Privilégios de controle de acesso

Este tópico descreve os privilégios que estão disponíveis no modelo de controle de acesso do Snowflake. Os privilégios são concedidos a funções, e as funções são concedidas a usuários para especificar as operações que os usuários podem realizar nos objetos do sistema.

Neste tópico:

Todos os privilégios (em ordem alfabética)

Os seguintes privilégios estão disponíveis no modelo de controle de acesso do Snowflake. O significado de cada privilégio varia dependendo do tipo de objeto ao qual é aplicado, e nem todos os objetos suportam todos os privilégios:

Privilégio

Tipo de objeto

Descrição

ALL [ PRIVILEGES ]

Todos

Concede todos os privilégios para o tipo de objeto especificado.

APPLY AGGREGATION POLICY

Global

Permite adicionar e descartar uma política de agregação em uma tabela ou exibição.

APPLYBUDGET

Banco de dados, esquema, tabela, tabela híbrida, tabela Iceberg, warehouse, tarefa, canal, exibição materializada

Concede a capacidade de adicionar ou remover um objeto de ou para um orçamento.

APPLY AUTHENTICATION POLICY

Global

Concede a possibilidade de adicionar ou descartar uma política de autenticação na conta Snowflake ou um usuário na conta Snowflake.

APPLY MASKING POLICY

Global

Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY PACKAGES POLICY

Global

Concede a capacidade de adicionar ou descartar uma política de pacotes na conta Snowflake.

APPLY PASSWORD POLICY

Global

Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake.

APPLY PROJECTION POLICY

Global

Permite adicionar e descartar uma política de projeção em uma tabela ou exibição.

APPLY ROW ACCESS POLICY

Global

Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição. Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY SESSION POLICY

Global

Permite definir ou remover uma política de sessão em uma conta ou usuário.

APPLY TAG

Global

Permite adicionar ou descartar uma tag em um objeto Snowflake.

ATTACH POLICY

Global

Permite ativar uma política de redes associando-a à sua conta.

AUDIT

Global

Concede a capacidade de definir o parâmetro de usuário ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Global

Permite criar um serviço que oferece suporte a pontos de extremidade públicos. Para obter mais informações sobre pontos de extremidade públicos, consulte Entrada: usando um serviço de fora do Snowflake.

CREATE <Tipo_de_objeto>

Global, banco de dados, esquema

Permite criar um objeto de <tipo_objeto> (por exemplo, CREATE TABLE permite criar uma tabela dentro de um esquema).

DELETE

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando DELETE na tabela.

EVOLVE SCHEMA

Tabela

Concede a capacidade de evolução do esquema ocorrer em uma tabela ao carregar dados.

EXECUTE ALERT

Global

Concede a capacidade de executar alertas de propriedade da função.

EXECUTE MANAGED TASK

Global

Concede a capacidade de criar tarefas que dependem de recursos de computação sem servidor. Somente necessário para criar tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada.

EXECUTE TASK

Global

Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK.

FAILOVER

Grupo de failover

Concede a capacidade de promover um grupo de failover secundário para servir como principal.

IMPORT SHARE

Global

Aplica-se a consumidores de dados. Permite exibir os compartilhamentos com sua conta. Também permite a criação bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE.

OVERRIDE SHARE RESTRICTIONS

Global

Concede a capacidade de definir o valor do parâmetro SHARE_RESTRICTIONS em um compartilhamento que permite que uma conta de provedor Business Critical adicione uma conta de consumidor (com edição não Business Critical) a um compartilhamento. Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para outro tipo de conta.

IMPORTED PRIVILEGES

Banco de dados, troca de dados

Permite a habilitação de funções diferentes daquela de proprietário a acessar um banco de dados compartilhado ou gerenciar um Snowflake Marketplace/troca de dados.

INSERT

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando INSERT na tabela.

MANAGE GRANTS

Global

Permite conceder ou revogar privilégios para qualquer objeto como se a função invocadora fosse o proprietário do objeto.

MANAGE LISTING AUTOFULFILLMENT

Global

Concede a capacidade de publicar listagens em regiões remotas usando o preenchimento automático entre nuvens e gerenciar configurações de preenchimento automático para listagens.

MANAGE WAREHOUSES

Global

Concede a capacidade de realizar operações que exigem os privilégios MODIFY, MONITOR e OPERATE em warehouses na mesma conta.

MODIFY

Monitor de recursos, warehouse, listagem de troca de dados, banco de dados, esquema, grupo de failover, grupo de replicação, pool de computação

Permite alterar as configurações ou propriedades de um objeto (por exemplo, em um warehouse virtual, fornece a capacidade de alterar o tamanho de um warehouse virtual).

MODIFY LOG LEVEL

Global

Permite definir o nível de mensagens de log capturadas para procedimentos armazenados e UDFs na conta atual. Para obter mais informações, consulte LOG_LEVEL.

MODIFY SESSION LOG LEVEL

Global

Permite definir o nível das mensagens de log capturadas para procedimentos armazenados e UDFs invocados na sessão atual. Para obter mais informações, consulte LOG_LEVEL.

MODIFY TRACE LEVEL

Global

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs na conta atual. Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Global

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs invocados na sessão atual. Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MONITOR

Usuário, monitor de recursos, warehouse, banco de dados, esquema, tarefa, grupo de failover, grupo de replicação, alerta, pool de computação, serviço, tabela dinâmica

Permite ver detalhes dentro de um objeto (por exemplo, consultas e uso dentro de um warehouse).

MONITOR EXECUTION

Global

Permite monitorar canais (Snowpipe) ou tarefas na conta.

MONITOR SECURITY

Global

Concede a capacidade de chamar funções do sistema pertencentes a Chaves gerenciadas pelo cliente.

MONITOR USAGE

Global

Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS.

