访问控制概述¶

访问控制框架¶

Snowflake 的访问控制方法结合了以下两个模型的各个方面：

• 自主访问控制 (DAC)： 每个对象都有一个所有者，所有者可以授予对象访问权限。

• 基于角色的访问控制 (RBAC)： 访问权限分配给角色，角色分配给用户。

理解 Snowflake 中访问控制的关键概念包括：

• 安全对象： 可以向其授予访问权限的实体。除非获得授权，否则拒绝访问。

• 角色： 可授予权限的实体。角色会分配给用户。请注意，角色也可以分配给其他角色，从而创建角色层次结构。

• 权限： 对象的定义访问级别。可以使用多项不同的权限来控制授予的访问权限粒度。

• 用户： 与个人或程序关联的 Snowflake 识别的用户身份。

在 Snowflake 模型中，允许通过分配给角色的权限来访问安全对象，这些权限会分配给用户或其他角色。将一个角色授予另一个角色会创建角色层次结构，这在 角色层次结构和权限继承 部分（本主题内容）中已作解释。

此外，每个安全对象都有一个所有者，可以向其他角色授予访问权限。此模型不同于基于用户的访问控制模型，在基于用户的访问控制模型中，权限会分配给每个用户或用户组。Snowflake 模型旨在提供大量的控制和灵活性。

安全对象¶

每个安全对象都位于容器层次结构中的逻辑容器内。最顶层的容器是客户组织。表、视图、函数和暂存区等安全对象包含在架构对象中，而架构对象又包含在数据库中。Snowflake 账户的所有数据库都包含在账户对象中。对象和容器的层次结构如下图所示：

拥有 对象表示 角色 拥有对象的 OWNERSHIP 权限。每个安全对象都归单个角色所有，默认情况下是用于创建对象的角色。当将此角色分配给用户时，他们实际上拥有对该对象的共享控制权。GRANT OWNERSHIP 命令允许您将对象的所有权从一个角色转让给另一个角色，包括转让给数据库角色。此命令还指定每个容器中的安全对象。

在常规架构中，所有者角色默认拥有对象的所有权限，包括向其他角色授予或撤销对象权限的能力。此外，所有权可以从一个角色转让给另一角色。但在 托管访问架构 中，对象所有者会失去做出授权决策的能力。仅架构所有者（即拥有架构 OWNERSHIP 权限的角色）或具有 MANAGE GRANTS 权限的角色可以授予架构中对象的权限。

就对象执行 SQL 操作的能力由授予用户会话中活动角色的权限定义。以下是 Snowflake 中各种对象适用的 SQL 操作的示例：

• 创建仓库的能力。

• 列出架构中包含的表的能力。

• 将数据添加到表中的能力。

角色¶

角色是可以向其授予和撤销对其安全对象的 权限 的实体。角色会分配给用户，以便他们执行组织中业务职能所需的操作。可为用户分配多个角色。这允许用户切换角色（即选择在当前 Snowflake 会话中处于活动状态的角色），以使用不同的权限集执行不同的操作。

Snowflake 账户中有少量 系统定义的角色。无法删除系统定义的角色。此外，无法撤销 Snowflake 授予这些角色的权限。

为满足特定的业务和安全需求，被授予具有必要权限的角色的用户可以创建自定义角色。

还可以将角色授予其他角色，从而创建角色层次结构。与某个角色相关联的权限由层次结构中该角色之上的任何角色继承。有关角色层次结构和权限继承的更多信息，请参阅 角色层次结构和权限继承 （本主题内容）。

尽管可以向系统定义的角色授予附加权限，但不建议这样做。系统定义的角色是使用与账户管理相关的权限创建的。作为最佳实践，建议不要同时赋予同一角色账户管理权限和特定于实体的权限。如果需要附加权限，Snowflake 建议向自定义角色授予附加权限，并将自定义角色分配给系统定义的角色。

