访问控制权限¶
本主题描述 Snowflake 访问控制模型中可用的权限。授予角色权限,授予用户角色,以指定用户可以对系统中的对象执行的操作。
本主题内容:
所有权限(按字母顺序排列)¶
Snowflake 访问控制模型提供以下权限。每项权限的含义根据其所应用的对象类型而有所不同,并且并非所有对象都支持所有权限:
权限 |
对象类型 |
描述 |
|---|---|---|
ALL [ PRIVILEGES ] |
全部 |
授予适用于指定对象类型的所有权限。 |
APPLY AGGREGATION POLICY |
全局 |
授予在表或视图上添加和删除聚合策略的能力。 |
APPLYBUDGET |
数据库、架构、表、混合表、Iceberg 表、仓库、任务、管道、物化视图 |
授予在 预算 中添加或移除对象的能力。 |
APPLY AUTHENTICATION POLICY |
全局 |
授予对 Snowflake 账户或 Snowflake 账户中的用户添加或删除身份验证策略的能力。 |
APPLY MASKING POLICY |
全局 |
授予在表或视图列上设置列级别安全掩码策略以及在标签上设置掩码策略的能力。此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY PACKAGES POLICY |
全局 |
授予在 Snowflake 账户上添加或删除包策略的能力。 |
APPLY PASSWORD POLICY |
全局 |
授予为 Snowflake 账户或 Snowflake 账户的用户添加或删除密码策略的能力。 |
APPLY PROJECTION POLICY |
全局 |
授予对表或视图添加和删除投影策略的能力。 |
APPLY ROW ACCESS POLICY |
全局 |
授予在表或视图上添加和删除行访问策略的能力。此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY SESSION POLICY |
全局 |
授予在账户或用户上设置或取消设置会话策略的能力。 |
APPLY TAG |
全局 |
授予在 Snowflake 对象上添加或删除标签的能力。 |
ATTACH POLICY |
全局 |
授予通过将网络策略与账户关联来激活网络策略的能力。 |
AUDIT |
全局 |
授予设置 ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR 用户参数的能力。 |
BIND SERVICE ENDPOINT |
全局 |
启用创建支持公共端点的服务的能力。有关公共端点的更多信息,请参阅 入口:使用来自 Snowflake 外部的服务。 |
CREATE <object_type> |
全局、数据库、架构 |
授予创建 <object_type> 对象的能力(例如 CREATE TABLE 会授予在架构中创建表的能力)。 |
DELETE |
表、混合表、Iceberg 表 |
授予在表上执行 DELETE 命令的能力。 |
EVOLVE SCHEMA |
表 |
授予加载数据时在表上执行 架构演化 的能力。 |
EXECUTE ALERT |
全局 |
授予执行角色所拥有的警报的能力。对于要运行的无服务器警报,具有该警报 OWNERSHIP 权限的角色还必须具有全局 EXECUTE MANAGED ALERT 权限。 |
EXECUTE DATA METRIC FUNCTION |
全局 |
允许在调用数据指标函数时使用无服务器计算资源。 |
EXECUTE MANAGED ALERT |
全局 |
授予创建依赖于无服务器计算资源的警报的能力。仅在创建无服务器警报时需要。具有无服务器警报 OWNERSHIP 权限的角色必须同时拥有运行该警报所需的 EXECUTE MANAGED ALERT 和 EXECUTE ALERT 权限。 |
EXECUTE MANAGED TASK |
全局 |
授予创建依赖于无服务器计算资源的任务的能力。仅需要创建无服务器任务。具有该任务 OWNERSHIP 权限的角色必须同时拥有任务运行所需的 EXECUTE MANAGED TASK 和 EXECUTE TASK 权限。 |
EXECUTE TASK |
全局 |
授予运行角色拥有的任务的能力。对于要运行的无服务器任务,具有该任务 OWNERSHIP 权限的角色还必须具有全局 EXECUTE MANAGED TASK 权限。 |
FAILOVER |
故障转移组、连接 |
授予将次要故障转移组或次要连接提升为主要故障转移组或主要连接的能力。 |
IMPORT SHARE |
全局 |
适用于数据使用者。授予查看与账户共享的共享内容的能力。同时授予使用共享创建数据库的能力;需要全局 CREATE DATABASE 权限。 |
OVERRIDE SHARE RESTRICTIONS |
全局 |
授予为共享上的 SHARE_RESTRICTIONS 参数设置值的能力,该参数使业务关键提供商账户能够将使用者账户(使用非 Business Critical Edition)添加到共享。有关更多详细信息,请参阅 启用从业务关键账户到非业务关键账户的共享。 |