OPERATE

Warehouse, tarefa, tabela dinâmica, alerta, pool de computação. Serviço

Permite iniciar, parar, suspender ou retomar um warehouse virtual. Permite suspender ou retomar uma tarefa. Permite suspender, retomar ou atualizar como tabela dinâmica. Permite suspender ou retomar um pool de computação. Permite suspender ou retomar um serviço Snowpark Container Services, atualizar o serviço, definir e cancelar a definição das propriedades do serviço.

OWNERSHIP

Todos

Permite descartar, alterar e conceder ou revogar acesso a um objeto. Necessário para renomear um objeto e criar um objeto temporário com o mesmo nome do próprio objeto. OWNERSHIP é um privilégio especial para um objeto automaticamente concedido à função que criou o objeto, mas também pode ser transferido usando o comando GRANT OWNERSHIP para uma função diferente pela função proprietária ou qualquer função com o privilégio MANAGE GRANTS.

PURCHASE DATA EXCHANGE LISTING

Global

Concede a capacidade de comprar uma listagem paga.

READ

Estágio (somente interno), pool de computação, repositório de imagens

Permite realizar qualquer operação que requeira leitura de um estágio interno (GET, LIST, COPY INTO <tabela> etc.). Permite baixar uma imagem de um repositório de imagens. O privilégio READ é necessário no estágio e no repositório de imagens para criar um serviço do Snowpark Container Services.

REFERENCES

Tabela, tabela híbrida, tabela Iceberg, tabela externa, exibição

Permite visualizar a estrutura de um objeto (mas não os dados). . . Para tabelas, o privilégio também permite referenciar o objeto como a tabela de chave única/primária para uma restrição de chave estrangeira.

REPLICATE

Grupo de replicação, grupo de failover

Permite atualizar um grupo de replicação ou um grupo de failover secundário.

RESOLVE ALL

Global

Concede a capacidade de resolver todos os objetos na conta, o que gera o objeto no comando SHOW <objetos> correspondente.

SELECT

Tabela, tabela híbrida, tabela Iceberg, tabela externa, exibição, fluxo

Permite executar uma instrução SELECT na tabela/exibição.

TRUNCATE

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando TRUNCATE TABLE na tabela.

UPDATE

Tabela, tabela híbrida, tabela Iceberg

Permite executar um comando UPDATE na tabela.

USAGE

Warehouse, listagem de troca de dados, integração, banco de dados, esquema, estágio (apenas externo), formato do arquivo, sequência, procedimento armazenado, função definida pelo usuário, função externa, pool de computação, serviço

Permite executar um comando USE <objeto> no objeto. Também permite executar um comando SHOW <objetos> no objeto. O uso em um pool de computação é necessário para criar um serviço do Snowpark Container Services. O uso do serviço Snowpark Container Services é necessário para listar pontos de extremidade no serviço.

WRITE

Estágio (somente interno), repositório de imagens

Permite realizar quaisquer operações que exijam gravar em um estágio interno (PUT, REMOVE, COPY INTO <local> etc.). Permite fazer upload de uma imagem para um repositório de imagens.

As demais seções deste tópico descrevem os privilégios específicos disponíveis para cada tipo de objeto e seu uso.

Privilégios globais (privilégios no nível da conta)

Privilégio

Uso

Notas

APPLY AGGREGATION POLICY

Permite adicionar e descartar uma política de agregação em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY AUTHENTICATION POLICY

Concede a possibilidade de adicionar ou descartar uma política de autenticação na conta Snowflake ou um usuário na conta Snowflake.

APPLY MASKING POLICY

Permite definir uma política de mascaramento de segurança em nível de coluna em uma coluna de tabela ou exibição e definir uma política de mascaramento em uma tag.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY ROW ACCESS POLICY

Permite adicionar e descartar uma política de acesso a linhas em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY PACKAGES POLICY

Concede a capacidade de adicionar ou descartar uma política de pacotes na conta Snowflake.

APPLY PASSWORD POLICY

Concede a possibilidade de adicionar ou descartar uma política de senhas na conta Snowflake ou um usuário na conta Snowflake.

APPLY PROJECTION POLICY

Permite adicionar e descartar uma política de projeção em uma tabela ou exibição.

Este privilégio global também permite executar a operação DESCRIBE em tabelas e exibições.

APPLY SESSION POLICY

Permite definir ou remover uma política de sessão em uma conta ou usuário.

ATTACH POLICY

Permite ativar uma política de redes associando-a à sua conta.

AUDIT

Concede a capacidade de definir o parâmetro de usuário ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR.

BIND SERVICE ENDPOINT

Permite criar um serviço que oferece suporte a pontos de extremidade públicos. Para obter mais informações sobre pontos de extremidade públicos, consulte Entrada: usando um serviço de fora do Snowflake

Deve ser concedido pela função ACCOUNTADMIN.

CREATE ACCOUNT

Permite que um provedor de dados crie uma nova conta gerenciada (ou seja, uma conta de leitor). Para obter mais detalhes, consulte Gerenciamento de contas de leitor.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE COMPUTE POOL

Permite a criação de um pool de computação para executar um serviço Snowpark Container Services.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE DATABASE

Permite criar um novo banco de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE EXTERNAL VOLUME

Permite a criação de um novo volume externo para Tabelas Iceberg.

CREATE FAILOVER GROUP

Permite a criação de um novo grupo de failover.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE REPLICATION GROUP

Possibilita a criação de um novo grupo de replicação.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE ROLE

Permite criar uma nova função.

CREATE USER

Permite criar um novo usuário.

CREATE DATA EXCHANGE LISTING

Permite criar uma nova listagem de troca de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE INTEGRATION

Permite criar uma nova integração de catálogo, notificação, segurança ou armazenamento.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE NETWORK POLICY

Permite criar uma nova política de rede.

