成本管理的访问控制¶
本主题介绍用于控制成本管理功能访问权限的系统定义角色(普通角色、应用程序角色和数据库角色)。您只需为用户分配这些角色一次,即可授予成本相关功能的访问权限。
成本相关功能可能具有专属角色与权限,这些权限仅提供该功能访问权限,而不授予其他功能访问权限。有关这些权限的讨论,请参阅功能特定的文档。
备注
本主题中讨论的访问控制权限不提供对资源监视器的访问权限。
访问组织级成本信息¶
账户类型决定了用户是否可以查看组织级成本数据。例如,Organization overview 选项卡仅适用于某些账户。
您可以查看来自以下账户的组织级成本数据:
组织账户。
启用 ORGADMIN 角色 的普通账户。
将货币视为计量单位¶
成本信息的计量单位可以是 credit 或货币。只有在某些情况下,您才能将货币视为计量单位。能将货币视为计量单位还允许您查看相关信息,例如合约的剩余余额。
要将货币视为计量单位,您必须执行以下操作:
从组织账户或启用 ORGADMIN 角色的普通账户访问成本信息。
使用下列角色之一:
ACCOUNTADMIN 系统定义的角色
GLOBALORGADMIN 系统定义的角色
ORGANIZATION_BILLING_VIEWER 数据库角色
管理员的默认访问权限¶
默认情况下,只有具有系统定义管理员角色的用户才能使用与成本相关的功能。
如果您登录的是组织账户,请使用 GLOBALORGADMIN 角色查看成本信息。
如果您登录的是普通账户,请使用 ACCOUNTADMIN 角色查看成本信息。
小技巧
考虑使用应用程序角色和数据库角色授予管理员对成本相关功能的权限,即使用户拥有 ACCOUNTADMIN 角色也是如此。如果具有 ACCOUNTADMIN 角色的用户不具有 ORGADMIN 角色,则某些功能的行为可能会有所不同。有关授予管理员权限的信息,请参阅 向其他用户授予访问权限。
向其他用户授予访问权限¶
为了简化成本管理的访问控制,Snowflake 提供两个访问权限级别:
可以查看成本信息的用户。
担任成本相关功能管理员的用户。这些用户还可以查看成本信息。
存在与每个访问级别对应的应用程序角色/数据库角色组合。用户的访问权限级别由其被授予的应用程序角色和数据库角色共同决定。以下显示了查看成本信息或担任管理员所需的应用程序角色和数据库角色。
访问权限级别 |
应用程序角色 |
数据库角色 |
|---|---|---|
查看者 |
APP_USAGE_VIEWER |
USAGE_VIEWER |
管理员 |
APP_USAGE_ADMIN |
USAGE_ADMIN |
备注
如果您希望查看者或管理员能够将货币视为计量单位(而不是 credit),则还必须授予 ORGANIZATION_BILLING_VIEWER 数据库角色。有关更多信息,请参阅 将货币视为计量单位。
您可以通过授予相应的应用程序角色和数据库角色,以授予对成本管理功能的访问权限。例如,如果您希望用户 joe 能够查看成本信息,但不能担任管理员,请执行以下命令:
USE ROLE ACCOUNTADMIN;
CREATE ROLE cost_viewer_role;
GRANT APPLICATION ROLE APP_USAGE_VIEWER TO ROLE cost_viewer_role;
GRANT DATABASE ROLE USAGE_VIEWER TO ROLE cost_viewer_role;
GRANT ROLE cost_viewer_role TO USER joe;
管理员任务¶
被授予 APP_USAGE_ADMIN 应用程序角色和 USAGE_ADMIN 数据库角色的用户可以查看所有成本信息。此外,他们还可以执行以下管理任务:
预算
激活预算。
停用预算。
修改支出限额。
修改通知电子邮件地址。
忽略账户预算和自定义预算通知。
删除自定义预算。