IMPORTED PRIVILEGES |
数据库、数据交换 |
授予除拥有角色之外的角色访问共享数据库或管理 Snowflake Marketplace/数据交换的能力。 |
INSERT |
表、混合表、Iceberg 表 |
授予在表上执行 INSERT 命令的能力。 |
MANAGE ACCOUNT SUPPORT CASES |
全局 |
授予查看、评论和管理 Snowsight 中当前账户的所有支持工单的能力。 |
MANAGE GRANTS |
全局 |
授予对任何对象授予或撤销权限的能力,可将调用角色视为该对象的所有者。 |
MANAGE LISTING AUTOFULFILLMENT |
全局 |
授予使用 Cross-Cloud Auto-Fulfillment 将列表发布到远程区域,并管理列表自动履行设置的能力。 |
MANAGE ORGANIZATION SUPPORT CASES |
全局 |
授予查看、评论和管理 Snowsight 中当前用户提出的所有支持工单的能力。 |
MANAGE USER SUPPORT CASES |
全局 |
授予查看、评论和管理 Snowsight 中当前用户的所有支持工单的能力。 |
MANAGE WAREHOUSES |
全局 |
授予在同一个账户中对仓库 <label-warehouse-privileges> 执行需要 MODIFY、MONITOR 和 OPERATE 权限 的操作的能力。 |
MODIFY |
资源监视器、仓库、数据交换列表、数据库、架构、故障转移组、复制组、计算池 |
授予更改对象的设置或属性的能力(例如,对于虚拟仓库,提供更改虚拟仓库大小的能力)。 |
MODIFY LOG LEVEL |
全局 |
允许在当前账户中为存储过程和 UDFs 设置所获取日志消息的级别。有关更多信息,请参阅 LOG_LEVEL。 |
MODIFY SESSION LOG LEVEL |
全局 |
允许在当前会话中为存储过程和调用的 UDFs 设置所获取日志消息的级别。有关更多信息,请参阅 LOG_LEVEL。 |
MODIFY TRACE LEVEL |
全局 |
允许在当前账户中为存储过程和 UDFs 设置所获取跟踪事件的级别。 跟踪事件时,您还必须为受支持的其中一个值设置 LOG_LEVEL 参数。有关更多信息,请参阅 TRACE_LEVEL。 |
MODIFY SESSION TRACE LEVEL |
全局 |
允许在当前会话中为存储过程和调用的 UDFs 设置所获取跟踪事件的级别。 跟踪事件时,您还必须为受支持的其中一个值设置 LOG_LEVEL 参数。有关更多信息,请参阅 TRACE_LEVEL。 |
MONITOR |
用户、资源监视器、仓库、数据库、架构、任务、故障转移组、复制组、警报、计算池、服务、动态表 |
授予查看对象内详细信息的能力(例如仓库内的查询和使用情况)。 |
MONITOR EXECUTION |
全局 |
授予监控账户中管道 (Snowpipe) 或任务的能力。 |
MONITOR SECURITY |
全局 |
授予调用与 客户管理的密钥 相关的系统函数的能力。 |
MONITOR USAGE |
全局 |
授予监控数据库和仓库的账户级别使用情况和历史信息的能力;有关更多详细信息,请参阅 使非账户管理员能够在 Classic Console 中监控使用情况和账单历史记录。此外,还可以使用 SHOW MANAGED ACCOUNTS 查看托管账户。 |
OPERATE |
仓库、任务、动态表、警报、计算池、服务 |
授予启动、停止、暂停或恢复虚拟仓库的能力。授予暂停或恢复任务的能力。授予作为动态表暂停、恢复或刷新的能力。授予暂停或恢复计算池的能力。授予以下能力:暂停或恢复 Snowpark Container Services 服务、升级服务、设置和取消设置服务属性。 |
OWNERSHIP |
全部 |
授予删除、更改以及授予或撤消对象访问权限的能力。需要重命名对象并创建与对象本身同名的临时对象。OWNERSHIP 是对象上的特殊权限,会自动授予创建该对象的角色,但也可以通过拥有者角色或任何具有 MANAGE GRANTS 权限的角色,使用 GRANT OWNERSHIP 命令将权限转移给其他角色。 |
PURCHASE DATA EXCHANGE LISTING |
全局 |
授予购买付费列表的能力。 |
READ |
暂存区(仅限内部)、计算池、Git 存储库、镜像仓库 |
授予执行任何需要从内部暂存区读取的操作(GET、LIST、COPY INTO <table> 等)的能力。授予从镜像仓库下载镜像的能力。创建 Snowpark Container Services 服务需要暂存区和镜像仓库的 READ 权限。 |
REFERENCES |
表、混合表、Iceberg 表、外部表、视图 |
授予查看对象结构(但不是数据)的能力。. . 对于表,该权限还授予将对象引用为外键约束条件的唯一/主键表的能力。 |
REPLICATE |
复制组、故障转移组 |
授予刷新次要复制组或故障转移组的能力。 |