CREATE SHARE

Permite a um provedor de dados criar um novo compartilhamento. Para obter mais detalhes, consulte Habilitação de funções diferentes de ACCOUNTADMIN para executar tarefas de compartilhamento de dados.

Deve ser concedido pela função ACCOUNTADMIN.

CREATE WAREHOUSE

Permite criar um novo warehouse virtual.

EXECUTE ALERT

Concede a capacidade de executar alertas de propriedade da função.

Deve ser concedido pela função ACCOUNTADMIN.

EXECUTE MANAGED TASK

Concede a capacidade de criar tarefas que dependem de recursos de computação sem servidor. Somente necessário para tarefas sem servidor. A função que tem o privilégio OWNERSHIP sobre uma tarefa deve ter tanto o privilégio EXECUTE MANAGED TASK como o privilégio EXECUTE TASK para que a tarefa seja executada.

Deve ser concedido pela função ACCOUNTADMIN.

EXECUTE TASK

Permite executar tarefas de propriedade da função. Para que tarefas sem servidor sejam executadas, a função que tem o privilégio OWNERSHIP para a tarefa também deve ter o privilégio global EXECUTE MANAGED TASK.

Deve ser concedido pela função ACCOUNTADMIN.

IMPORT SHARE

Permite que um consumidor de dados veja os compartilhamentos de sua conta. Também permite criar bancos de dados a partir de compartilhamentos; requer o privilégio global CREATE DATABASE. Para obter mais detalhes, consulte Habilitação de funções diferentes de ACCOUNTADMIN para executar tarefas de compartilhamento de dados.

Deve ser concedido pela função ACCOUNTADMIN.

MANAGE GRANTS

Permite conceder ou revogar privilégios sobre objetos para os quais a função não é o proprietário.

Deve ser concedido pela função SECURITYADMIN (ou superior).

MANAGE WAREHOUSES

Concede a capacidade de realizar operações que exigem privilégios MODIFY, MONITOR e OPERATE em warehouses na mesma conta.

Deve ser concedido pela função ACCOUNTADMIN.

MANAGE LISTING AUTOFULFILLMENT

Concede a capacidade de publicar listagens em regiões remotas usando o preenchimento automático entre nuvens e gerenciar configurações de preenchimento automático para listagens.

Deve ser concedido pela função ACCOUNTADMIN depois que essa função tiver privilégios delegados pela função ORGADMIN.

MODIFY LOG LEVEL

Permite definir o nível de mensagens de log capturadas para procedimentos armazenados e UDFs na conta atual.

Para obter mais informações, consulte LOG_LEVEL.

MODIFY SESSION LOG LEVEL

Permite definir o nível das mensagens de log capturadas para procedimentos armazenados e UDFs invocados na sessão atual.

Para obter mais informações, consulte LOG_LEVEL.

MODIFY TRACE LEVEL

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs na conta atual.

Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MODIFY SESSION TRACE LEVEL

Permite definir o nível de eventos de rastreamento capturados para procedimentos armazenados e UDFs invocados na sessão atual.

Ao rastrear eventos, você também deve definir o parâmetro LOG_LEVEL como um dos valores compatíveis. Para obter mais informações, consulte TRACE_LEVEL.

MONITOR EXECUTION

Permite monitorar quaisquer canais ou tarefas na conta.

Deve ser concedido pela função ACCOUNTADMIN. O privilégio USAGE também é exigido em cada banco de dados e esquema que armazena esses objetos.

MONITOR SECURITY

Concede a capacidade de chamar funções do sistema pertencentes a Chaves gerenciadas pelo cliente.

MONITOR USAGE

Permite monitorar o uso em nível de conta e informações históricas para bancos de dados e warehouses; para mais detalhes, consulte Habilitação de administradores sem conta para monitorar o uso e o histórico de faturamento no console clássico. Além disso, permite visualizar contas gerenciadas usando SHOW MANAGED ACCOUNTS.

Deve ser concedido pela função ACCOUNTADMIN.

OVERRIDE SHARE RESTRICTIONS

Concede a capacidade de definir o valor do parâmetro SHARE_RESTRICTIONS em um compartilhamento que permite que uma conta de provedor Business Critical adicione uma conta de consumidor (com edição não Business Critical) a um compartilhamento.

Para obter mais detalhes, consulte Habilitação do compartilhamento de uma conta Business Critical para outro tipo de conta.

PURCHASE DATA EXCHANGE LISTING

Concede a capacidade de comprar uma listagem paga.

Consulte Pagamento de listagens.

RESOLVE ALL

Concede a capacidade de resolver todos os objetos na conta, o que gera o objeto no comando SHOW <objetos> correspondente.

ALL [ PRIVILEGES ]

Concede todos os privilégios globais.

Privilégios do usuário

Privilégio

Uso

MONITOR

Permite visualizar o histórico de login do usuário.

OWNERSHIP

Concede controle total sobre um usuário/função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao usuário.

Privilégios de função

Privilégio

Uso

OWNERSHIP

Concede controle total sobre uma função. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função que possui. Para herdar permissões de um função, essa função precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções.

Privilégios do monitor de recursos

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um monitor de recursos, tais como a alteração da cota de crédito mensal.

MONITOR

Permite exibir um monitor de recursos.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o monitor de recursos.

Privilégios de warehouse virtual

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um warehouse de um orçamento.

MODIFY

Permite alterar quaisquer propriedades de um warehouse, inclusive seu tamanho. . . Necessário para atribuir um warehouse a um monitor de recursos. Note que somente a função ACCOUNTADMIN pode atribuir warehouses a monitores de recursos.

