管理对协作、资源和数据的访问¶

概述¶

对 Collaboration 的访问以及在其中执行操作的能力，通过以下机制进行管理：

安装 Data Clean Room 应用程序需要 账户级安装应用的权限，该权限默认由 ACCOUNTADMIN 持有。
运行特定 Collaboration API 过程的权限 由 DCR 权限管理。
在 Collaboration 中执行 特定基于角色的操作 的权限，由 Collaboration 角色进行管理。这些角色决定了用户在特定 Collaboration 中可以执行的操作。Collaboration 定义必须将您列为分析运行者才能运行分析。您必须被列为数据提供商，才能与指定的分析运行者共享数据。

这些机制相互叠加，要对特定资源执行特定操作，必须满足所有相关要求。例如，若要将表 my_data 与现有 Collaboration collab_1 中的 user_1 共享，必须满足以下所有要求：

您必须是 Collaboration 中为 user_1 指定的数据提供方，并且 user_1 必须是该 Collaboration 中的分析运行者（Collaboration 角色）。
您必须拥有调用相应 Collaboration API 存储过程的权限，才能将数据产品关联到 Collaboration 中（DCR 权限）。
您必须对表 my_data 拥有带有 GRANT OPTION 的 REFERENCE_USAGE 权限，才能将其注册为数据产品资源（RBAC 权限）。

本主题介绍如何管理 DCR 权限。数据策略和 Collaboration 角色将分别进行说明。

使用 DCR 权限管理账户、对象和过程权限¶

SAMOOHA_APP_ROLE 角色拥有运行 Collaboration API 中所有存储过程的权限。该角色的访问范围可能比您希望授予账户中某些用户组的权限更广泛。尽管 Collaboration 角色会限制用户可以执行的操作，您也可以配置权限更精确、范围更受限的特定角色。

安装 Snowflake Data Clean Room 应用程序后，可能会向特定用户分配额外的 Data Clean Room 特定权限。

要向用户授予精细的 API 权限，请执行以下步骤：

创建角色。
将正在使用的仓库的使用权限授予该角色。
如果需要将特定协作的相应权限授予某个角色，请调用 GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE。
如果需要将账户中所有协作的相应高级权限授予该角色，请调用 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
向用户授予该角色，用户现在可以调用协作过程来参与协作。

例如，GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE( 'JOIN COLLABORATION', 'collab_join_role' ) 授予 collab_join_role 权限以调用 JOIN、REVIEW、RUN、LEAVE、VIEW_DATA_OFFERINGS，以及许多其他联接和使用 Collaboration 所需的 API 过程。相比之下，GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry_1', 'registry_reader_role') 授予 registry_reader_role 读取单个注册表的权限。您可以向同一角色授予多组权限。

如果您不使用 SAMOOHA_APP_ROLE，请查看需要授予哪些 DCR 权限才能调用指定的 Collaboration API 存储过程。

以下示例创建了一个名为 COLLABORATION_CREATOR 的角色，该角色可以创建协作、创建自定义注册表以及注册数据产品，并将该角色授予当前用户。

CREATE ROLE IF NOT EXISTS COLLABORATION_CREATOR;

-- Grant warehouse access to the role.
GRANT USAGE ON WAREHOUSE APP_WH TO ROLE COLLABORATION_CREATOR;

-- COLLABORATION_CREATOR needs these manual account-level privileges,
-- which are required by the CREATE COLLABORATION DCR privilege.
GRANT APPLY ROW ACCESS POLICY ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE APPLICATION ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE DATABASE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE LISTING ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT IMPORT SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT MANAGE SHARE TARGET ON ACCOUNT TO ROLE COLLABORATION_CREATOR;

GRANT ROLE COLLABORATION_CREATOR TO USER alexander_hamilton;

-- Grant DCR account-level privileges using GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE.
-- This procedure requires the ACCOUNTADMIN role.