RESOLVE ALL |
全局 |
授予解析账户中所有对象的能力,从而通过相应的 SHOW <objects> 命令输出对象。 |
SELECT |
表、混合表、Iceberg 表、外部表、视图、流 |
授予在表/视图上执行 SELECT 语句的能力。 |
TRUNCATE |
表、混合表、事件表、Iceberg 表 |
授予在表上执行 TRUNCATE TABLE 命令的能力。 |
UPDATE |
表、混合表、Iceberg 表 |
授予在表上执行 UPDATE 命令的能力。 |
USAGE |
仓库、数据交换列表、集成、数据库、架构、暂存区(仅限外部)、文件格式、序列、存储过程、用户定义函数、外部函数、计算池、快照 |
授予在对象上执行 USE <object> 命令的能力。还授予对对象上执行 SHOW <objects> 命令的能力。创建 Snowpark Container Services 服务需要计算池的 USAGE 权限。 |
WRITE |
暂存区(仅限内部)、镜像仓库、Git 存储库 |
授予执行任何需要写入内部暂存区的操作(PUT、REMOVE、COPY INTO <location> 等)的能力。授予将镜像上载到镜像仓库的能力。 |
本主题的其余部分描述了每种类型的对象可用的特定权限及其用法。
全局权限(账户级别权限)¶
权限 |
用途 |
备注 |
|---|---|---|
APPLY AGGREGATION POLICY |
授予在表或视图上添加和删除聚合策略的能力。 |
此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY AUTHENTICATION POLICY |
授予对 Snowflake 账户或 Snowflake 账户中的用户添加或删除身份验证策略的能力。 |
|
APPLY MASKING POLICY |
授予在表或视图列上设置列级别安全掩码策略以及在标签上设置掩码策略的能力。 |
此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY ROW ACCESS POLICY |
授予在表或视图上添加和删除行访问策略的能力。 |
此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY PACKAGES POLICY |
授予在 Snowflake 账户上添加或删除包策略的能力。 |
|
APPLY PASSWORD POLICY |
授予为 Snowflake 账户或 Snowflake 账户的用户添加或删除密码策略的能力。 |
|
APPLY PROJECTION POLICY |
授予对表或视图添加和删除投影策略的能力。 |
此全局权限还允许执行对表和视图的 DESCRIBE 操作。 |
APPLY SESSION POLICY |
授予在账户或用户上设置或取消设置会话策略的能力。 |
|
APPLY TAG |
授予在 Snowflake 对象上添加或删除标签的能力。 |
|
ATTACH POLICY |
授予通过将网络策略与账户关联来激活网络策略的能力。 |
|
AUDIT |
授予设置 ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR 用户参数的能力。 |
|
BIND SERVICE ENDPOINT |
启用创建支持公共端点的服务的能力。有关公共端点的更多信息,请参阅 入口:使用来自 Snowflake 外部的服务 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE ACCOUNT |
使数据提供商能够创建新的管理账户(即阅读者账户)。有关更多详细信息,请参阅 管理阅读者账户。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE COMPUTE POOL |
允许创建计算池以运行 Snowpark Container Services 服务。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE DATABASE |
允许创建新 数据库。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE EXTERNAL VOLUME |
允许为 Iceberg 表 创建新的外部卷。 |
|
CREATE FAILOVER GROUP |
允许创建新的 故障转移组。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE REPLICATION GROUP |
允许创建新的 复制组。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE ROLE |
允许创建新角色。 |
|
CREATE USER |
允许创建新用户。 |
|
CREATE DATA EXCHANGE LISTING |