MONITOR

Permite exibir consultas atuais e passadas executadas em um warehouse, assim como estatísticas de uso do warehouse.

OPERATE

Permite mudar o estado de um warehouse (parar, iniciar, suspender, retomar). Além disso, permite exibir consultas atuais e passadas executadas em um warehouse e cancelar qualquer consulta em execução.

USAGE

Permite utilizar um warehouse virtual e, como resultado, executar consultas no warehouse. Se o warehouse for configurado para retomada automática quando uma instrução SQL (por exemplo, consulta) for enviada a ele, o warehouse é retomado automaticamente e executa a instrução.

OWNERSHIP

Concede controle total sobre um warehouse. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o warehouse.

Dica

A concessão do privilégio global MANAGE WAREHOUSES é equivalente a conceder os privilégios MODIFY, MONITOR e OPERATE em todos os warehouses em uma conta. Você pode conceder esse privilégio a uma função cuja finalidade inclua o gerenciamento de um warehouse para simplificar o gerenciamento de controle de acesso do Snowflake.

Para obter mais detalhes, consulte Como delegar o gerenciamento do warehouse.

Para instruções sobre como criar uma função personalizada com um conjunto específico de privilégios, consulte Criação de funções personalizadas.

Para informações gerais sobre concessões de funções e privilégios para executar ações de SQL em objetos protegíveis, consulte Visão geral do controle de acesso.

Privilégios de conexão

Somente a função ACCOUNTADMIN possui conexões. O privilégio OWNERSHIP não pode ser concedido a outra função.

Privilégios de volume externo

Privilégio

Uso

USAGE

Permite fazer referência ao volume externo ao executar outros comandos que usam o volume externo e concede a capacidade de visualizar detalhes de um volume externo em um comando SHOW ou DESCRIBE.

OWNERSHIP

Concede controle total sobre um volume externo. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

Privilégios do grupo de failover

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um grupo de failover.

MONITOR

Permite a visualização de detalhes de um grupo de failover.

OWNERSHIP

Concede controle total sobre um grupo de failover. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

FAILOVER

Permite promover um grupo secundário de failover para servir como grupo primário de failover.

REPLICATE

Habilita a atualização de um grupo de failover secundário.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao canal.

Privilégios do grupo de replicação

Privilégio

Uso

MODIFY

Permite alterar quaisquer propriedades de um grupo de replicação.

MONITOR

Permite a visualização de detalhes de um grupo de replicação.

OWNERSHIP

Concede controle total sobre um grupo de replicação. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

REPLICATE

Habilita a atualização de um grupo de replicação secundário.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, ao grupo de replicação.

Privilégios de integração

Privilégio

Uso

USAGE

Permite referenciar a integração ao executar outros comandos que utilizam a integração. Para obter mais informações, consulte requisitos de controle de acesso para CREATE STAGE e CREATE EXTERNAL ACCESS INTEGRATION.

USE_ANY_ROLE

Permite ao usuário ou cliente OAuth externo trocar de função somente se este privilégio for concedido ao cliente ou usuário. Configure a integração de segurança OAuth externa para usar o parâmetro EXTERNAL_OAUTH_ANY_ROLE_MODE usando CREATESECURITYINTEGRATION ou ALTERSECURITYINTEGRATION.

OWNERSHIP

Concede controle total sobre uma integração. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a integração.

Privilégios da política de autenticação

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de autenticação, que concede controle total sobre a política de autenticação. Obrigatório para alterar a maioria das propriedades de uma política de autenticação.

Privilégios da regra de rede

Privilégio

Uso

OWNERSHIP

Concede controle total sobre a regra de rede.

Privilégios de política de redes

Privilégio

Uso

OWNERSHIP

Concede controle total sobre a política de rede. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

Privilégios da política de pacotes

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de pacotes, o que concede controle total sobre a política de pacotes. Necessário para alterar a maioria das propriedades de uma política de pacotes.

USAGE

Concede a capacidade de visualizar o conteúdo de uma política de pacotes em um comando SHOW ou DESCRIBE.

Privilégios de política de senhas

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de senhas, o que concede controle total sobre a política de senhas. Necessário para alterar a maioria das propriedades de uma política de senhas.

Privilégios de política de sessão

Privilégio

Uso

OWNERSHIP

Transfere a propriedade de uma política de sessão, o que concede controle total sobre a política de sessão. Necessário para alterar a maioria das propriedades de uma política de sessão.

Privilégios de troca de dados

Privilégio

Uso

IMPORTED PRIVILEGES

Permite habilitar funções diferentes de proprietário para gerenciar um Data Exchange.

Privilégios de listagem

Nota

Você deve usar Snowsight para gerenciar privilégios no nível da listagem. Consulte Concessão de privilégios a outras funções.

Privilégio

Uso

MODIFY

Permite que funções diferentes daquela de proprietário modifiquem uma listagem.

USAGE

Permite visualizar uma listagem.

OWNERSHIP

Concede controle total sobre uma listagem. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma listagem.

Compartilhamento de privilégios

Privilégio

Uso

OWNERSHIP

Concede controle total sobre um compartilhamento. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Não pode ser transferido.

Privilégios de banco de dados

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um banco de dados de um orçamento.

MODIFY

Permite alterar quaisquer configurações de banco de dados.

MONITOR

Permite executar o comando DESCRIBE no banco de dados.

USAGE

Permite utilizar um banco de dados, incluindo retornar os detalhes do banco de dados na saída do comando SHOW DATABASES. São necessários privilégios adicionais para visualizar ou executar ações em objetos de um banco de dados.

REFERENCE_USAGE

Permite usar um objeto (por exemplo, exibição segura em um compartilhamento) quando o objeto faz referência a outro objeto em um banco de dados diferente. Conceda o privilégio no outro banco de dados para o compartilhamento. Não é possível conceder esse privilégio em um banco de dados a nenhum tipo de função. Para obter mais detalhes, consulte GRANT <privilégio> … TO SHARE e Compartilhamento de dados a partir de diversos bancos de dados.