-- COLLABORATION_CREATOR: create collaborations, create registries,
-- and register data offerings.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE COLLABORATION', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE REGISTRY', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'REGISTER DATA OFFERING', 'COLLABORATION_CREATOR');

以下代码使用角色 COLLABORATION_CREATOR 创建了一个自定义注册表，然后授予 EU_SALES_TEAM 角色对该注册表的读取权限：

USE ROLE COLLABORATION_CREATOR;
USE WAREHOUSE APP_WH;
USE SECONDARY ROLES NONE;

-- Create a custom registry.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.REGISTRY.CREATE_REGISTRY(
  'DATA_REGISTRY_EU',
  'DATA OFFERING');

-- Grant read permission on a registry created by this role to the role EU_SALES_TEAM.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE(
  'READ',
  'REGISTRY',
  'DATA_REGISTRY_EU',
  'EU_SALES_TEAM');

Collaboration API 过程的 DCR 权限要求¶

如果您使用的是自定义角色（而不是 SAMOOHA_APP_ROLE），下表总结了运行每个 Collaboration API 过程所需的权限。

除非另有说明，项目符号列表中的权限通常为替代关系：您只需拥有其中一项权限即可运行指定的过程。


过程名称	访问要求
REGISTER_TEMPLATE	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER TEMPLATE', 'role name')` 自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`。
VIEW_REGISTERED_TEMPLATES	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED TEMPLATES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`。
ADD_TEMPLATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限如果模板位于自定义注册表中，或者引用了自定义注册表中的代码样式，则还必须拥有注册表的 READ 权限。
REMOVE_TEMPLATE	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
VIEW_TEMPLATES	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW TEMPLATES', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限此外，要查看在自定义注册表中注册的对象，您需要该注册表的 READ 权限。
ENABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
DISABLE_TEMPLATE_AUTO_APPROVAL	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
GET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
SET_CONFIGURATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
REGISTER_DATA_OFFERING	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER DATA OFFERING', 'role name')` 自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`。此外，调用方还需要以下 RBAC 权限：源表/视图的 SELECT 权限。包含源表的数据库和架构的 USAGE 权限。规范中引用的任何策略对象的 USAGE 权限。
LINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限此外，调用方必须对要共享的任何数据拥有带有 GRANT OPTION 的 REFERENCE_USAGE 权限。如果不这样做，您将收到“missing reference usage grant”错误。了解如何处理此问题。如果数据产品位于自定义注册表中，您还必须通过调用 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')` 授予权限。
UNLINK_DATA_OFFERING	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限 Collaboration 的 `UPDATE` 权限不会授予对此过程的访问权限。此外，只有调用 JOIN 的角色才能成功解除数据产品的关联，因为底层的共享归该加入角色所有。
LINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
UNLINK_LOCAL_DATA_OFFERING	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
VIEW_REGISTERED_DATA_OFFERINGS	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED DATA OFFERINGS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`。
VIEW_DATA_OFFERINGS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW DATA OFFERINGS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限此外，要查看在自定义注册表中注册的对象，您需要该注册表的 READ 权限。
REGISTER_CODE_SPEC	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER CODE SPEC', 'role name')` 自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', 'registry name', 'role name')`。
VIEW_REGISTERED_CODE_SPECS	默认注册表： `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED CODE SPECS', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限自定义注册表：您对自己创建的任何自定义注册表都具有读写权限。要访问其他用户创建的自定义注册表，您需要 `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name')`。
VIEW_CODE_SPECS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限此外，要查看在自定义注册表中注册的对象，您需要该注册表的 READ 权限。
VIEW_UPDATE_REQUESTS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
APPROVE_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
REJECT_UPDATE_REQUEST	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
INITIALIZE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限有关所需的其他角色权限，请参阅 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
TEARDOWN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限有关所需的其他角色权限，请参阅 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
GET_STATUS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
ENABLE_EXTERNAL_TABLE_ANALYSIS _FOR_COLLABORATION	您必须使用已被授予账户级 MANAGE FIREWALL_CONFIGURATION 权限的角色。
VIEW_COLLABORATIONS	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW COLLABORATIONS', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
REVIEW	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REVIEW COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限有关所需的其他角色权限，请参阅 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
JOIN	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限有关所需的其他角色权限，请参阅 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
LEAVE	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限有关所需的其他角色权限，请参阅 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE。
RUN	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
VIEW_ACTIVATIONS	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW ACTIVATIONS', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
PROCESS_ACTIVATION	`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('PROCESS ACTIVATION', 'COLLABORATION', 'collaboration name', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')`，以及所有其他账户级权限 `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')`，以及所有其他账户级权限
CREATE_REGISTRY	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
VIEW_REGISTRIES	`GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTRIES', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')` `GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')`
GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE	对于 Collaboration 对象：具有 CREATE COLLABORATION 或 JOIN COLLABORATION 的任何角色可以对任何 Collaboration 调用此过程。对于注册表对象：只有创建注册表的角色才能在该注册表上调用此过程。
GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE	您需要拥有 ACCOUNTADMIN 角色，或具有 MANAGE GRANTS 全局权限的角色才能运行此过程。