账户权限 READ UNREDACTED AI OBSERVABILITY EVENTS TABLE¶

自 2026 年 4 月 24 日 起，Snowflake 将引入并强制执行新的 账户 权限：READ UNREDACTED AI OBSERVABILITY EVENTS TABLE。该权限用于控制：当使用系统表函数以及读取该事件表的相关路径时，哪些 角色 可以读取 SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS 中 Cortex Agent 可观察性数据的 未脱敏 内容。默认情况下，对于所有角色，该新权限都处于 关闭 状态。此非捆绑行为变更 不会 改变数据 写入 表的方式。它仅影响在查询结果和追踪信息中，不同角色可以查看的 列或字段 的可见性。

此变更适用于 代理所有者 以及在 Cortex Agent 上拥有 MONITOR 权限的角色，前提是其使用的可观察性查询会返回事件表中的内容。其目的是减少潜在敏感数据暴露给未被明确授予该新权限的角色。

系统表函数： 当您调用从``SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS`` 读取的 GET_AI_ 表函数 </sql-reference/functions-table>`（请参阅 :doc:/sql-reference/local`）时，此变更将生效，例如 GET_AI_OBSERVABILITY_EVENTS 和 GET_AI_OBSERVABILITY_LOGS。有关完整列表，请参阅 系统定义的表函数列表；在 Table Functions 页面上，函数表中的 Cortex Agents 行会命名其中每个系统表函数。

不受脱敏限制的角色 以下角色仍可通过直接访问 SNOWFLAKE.LOCAL.AI_OBSERVABILITY_EVENTS 表查看原始表数据：

• ACCOUNTADMIN

• AI_OBSERVABILITY_ADMIN 应用程序角色

• AI_OBSERVABILITY_READER 应用程序角色

如果未授予 READ UNREDACTED AI OBSERVABILITY EVENTS TABLE 权限，有资格查询可观察性的角色仍然可以查看 元数据，包括：

• 工具 名称 和 类型

• 令牌 使用情况 和 延迟

• 评估 跟踪信息和 评分

• 模型 名称

• 错误 严重性

如果未显式 授予 该新权限，默认情况下，这些角色默认看 不到 以下 原始 内容：

• 工具 的输入和输出

• 对话 历史记录

• 用户 反馈

要向角色授予对未脱敏的可观察性内容的访问权限，账户管理员需运行以下命令：

GRANT READ UNREDACTED AI OBSERVABILITY EVENTS TABLE ON ACCOUNT TO ROLE <role_name>;

要 恢复以前的默认设置，即账户中的每个用户都可以看到未脱敏的字段（只要他们仍然符合上述 Cortex Agent 和 CORTEX_USER 要求），账户管理员可以将该权限授予 PUBLIC 角色。PUBLIC 是一个 系统定义的角色，相关说明可参考 :doc:`/user-guide/security-access-control-overview`（PUBLIC 条目）。将权限授予 PUBLIC 会将该权限授予账户中的所有用户，因为 PUBLIC 会自动可供每个用户使用；仅在这种情况合您的安全策略时才使用。

GRANT READ UNREDACTED AI OBSERVABILITY EVENTS TABLE ON ACCOUNT TO ROLE PUBLIC;

如果团队仅需上述 元数据 列表，而不需要原始输入、输出、对话或用户反馈文本，则 无需 执行任何操作。

另请参阅

• Cortex Agents

• Snowflake Cortex 中的 AI 可观察性