarefa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a tarefa.

Privilégios do segredo

Privilégio

Uso

READ

Ativa uma UDF ou procedimento armazenado que usa um segredo para acessar as credenciais armazenadas no segredo. Para obter mais detalhes, consulte Criação de um segredo para representar credenciais.

USAGE

Permite o uso de um segredo.

OWNERSHIP

Transfere a propriedade de um segredo, o que garante o controle total sobre o segredo. Exigido para alterar a maioria das propriedades de um segredo ou descartar um segredo do sistema.

Privilégios da política de agregação

Privilégio

Uso

APPLY

Permite a execução de operações não definidas e definidas para uma política de agregação em uma tabela ou exibição.

Observe que a concessão do privilégio global APPLY AGGREGATION POLICY (isto é, APPLY AGGREGATION POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

OWNERSHIP

Concede controle total sobre a política de agregação. Obrigatório para alterar a maioria das propriedades de uma política de agregação. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de agregação também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de mascaramento

Privilégio

Uso

APPLY

Permite executar as operações de remover e definir para uma política de mascaramento em uma coluna.

Observe que a concessão do privilégio global APPLY MASKING POLICY (isto é, APPLY MASKING POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

Para exemplos de sintaxe, consulte Privilégios da política de mascaramento.

OWNERSHIP

Concede controle total sobre a política de mascaramento. Requerido para alterar a maioria das propriedades de uma política de mascaramento. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de mascaramento também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de privacidade

Privilégio

Uso

APPLY

Permite executar as operações de configuração e cancelamento de configuração para uma política de privacidade em uma tabela ou exibição.

Observe que a concessão do privilégio global APPLY PRIVACY POLICY (isto é, APPLY PRIVACY POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

OWNERSHIP

Concede controle total sobre a política de privacidade. Necessário para alterar a maioria das propriedades de uma política de privacidade. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de privacidade também requer o privilégio USAGE no banco de dados e no esquema primário.

Privilégios da política de projeção

Privilégio

Uso

APPLY

Permite executar as operações de remover e definir para uma política de projeção em uma coluna.

Observe que a concessão do privilégio global APPLY PROJECTION POLICY (isto é, APPLY PROJECTION POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

OWNERSHIP

Concede controle total sobre a política de projeção. Necessário para alterar a maioria das propriedades de uma política de projeção. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de projeção também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de acesso a linhas

Privilégio

Uso

APPLY

Permite a execução das operações de adição e descarte para a política de acesso a linhas em uma tabela ou exibição.

Observe que a concessão do privilégio global APPLY ROW ACCESSPOLICY (ou seja, APPLY ROW ACCESS POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

Para exemplos de sintaxe, consulte Resumo de comandos DDL, operações e privilégios.

OWNERSHIP

Concede controle total sobre a política de acesso a linhas. Requerido para alterar a maioria das propriedades de uma política de acesso a linhas. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de acesso a linhas também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tags

Privilégio

Uso

APPLY

Permite a execução das operações de adição e descarte para a tag em um objeto do Snowflake.

READ

Permite que um consumidor de compartilhamento de dados visualize atribuições de tags compartilhadas usando um comando SHOW TAGS. O provedor de compartilhamento de dados concede esse privilégio a uma função de banco de dados ou diretamente ao compartilhamento.

OWNERSHIP

Concede controle total sobre a tag. Necessário para alterar a maioria das propriedades de uma tag. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

As tags são armazenadas no nível do esquema.

A operação em uma tag requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de sequência

Privilégio

Uso

USAGE

Permite utilizar uma sequência em uma instrução SQL.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a sequência.

OWNERSHIP

Concede controle total sobre a sequência; necessário para alterar a sequência. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma sequência também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de procedimento armazenado

Privilégio

Uso

USAGE

Permite chamar um procedimento armazenado.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o procedimento armazenado.

OWNERSHIP

Concede controle total para o procedimento armazenado; necessário para alterar o procedimento armazenado. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

  • A operação em um procedimento armazenado também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Se um procedimento armazenado for executado com direitos do chamador, o usuário que chama o procedimento armazenado deve ter privilégios para os objetos do banco de dados (por exemplo, tabelas) acessados pelo procedimento armazenado. Para obter mais detalhes, consulte Procedimentos armazenados com direitos do chamador e direitos do proprietário.

