创建和访问使用者账户中的对象¶

自动向应用程序授予权限¶

Snowflake Native App Framework 允许提供商请求某些安全权限，然后自动授予这些权限。提供商将这些权限添加到应用程序的清单文件中。在安装或升级应用程序期间，Snowflake 会自动向该应用程序授予这些权限。

有关将应用程序配置为自动获授权限的更多信息，请参阅 配置应用程序所需的权限。

从提供商的角度来看，自动授予权限可以简化应用程序开发，因为应用程序不必确定使用者是否已授予所请求的权限或在其账户中创建了所需的对象。

从使用者的角度来看，自动授予权限可简化应用程序安装和配置。但是，默认情况下，它也削弱了使用者对应用程序在其账户中可以执行的操作的控制权。为了让使用者进一步控制应用程序可执行的操作，Snowflake Native App Framework 提供了以下功能：

应用程序规范:

允许使用者控制应用程序可以连接的外部端点。要访问 Snowflake 之外的服务，应用程序可能需要根据服务类型创建外部访问集成或服务集成。通过自动授予权限，应用程序可以在使用者账户中创建这些对象。但是，使用者账户的账户管理员必须批准允许应用程序执行外部连接的应用程序规范。

有关开发应用程序以使用应用程序规范的信息，请参阅 使用应用程序规范向使用者请求外部端点。有关使用者如何批准应用程序规范的信息，请参阅 使用应用程序规范批准与外部资源的连接。

功能策略:

功能策略允许使用者覆盖权限自动授予。在安装或升级应用程序之前，使用者可以创建功能策略，禁止应用程序创建特定类型的对象。例如，使用者可能需要配置功能策略以禁止应用程序创建仓库。如果应用程序在安装或升级期间尝试创建仓库，则安装将失败。

有关使用者如何创建功能策略的信息，请参阅 使用功能策略限制应用程序可以创建的对象。

手动向应用程序授予权限¶

对于在 自动授予权限 发布之前创建的应用程序，例如已安装但不具备在使用者账户中创建对象的必要权限的应用程序，使用者必须使用 SQL 或 Snowsight 手动向应用程序授予权限，具体取决于应用程序的配置方式。有关更多信息，请参阅 向使用者请求全局权限。

访问使用者账户中的现有对象¶

在某些情况下，应用程序需要访问应用程序之外的使用者账户中的现有对象。例如，应用程序可能需要访问使用者数据库中的现有表。为了允许应用程序创建对象，Snowflake Native App Framework 使用引用，使客户能够指定对象的名称和架构并允许访问该对象。

有关更多信息，请参阅 向使用者请求引用和对象级权限。