权限¶

访问控制权限决定了谁可以访问 Snowflake 中的特定对象并对其执行操作。每个安全对象都有一组可向其授予的权限。对于现有对象，必须向各个对象授予权限（例如 mytable 表的 SELECT 权限）。为了简化授权管理，未来的授权 允许为在架构中创建的对象定义一组初始权限（即将在 myschema 架构中创建的所有 新 表的 SELECT 权限授予指定角色）。

权限使用 GRANT <privileges> 和 REVOKE <privileges> 命令管理。

• 在常规（即非托管）架构中，这些命令的使用仅限于拥有对象的角色（即拥有对象的 OWNERSHIP 权限）或拥有对象的 MANAGE GRANTS 全局权限的任何角色（默认仅 SECURITYADMIN 角色）。

• 在 托管访问架构 中，对象所有者会失去做出授权决策的能力。只有架构所有者或拥有 MANAGE GRANTS 权限的角色才能授予架构中对象的权限，包括未来的授权，从而集中进行权限管理。

请注意，拥有全局 MANAGE GRANTS 权限的角色可以授予当前（授予者）角色附加权限。

有关更多详细信息，请参阅 访问控制权限。

角色层次结构和权限继承¶

下图说明了系统定义的角色的层次结构，以及其他用户定义的账户角色和数据库角色的建议结构。示例层次结构中的最高级别数据库角色被授予自定义（即用户定义的）账户角色。接着，该角色被授予建议结构中的另一个自定义角色，该结构允许系统定义的 SYSADMIN 角色继承自定义账户角色和数据库角色的权限：

有关角色层次结构和权限继承的更具体示例，请考虑以下场景：

• 角色 3 已授予角色 2。

• 角色 2 已授予角色 1。

• 角色 1 已授予用户 1。

在这种情况下：

• 角色 2 继承权限 C。

• 角色 1 继承权限 B 和 C。

• 用户 1 拥有所有这三项权限。

具有主要角色和次要角色的执行模型¶

每个活动用户会话都有一个“当前角色”，也称为 主要角色。在会话启动（例如用户通过 JDBC/ODBC 连接或登录Snowflake Web 界面）时，当前角色根据以下标准确定：

1. 如果已将某个角色指定为连接的一部分，并且该角色是已授予连接用户，则指定的角色将成为当前角色。

2. 如果未指定角色并且已为连接用户设置了默认角色，则该角色将成为当前角色。

3. 如果未指定角色且没有为连接用户设置默认角色，则使用系统角色 PUBLIC。

此外，可以在用户会话中激活一组 次要 角色。用户可以使用授予主要角色和次要角色的聚合权限对会话中的对象执行 SQL 操作。将角色授予用户，然后才能在会话中激活这些角色。请注意，虽然会话一次必须只有一个活动主要角色，但可以同时激活任意数量的次要角色。

只有主要角色才有执行 CREATE <object> 语句的授权。创建对象时，其所有权将设置为当前活动的主要角色。然而，对于任何其他 SQL 操作，授予任何活动主要或次要角色的任何权限都可以用于授权该操作。例如，如果次要角色层次结构中的任何角色拥有一个对象（即具有对象的 OWNERSHIP 权限），则次要角色将授权对对象执行任何 DDL 操作。主要角色以及所有次要角色都继承其角色层次结构中较低角色的权限。

对于安全模型包含大量角色且每个角色都通过权限进行细粒度授权的组织来说，使用次要角色可以简化角色管理。授予用户的所有角色都可以在会话中激活。次要角色特别适用于跨数据库联接等 SQL 操作，否则需要创建有权访问每个数据库中的对象的角色的父角色。

在会话过程中，用户可以使用 USE ROLE 或者 USE SECONDARY ROLES 命令分别更改当前的主要或次要角色。用户可以使用 CURRENT_SECONDARY_ROLES 函数显示当前会话的所有活动次要角色。

如果您创建需要一项或多项权限才能使用的对象，那么在搜索这些权限的授予时，仅考虑主要角色及其直接或间接继承的角色。

对于任何其他需要一项或多项权限的语句（例如查询表需要对表具有 SELECT 权限，同时需要对数据库和架构具有 USAGE 权限），在搜索这些权限的授予时，会考虑主要角色、次要角色以及任何其他继承的角色。