CREATE DATABASE ROLE

Permite criar uma nova função de banco de dados em um banco de dados.

CREATE SCHEMA

Permite criar um novo esquema em um banco de dados, incluindo clonar um esquema.

IMPORTED PRIVILEGES

Permite que funções diferentes de proprietário acessem um banco de dados compartilhado; aplica-se somente a bancos de dados compartilhados.

OWNERSHIP

Concede controle total sobre o banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para um banco de dados.

Nota

  • Alterar as propriedades de um banco de dados exige o privilégio OWNERSHIP para o banco de dados.

    A atualização da propriedade COMMENT exige apenas o privilégio MODIFY para o banco de dados.

  • Se qualquer privilégio de banco de dados for concedido a uma função, essa função pode executar ações SQL em objetos de um esquema usando nomes totalmente qualificados. A função deve ter o privilégio USAGE no esquema, bem como o privilégio ou privilégios necessários no objeto. Para tornar um banco de dados ativo em uma sessão do usuário, é necessário ter o privilégio USAGE para o banco de dados.

  • Uma função de nível de conta (isto é, r1) com o privilégio OWNERSHIP no banco de dados pode conceder o privilégio CREATE DATABASE ROLE a uma função de nível de conta diferente (isto é, r2). Da mesma forma, r1 também pode revogar o privilégio CREATE DATABASE ROLE de outra função de nível de conta.

    Neste cenário, r2 deve ter o privilégio USAGE no banco de dados para criar uma nova função de banco de dados no banco de dados.

  • Ao criar uma função do banco de dados, o privilégio USAGE no banco de dados que contém a função do banco de dados é concedido automaticamente à função do banco de dados.

Privilégios de esquema

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um esquema de um orçamento.

MODIFY

Permite alterar quaisquer configurações de um esquema.

MONITOR

Permite executar o comando DESCRIBE no esquema.

USAGE

Permite utilizar um esquema, incluindo retornar os detalhes do esquema na saída do comando SHOW SCHEMAS. . . Para executar comandos SHOW <objetos> para objetos (tabelas, exibições, estágios, formatos de arquivo, sequências, canais ou funções) no esquema, um função deve ter pelo menos um privilégio concedido para o objeto.

CREATE AUTHENTICATION POLICY

Permite a criação de uma nova política de autenticação em um esquema.

CREATE TABLE

Permite criar uma nova tabela em um esquema, incluindo clonar uma tabela. Note que este privilégio não é necessário para criar tabelas temporárias, cujo escopo é a sessão atual do usuário e que são automaticamente descartadas quando a sessão termina.

CREATE DYNAMIC TABLE

Permite criar uma nova tabela dinâmica em um esquema.

CREATE EXTERNAL TABLE

Permite criar uma nova tabela externa em um esquema.

CREATE HYBRID TABLE

Permite criar uma nova tabela híbrida em um esquema.

CREATE ICEBERG TABLE

Permite criar uma nova tabela Iceberg em um esquema.

CREATE VIEW

Permite criar uma nova exibição em um esquema.

CREATE MASKING POLICY

Permite a criação de uma nova política de mascaramento em um esquema.

CREATE MATERIALIZED VIEW

Permite criar uma nova exibição materializada em um esquema.

CREATE NETWORK RULE

Permite a criação de uma nova regra de rede em um esquema.

CREATE ROW ACCESS POLICY

Permite a criação de uma nova política de acesso a linhas em um esquema.

CREATE SECRET

Permite a criação de um novo segredo no esquema atual/especificado ou substitui um segredo existente.

CREATE SESSION POLICY

Permite a criação de uma nova política de sessão em um esquema.

CREATE STAGE

Permite criar um novo estágio em um esquema, incluindo clonar um estágio.

CREATE STREAMLIT

Permite criar e visualizar um aplicativo Streamlit.

CREATE FILE FORMAT

Permite criar um novo formato de arquivo em um esquema, incluindo clonar um formato de arquivo.

CREATE SEQUENCE

Permite criar uma nova sequência em um esquema, incluindo clonar uma sequência.

CREATE FUNCTION

Permite criar uma nova função UDF ou função externa em um esquema.

CREATE PACKAGES POLICY

Permite a criação de uma nova política de pacotes em um esquema.

CREATE PASSWORD POLICY

Permite a criação de uma nova política de senhas em um esquema.

CREATE PIPE

Permite criar um novo canal em um esquema.

CREATE STREAM

Permite criar um novo fluxo em um esquema, incluindo clonar um fluxo.

CREATE TAG

Permite criar uma nova chave de tag em um esquema.

CREATE TASK

Permite criar uma nova tarefa em um esquema, incluindo clonar uma tarefa.

CREATE PROCEDURE

Permite criar um novo procedimento armazenado em um esquema.

CREATE ALERT

Permite criar um novo alerta em um esquema.

CREATE SNOWFLAKE.CORE.BUDGET

Permite a criação de um novo orçamento em um esquema.

CREATE SNOWFLAKE.ML.FORECAST

Permite a criação de novas instâncias de modelo de previsão em um esquema.

CREATE SNOWFLAKE.ML.ANOMALY_DETECTION

Permite a criação de novas instâncias de modelo de detecção de anomalias em um esquema.

CREATE MODEL

Permite a criação de um modelo de machine learning em um esquema.

ADD SEARCH OPTIMIZATION

Permite adicionar a otimização de pesquisa a uma tabela em um esquema.

OWNERSHIP

Concede controle total sobre o esquema. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para um esquema.

