SHOW CALLER GRANTS¶

语法¶

SHOW CALLER GRANTS
{
{ ON <object_type> <object_name> | ON ACCOUNT }
| TO { ROLE | DATABASE ROLE }  <owner_name>
}

参数¶

ON object_type object_name 或 . ON ACCOUNT

指定是列出特定对象的调用方授权，还是列出涉及账户的所有调用方授权。

使用 object_type 的单数形式，例如 TABLE 或 WAREHOUSE。

TO ROLE <owner_name> 或 . TO DATABASE ROLE <owner_name>

指定可执行所有者，该所有者列出已授予该所有者的所有调用方授权。

输出¶

命令的输出包括以下列，它们描述了对象的属性和元数据：

访问控制要求¶

任何人都可以执行 SHOW CALLER GRANTS TO ... 命令，列出已授予特定可执行所有者的调用方授权。

执行 SHOW CALLER GRANTS ON ... 命令需要以下权限：

有关创建具有指定权限集的自定义角色的说明，请参阅 创建自定义角色。

有关对 安全对象 执行 SQL 操作的相应角色和权限授予的一般信息，请参阅 访问控制概述。

使用说明¶

• 当执行 SHOW CALLER GRANTS ON ... 语句时，输出的不同行可以表示不同的内容。例如，一行可以指示直接授予对象的调用方授权，而另一行则指示在 GRANT 语句中使用 IN 子句指定对象。有关更多信息，请参阅 列出调用方授权。

• 当用户执行 SHOW CALLER GRANTS 时，结果仅包含他们具有至少一项权限的对象。有关更多信息，请参阅 条件输出。

• 该命令不需要正在运行的仓库即可执行。

• 该命令仅返回当前用户的当前角色已获授至少一项访问权限的对象。

• MANAGE GRANTS 访问权限隐式允许其持有者查看账户中的每个对象。默认情况下，只有账户管理员（具有 ACCOUNTADMIN 角色的用户）和安全管理员（具有 SECURITYADMIN 角色的用户）才具有 MANAGE GRANTS 权限。

• To post-process the output of this command, you can use the pipe operator (->>) or the RESULT_SCAN function. Both constructs treat the output as a result set that you can query.

  The output column names for this command are generated in lowercase. If you consume a result set from this command with the pipe operator or the RESULT_SCAN function, use double-quoted identifiers for the column names in the query to ensure that they match the column names in the output that was scanned. For example, if the name of an output column is type, then specify "type" for the identifier.

示例¶

列出已获授的表 t1 调用方授权。

SHOW CALLER GRANTS ON TABLE t1;

Copy

列出已获授的当前账户的所有调用方授权。这包括账户 (GRANT CALLER ...ON ACCOUNT) 的直接授权和账户 (GRANT INHERITED CALLER ...IN ACCOUNT) 中所有对象的授权。

SHOW CALLER GRANTS ON ACCOUNT;

Copy

列出已授予数据库角色 db.owner_role 的所有调用方授权。

SHOW CALLER GRANTS TO DATABASE ROLE db.owner_role;

Copy