Privilégios de função definida pelo usuário (UDF) e função externa

Privilégio

Uso

USAGE

Permite chamar uma função UDF ou função externa.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a função UDF ou função externa.

OWNERSHIP

Concede controle total sobre a função UDF ou função externa; necessário para alterar a função UDF ou função externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

  • A operação em uma função UDF ou função externa também requer o privilégio USAGE no banco de dados pai e no esquema.

  • O proprietário de uma função UDF deve ter privilégios sobre os objetos acessados pela função; o usuário que chama uma função UDF não precisa desses privilégios. Para obter mais detalhes, consulte Requisitos de segurança/privilégio para UDFs SQL.

  • O proprietário de uma função externa deve ter o privilégio USAGE para o objeto de integração API associado à função externa. Para obter mais detalhes, consulte Controle de acesso na documentação sobre funções externas.

Privilégios de função de métricas de dados (DMF)

Privilégio

Uso

USAGE

Permite chamar a DMF.

OWNERSHIP

Transfere a propriedade da função de métricas de dados, o que concede controle total sobre a função de métricas de dados. Necessário para alterar a maioria das propriedades da função de métricas de dados.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, no DMF.

Privilégios do alerta

Privilégio

Uso

MONITOR

Permite visualizar detalhes do alerta (usando DESCRIBE ALERT ou SHOW ALERTS).

OPERATE

Permite visualizar detalhes do alerta (usando DESCRIBE ALERT ou SHOW ALERTS) e retomar ou suspender o alerta (usando ALTER ALERT).

OWNERSHIP

Concede controle total sobre o alerta. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, no alerta.

Privilégios do pool de computação

Privilégio

Uso

OPERATE

Permite suspender ou retomar um pool de computação.

MODIFY

Permite alterar o pool de computação e definir propriedades.

USAGE

Permite a execução de um serviço ou trabalho. Ele permite a comunicação com o serviço (criar uma função de serviço, usar pontos de extremidade públicos e conectar-se a partir de outro serviço).

MONITOR

Permite visualizar o uso do pool de computação (número de serviços e trabalhos em execução), propriedades e listar o pool de computação na conta para a qual a função tem privilégios de acesso.

OWNERSHIP

Concede controle total sobre o pool de computação. Somente uma única função pode ter este privilégio em um objeto de pool de computação específico de cada vez.

Privilégios do repositório de imagens

Privilégio

Uso

OWNERSHIP

Permite controle total sobre o repositório de imagens. A função com este privilégio também pode excluir um repositório de imagens.

READ

Habilite a listagem e o download de imagens de um repositório de imagens.

WRITE

Permite listar e baixar imagens de um repositório. Também permite enviar imagens para o repositório.

Privilégios de serviço

Privilégio

Uso

OPERATE

Permite suspender ou retomar um serviço, a atualização do serviço e a modificação das propriedades do serviço.

OWNERSHIP

Permite controle total sobre o serviço. A função com este privilégio também pode remover um serviço de um esquema.

MONITOR

Habilite o monitoramento de um serviço e a obtenção do status do tempo de execução.

Privilégios do Cortex Search Service

Privilégio

Uso

OWNERSHIP

Permite controle total sobre o Cortex Search Service. A função com este privilégio também pode remover um serviço de um esquema.

USAGE

Habilita a invocação do serviço.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, no serviço.

Privilégios de instantâneo

Privilégio

Uso

OWNERSHIP

Permite controle total sobre o instantâneo. A função com este privilégio também pode remover um instantâneo de um esquema.

USAGE

Permite listar e descrever instantâneos.

Privilégios do Streamlit

Privilégio

Uso

USAGE

Permite visualizar e executar um aplicativo Streamlit.

Privilégios do modelo

Privilégio

Uso

OWNERSHIP

Permite controle total sobre o modelo. Somente uma função por vez pode ter esse privilégio em um determinado modelo.

USAGE

Permite exibir informações sobre um modelo e invocar seus métodos. Ele não permite que os usuários vejam os pesos do modelo ou os artefatos que definem o modelo.