Nota

  • A alteração das propriedades de um esquema, incluindo comentários, requer o privilégio OWNERSHIP para o banco de dados.

  • A operação em um esquema também requer o privilégio USAGE no banco de dados pai.

Privilégios de tabela

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela e a classificação de uma tabela.

INSERT

Permite executar um comando INSERT em uma tabela. Também permite utilizar o comando ALTER TABLE com uma cláusula RECLUSTER para reagrupar uma tabela manualmente com uma chave de clustering.

UPDATE

Permite executar um comando UPDATE em uma tabela.

TRUNCATE

Permite executar um comando TRUNCATE TABLE em uma tabela.

DELETE

Permite executar um comando DELETE em uma tabela.

EVOLVE SCHEMA

Permite que a evolução do esquema ocorra em uma tabela ao carregar dados.

REFERENCES

Permite fazer referência a uma tabela como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela. É necessário para alterar a maioria das propriedades de uma tabela, exceto reclustering. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela.

Nota

  • A operação em uma tabela também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios da tabela dinâmica

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela dinâmica.

OPERATE

Permite alterar as propriedades de um tabela dinâmica.

Se você não tiver esse privilégio em uma tabela dinâmica, não poderá usar o comando ALTER DYNAMIC TABLE, que permite:

MONITOR

Permite acessar os metadados de uma tabela dinâmica por meio de comandos e funções Snowsight e SQL.

Se você não tiver o privilégio MONITOR em uma tabela dinâmica, não poderá fazer o seguinte:

  • Chamar a função de tabela DYNAMIC_TABLE_GRAPH_HISTORY para visualizar o histórico gráfico dessa tabela dinâmica.

  • Chamar a função de tabela DYNAMIC_TABLE_REFRESH_HISTORY para visualizar o histórico de atualização dessa tabela dinâmica.

  • Visualizar essa tabela dinâmica na saída do comando SHOW DYNAMIC TABLES.

  • Visualizar os metadados dessa tabela dinâmica na saída do comando DESCRIBE DYNAMIC TABLE ou na página de detalhes das tabelas dinâmicas Snowsight.

    • Se você tiver o privilégio MONITOR, mas não tiver o privilégio SELECT, os seguintes campos ficarão ocultos: text, warehouse, scheduling_state, last_suspended_on e suspend_reason_code (ocultados apenas em Snowsight).

OWNERSHIP

Concede controle total sobre a tabela dinâmica. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

É exigido o descarte de uma tabela dinâmica.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, na tabela dinâmica.

Privilégios de tabela de eventos

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela de eventos.

INSERT

Em conjunto com OWNERSHIP da conta, concede a capacidade de associar uma conta a uma tabela de eventos.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a tabela de eventos.

OWNERSHIP

Transfere a propriedade de uma tabela de eventos, o que concede controle total sobre a tabela de eventos. . . Necessário para alterar a tabela de eventos. . . Em conjunto com OWNERSHIP da conta, concede a capacidade de associar uma conta a uma tabela de eventos.

Nota

A operação em uma tabela de eventos também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tabela externa

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela externa e classificar uma tabela externa.

REFERENCES

Permite visualizar a estrutura de uma tabela externa (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

OWNERSHIP

Concede controle total sobre a tabela externa; necessário para atualizar uma tabela externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela externa.

Nota

A operação em uma tabela externa também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tabela híbrida

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela híbrida.

INSERT

Permite executar um comando INSERT em uma tabela híbrida.

UPDATE

Permite executar um comando UPDATE em uma tabela híbrida.

TRUNCATE

Permite executar um comando TRUNCATE TABLE em uma tabela híbrida.

DELETE

Permite executar um comando DELETE em uma tabela híbrida.

REFERENCES

Permite fazer referência a uma tabela híbrida como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela híbrida (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela híbrida de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela híbrida. Obrigatório para alterar a maioria das propriedades de uma tabela híbrida. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma tabela híbrida.

Nota

  • A operação em uma tabela híbrida também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Os seguintes privilégios não têm efeito quando concedidos em uma tabela híbrida que usa uma integração de catálogo: INSERT, UPDATE, DELETE. As tabelas híbridas que usam uma integração de catálogo são somente leitura.

Privilégios da tabela Iceberg

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma tabela Iceberg.

INSERT

Permite a execução de um comando INSERT em uma tabela Iceberg.

UPDATE

Permite a execução de um comando UPDATE em uma tabela Iceberg.

TRUNCATE

Permite a execução de um comando TRUNCATE TABLE em uma tabela Iceberg.

DELETE

Permite a execução de um comando DELETE em uma tabela Iceberg.

REFERENCES

Permite fazer referência a uma tabela Iceberg como a tabela de chave única/primária para uma restrição de chave estrangeira. Também permite visualizar a estrutura de uma tabela Iceberg (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma tabela Iceberg de um orçamento.

OWNERSHIP

Concede controle total sobre a tabela Iceberg. Obrigatório para alterar a maioria das propriedades de uma tabela Iceberg. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para uma tabela Iceberg.

Nota

  • A operação em uma tabela Iceberg também requer o privilégio USAGE no esquema e banco de dados pai.

  • Os seguintes privilégios não têm efeito quando concedidos em uma tabela Iceberg que usa uma integração de catálogo: INSERT, UPDATE, DELETE. As tabelas Iceberg que usam uma integração de catálogo são somente leitura.

Privilégios de exibição

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma exibição e classificar uma exibição. . . Esse privilégio é suficiente para consultar uma exibição; o privilégio SELECT não é necessário nos objetos a partir dos quais a exibição é criada.

REFERENCES

Permite visualizar a estrutura de uma exibição (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

OWNERSHIP

Concede controle total sobre a exibição. Necessário para alterar uma exibição. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma exibição.

