允许应用程序在使用者账户中创建资源

本主题介绍使用者如何使用自动授予权限来允许 Snowflake Native App 在使用者账户中创建对象。

自动授予权限概述

通常,应用程序需要在使用者账户中创建或访问对象或执行其他操作。这要求使用者授予所需的权限,以允许应用程序执行这些操作。

自动权限允许提供商在应用程序的清单文件中指定所需的权限。当使用者安装或升级应用程序时,Snowflake 会自动向该应用程序授予清单中指定的权限。

Security considerations when using automated granting of privileges

当提供商将应用程序配置为在清单文件中使用 manifest_version: 2,启用了自动授予权限。默认情况下,这允许 Snowflake 自动向应用程序授予某些权限。有关可以自动向应用程序授予的权限的信息,请参阅 通过自动授予权限授予的权限

在安装过程中,Snowsight 显示有关应用程序请求的权限的通知。当使用者安装使用自动授予权限的应用程序时,即表示他们同意在升级期间可以向应用程序授予这些权限,而无需额外同意。

使用者可以创建功能策略,限制应用程序可以创建的对象。有关创建功能策略的更多信息,请参阅 使用功能策略限制应用程序可以创建的对象

通过自动授予权限授予的权限

使用自动授予权限时,提供商可以将以下权限添加到应用程序的清单文件中:

  • EXECUTE TASK

  • EXECUTE MANAGED TASK

  • CREATE WAREHOUSE

  • CREATE COMPUTE POOL

  • BIND SERVICE ENDPOINT

  • CREATE DATABASE

  • CREATE EXTERNAL ACCESS INTEGRATION

  • CREATE SECURITY INTEGRATION

备注

有关对 CREATE EXTERNAL ACCESS INTEGRATION 权限的限制,请参阅 对 CREATE EXTERNAL ACCESS INTEGRATION 和 CREATE SECURITY INTEGRATION 的限制

对 CREATE EXTERNAL ACCESS INTEGRATION 和 CREATE SECURITY INTEGRATION 的限制

CREATE EXTERNAL ACCESS INTEGRATION 和 CREATE SECURITY INTEGRATION 权限允许应用程序在使用者账户中创建连接到外部端点所需的对象。但是,要允许连接到外部端点,使用者还必须批准允许应用程序连接到外部主机的应用程序规范。如果使用者不批准应用程序规范,则外部连接仍处于禁用状态。

有关更多信息,请参阅 使用应用程序规范批准与外部资源的连接

语言: 中文