Nota

  • Os privilégios da tabela DML como INSERT, UPDATE e DELETE podem ser concedidos em exibições; no entanto, como as exibições são somente de leitura, estes privilégios não têm efeito.

  • A operação em uma exibição também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios da exibição materializada

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em uma exibição e classificar uma exibição materializada. . . Observe que esse privilégio é suficiente para consultar uma exibição. O privilégio SELECT nos objetos subjacentes para uma exibição não é necessário.

REFERENCES

Permite visualizar a estrutura de uma exibição (mas não os dados) através do comando DESCRIBE ou SHOW ou consultando o Information Schema.

APPLYBUDGET

Permite adicionar ou remover uma exibição materializada de um orçamento.

OWNERSHIP

Concede controle total sobre a exibição. Necessário para alterar uma exibição. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, em uma exibição.

Nota

  • Os privilégios da tabela DML como INSERT, UPDATE e DELETE podem ser concedidos em exibições; no entanto, como as exibições são somente de leitura, estes privilégios não têm efeito.

  • A operação em uma exibição também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios de estágio

Privilégio

Uso

USAGE

Permite utilizar um objeto de preparação externo em uma instrução SQL; não aplicável a estágios internos.

READ

Permite realizar qualquer operação que requeira leitura de um estágio interno (GET, LIST, COPY INTO <tabela>, etc.); não aplicável a estágios externos.

WRITE

Permite realizar qualquer operação que requeira gravação em um estágio interno (PUT, REMOVE, COPY INTO <local>, etc.); não aplicável a estágios externos.

OWNERSHIP

Concede controle total sobre o estágio. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios aplicáveis, exceto OWNERSHIP, para o estágio (interno ou externo).

Nota

  • Ao conceder ambos os privilégios READ e WRITE para um estágio interno, o privilégio READ deve ser concedido antes ou ao mesmo tempo que o privilégio WRITE.

  • Ao revogar ambos os privilégios READ e WRITE para um estágio interno, o privilégio WRITE deve ser revogado antes ou ao mesmo tempo que o privilégio READ.

  • A operação em um estágio também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios de formato de arquivo

Privilégio

Uso

USAGE

Permite utilizar um formato de arquivo em uma instrução SQL.

OWNERSHIP

Concede controle total sobre o formato de arquivo. Necessário para alterar um formato de arquivo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o formato de arquivo.

Nota

  • A operação em formatos de arquivo também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Uma função deve ser concedida ou herdar o privilégio OWNERSHIP no objeto para criar um objeto temporário com o mesmo nome do objeto que já existe no esquema.

Privilégios de canal

Objetos de canal são criados e gerenciados para carregar dados usando o Snowpipe.

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover um canal de um orçamento.

MONITOR

Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES).

OPERATE

Permite visualizar detalhes do canal (usando DESCRIBE PIPE ou SHOW PIPES), pausando ou retomando o canal e atualizando o canal.

OWNERSHIP

Concede controle total sobre o canal. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o canal.

Nota

A operação em canais também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da função de banco de dados

Privilégio

Uso

OWNERSHIP

Concede controle total sobre uma função de banco de dados. Somente uma única função pode ter este privilégio sobre um objeto específico de cada vez. Observe que a função de proprietário não herda nenhuma permissão concedida à função do banco de dados que possui. Para herdar permissões de um função de banco de dados, essa função de banco de dados precisa ser concedida a outra, criando uma relação pai-filho em uma hierarquia de funções.

Privilégios de fluxo

Privilégio

Uso

SELECT

Permite executar uma instrução SELECT em um fluxo.

OWNERSHIP

Concede controle total sobre o fluxo. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o fluxo.

Privilégios de tarefa

Privilégio

Uso

APPLYBUDGET

Permite adicionar ou remover uma tarefa de um orçamento.

MONITOR

Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS).

OPERATE

Permite visualizar detalhes da tarefa (usando DESCRIBE TASK ou SHOW TASKS) e retomar ou suspender a tarefa.

OWNERSHIP

Concede controle total sobre a tarefa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a tarefa.

Privilégios do segredo

Privilégio

Uso

READ

Ativa uma UDF ou procedimento armazenado que usa um segredo para acessar as credenciais armazenadas no segredo. Para obter mais detalhes, consulte Criação de um segredo para representar credenciais.

USAGE

Permite o uso de um segredo.

OWNERSHIP

Transfere a propriedade de um segredo, o que garante o controle total sobre o segredo. Exigido para alterar a maioria das propriedades de um segredo ou descartar um segredo do sistema.

Privilégios da política de agregação

Privilégio

Uso

APPLY

Permite a execução de operações não definidas e definidas para uma política de agregação em uma tabela ou exibição.

Observe que a concessão do privilégio global APPLY AGGREGATION POLICY (isto é, APPLY AGGREGATION POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

OWNERSHIP

Concede controle total sobre a política de agregação. Obrigatório para alterar a maioria das propriedades de uma política de agregação. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de agregação também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de mascaramento

Privilégio

Uso

APPLY

Permite executar as operações de remover e definir para uma política de mascaramento em uma coluna.

Observe que a concessão do privilégio global APPLY MASKING POLICY (isto é, APPLY MASKING POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

Para exemplos de sintaxe, consulte Privilégios da política de mascaramento.

OWNERSHIP

Concede controle total sobre a política de mascaramento. Requerido para alterar a maioria das propriedades de uma política de mascaramento. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de mascaramento também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de projeção

Privilégio

Uso

APPLY

Permite executar as operações de remover e definir para uma política de projeção em uma coluna.

Observe que a concessão do privilégio global APPLY PROJECTION POLICY (isto é, APPLY PROJECTION POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

OWNERSHIP

Concede controle total sobre a política de projeção. Necessário para alterar a maioria das propriedades de uma política de projeção. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de projeção também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios da política de acesso a linhas

Privilégio

Uso

APPLY

Permite a execução das operações de adição e descarte para a política de acesso a linhas em uma tabela ou exibição.

Observe que a concessão do privilégio global APPLY ROW ACCESSPOLICY (ou seja, APPLY ROW ACCESS POLICY em ACCOUNT) permite executar a operação DESCRIBE em tabelas e exibições.

Para exemplos de sintaxe, consulte Resumo de comandos DDL, operações e privilégios.

OWNERSHIP

Concede controle total sobre a política de acesso a linhas. Requerido para alterar a maioria das propriedades de uma política de acesso a linhas. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma política de acesso a linhas também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de tags

Privilégio

Uso

APPLY

Permite a execução das operações de adição e descarte para a tag em um objeto do Snowflake.

READ

Permite que um consumidor de compartilhamento de dados visualize atribuições de tags compartilhadas usando um comando SHOW TAGS. O provedor de compartilhamento de dados concede esse privilégio a uma função de banco de dados ou diretamente ao compartilhamento.

OWNERSHIP

Concede controle total sobre a tag. Necessário para alterar a maioria das propriedades de uma tag. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

As tags são armazenadas no nível do esquema.

A operação em uma tag requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de sequência

Privilégio

Uso

USAGE

Permite utilizar uma sequência em uma instrução SQL.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a sequência.

OWNERSHIP

Concede controle total sobre a sequência; necessário para alterar a sequência. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

A operação em uma sequência também requer o privilégio USAGE no banco de dados pai e no esquema.

Privilégios de procedimento armazenado

Privilégio

Uso

USAGE

Permite chamar um procedimento armazenado.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para o procedimento armazenado.

OWNERSHIP

Concede controle total para o procedimento armazenado; necessário para alterar o procedimento armazenado. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

  • A operação em um procedimento armazenado também requer o privilégio USAGE no banco de dados pai e no esquema.

  • Se um procedimento armazenado for executado com direitos do chamador, o usuário que chama o procedimento armazenado deve ter privilégios para os objetos do banco de dados (por exemplo, tabelas) acessados pelo procedimento armazenado. Para obter mais detalhes, consulte Understanding Caller’s Rights and Owner’s Rights Stored Procedures.

Privilégios de função definida pelo usuário (UDF) e função externa

Privilégio

Uso

USAGE

Permite chamar uma função UDF ou função externa.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, para a função UDF ou função externa.

OWNERSHIP

Concede controle total sobre a função UDF ou função externa; necessário para alterar a função UDF ou função externa. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

Nota

  • A operação em uma função UDF ou função externa também requer o privilégio USAGE no banco de dados pai e no esquema.

  • O proprietário de uma função UDF deve ter privilégios sobre os objetos acessados pela função; o usuário que chama uma função UDF não precisa desses privilégios. Para obter mais detalhes, consulte Requisitos de segurança/privilégio para UDFs de SQL.

  • O proprietário de uma função externa deve ter o privilégio USAGE para o objeto de integração API associado à função externa. Para obter mais detalhes, consulte Controle de acesso na documentação sobre funções externas.

Privilégios do alerta

Privilégio

Uso

MONITOR

Permite visualizar detalhes do alerta (usando DESCRIBE ALERT ou SHOW ALERTS).

OPERATE

Permite visualizar detalhes do alerta (usando DESCRIBE ALERT ou SHOW ALERTS) e retomar ou suspender o alerta (usando ALTER ALERT).

OWNERSHIP

Concede controle total sobre o alerta. Somente uma única função pode ter este privilégio em um objeto específico de cada vez. Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

Concede todos os privilégios, exceto OWNERSHIP, no alerta.

Privilégios do pool de computação

Privilégio

Uso

OPERATE

Permite suspender ou retomar um pool de computação.

MODIFY

Permite alterar o pool de computação e definir propriedades.

USAGE

Permite a execução de um serviço ou trabalho. Ele permite a comunicação com o serviço (criar uma função de serviço, usar pontos de extremidade públicos e conectar-se a partir de outro serviço).

MONITOR

Permite visualizar o uso do pool de computação (número de serviços e trabalhos em execução), propriedades e listar o pool de computação na conta para a qual a função tem privilégios de acesso.

OWNERSHIP

Concede controle total sobre o pool de computação. Somente uma única função pode ter este privilégio em um objeto de pool de computação específico de cada vez.

Privilégios do repositório de imagens

Privilégio

Uso

OWNERSHIP

Permite controle total sobre o repositório de imagens. A função com este privilégio também pode excluir um repositório de imagens.

READ

Habilite a listagem e o download de imagens de um repositório de imagens.

WRITE

Permite listar e baixar imagens de um repositório. Também permite enviar imagens para o repositório.

Privilégios de serviço

Privilégio

Uso

OPERATE

Permite suspender ou retomar um serviço, a atualização do serviço e a modificação das propriedades do serviço.

OWNERSHIP

Permite controle total sobre o serviço. A função com este privilégio também pode remover um serviço de um esquema.

MONITOR

Habilite o monitoramento de um serviço e a obtenção do status do tempo de execução.

USAGE

Permite listar pontos de extremidade em um serviço.

Privilégios do trabalho

O usuário que criou um trabalho pode monitorar e obter o status do tempo de execução do trabalho. Os trabalhos não oferecem suporte à concessão de privilégios a outros usuários ou funções.

Privilégios do Streamlit

Privilégio

Uso

USAGE

Permite visualizar e executar um aplicativo Streamlit.

Privilégios do modelo

Privilégio

Uso

USAGE

Permite exibir informações sobre um modelo e invocar seus métodos.