允许创建新的数据交换列表。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE INTEGRATION |
允许创建新的目录、通知、安全性或存储集成。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE NETWORK POLICY |
允许创建新的网络策略。 |
|
CREATE SHARE |
使数据提供商能够创建新共享。有关更多详细信息,请参阅 启用非 ACCOUNTADMIN 角色执行数据共享任务。 |
必须由 ACCOUNTADMIN 角色授予。 |
CREATE WAREHOUSE |
允许创建新的虚拟仓库。 |
|
EXECUTE ALERT |
授予执行角色所拥有的警报的能力。对于要运行的无服务器警报,具有该警报 OWNERSHIP 权限的角色还必须具有全局 EXECUTE MANAGED ALERT 权限。 |
必须由 ACCOUNTADMIN 角色授予。 |
EXECUTE DATA METRIC FUNCTION |
允许在调用数据指标函数时使用无服务器计算资源。 |
|
EXECUTE MANAGED ALERT |
授予创建依赖于无服务器计算资源的警报的能力。仅在创建无服务器警报时需要。具有无服务器警报 OWNERSHIP 权限的角色必须同时拥有运行该警报所需的 EXECUTE MANAGED ALERT 和 EXECUTE ALERT 权限。 |
|
EXECUTE MANAGED TASK |
授予创建依赖于无服务器计算资源的任务的能力。仅无服务器任务需要。具有该任务 OWNERSHIP 权限的角色必须同时拥有任务运行所需的 EXECUTE MANAGED TASK 和 EXECUTE TASK 权限。 |
必须由 ACCOUNTADMIN 角色授予。 |
EXECUTE TASK |
授予运行角色拥有的任务的能力。对于要运行的无服务器任务,具有该任务 OWNERSHIP 权限的角色还必须具有全局 EXECUTE MANAGED TASK 权限。 |
必须由 ACCOUNTADMIN 角色授予。 |
IMPORT SHARE |
使数据使用者能够查看与其账户共享的共享内容。同时授予使用共享创建数据库的能力;需要全局 CREATE DATABASE 权限。有关更多详细信息,请参阅 启用非 ACCOUNTADMIN 角色执行数据共享任务。 |
必须由 ACCOUNTADMIN 角色授予。 |
MANAGE ACCOUNT SUPPORT CASES |
授予查看、评论和管理 Snowsight 中当前账户的所有支持工单的能力。 |
|
MANAGE GRANTS |
允许授予或撤消针对非角色所拥有对象的权限。 |
必须由 SECURITYADMIN 角色(或更高级别角色)授予。 |
MANAGE ORGANIZATION SUPPORT CASES |
授予查看、评论和管理 Snowsight 中当前用户提出的所有支持工单的能力。 |
|
MANAGE USER SUPPORT CASES |
授予查看、评论和管理 Snowsight 中当前用户的所有支持工单的能力。 |
|
MANAGE WAREHOUSES |
授予在同一个账户中对仓库 <label-warehouse-privileges> 执行需要 MODIFY、MONITOR 和 OPERATE 权限 的操作的能力。 |
必须由 ACCOUNTADMIN 角色授予。 |
MANAGE LISTING AUTOFULFILLMENT |
授予使用 Cross-Cloud Auto-Fulfillment 将列表发布到远程区域,并管理列表自动履行设置的能力。 |
必须在 ACCOUNTADMIN 角色获得 ORGADMIN 角色指派的权限 之后才可授予。 |
MODIFY LOG LEVEL |
允许在当前账户中为存储过程和 UDFs 设置所获取日志消息的级别。 |
有关更多信息,请参阅 LOG_LEVEL。 |
MODIFY SESSION LOG LEVEL |
允许在当前会话中为存储过程和调用的 UDFs 设置所获取日志消息的级别。 |
有关更多信息,请参阅 LOG_LEVEL。 |
MODIFY TRACE LEVEL |
允许在当前账户中为存储过程和 UDFs 设置所获取跟踪事件的级别。 |
跟踪事件时,您还必须为受支持的其中一个值设置 LOG_LEVEL 参数。有关更多信息,请参阅 TRACE_LEVEL。 |
MODIFY SESSION TRACE LEVEL |
允许在当前会话中为存储过程和调用的 UDFs 设置所获取跟踪事件的级别。 |
跟踪事件时,您还必须为受支持的其中一个值设置 LOG_LEVEL 参数。有关更多信息,请参阅 TRACE_LEVEL。 |
MONITOR EXECUTION |
授予监控账户中任何管道或任务的能力。 |
必须由 ACCOUNTADMIN 角色授予。存储这些对象的每个数据库和架构也需要 USAGE 权限。 |
MONITOR SECURITY |
授予调用与 客户管理的密钥 相关的系统函数的能力。 |
|
MONITOR USAGE |
授予监控数据库和仓库的账户级别使用情况和历史信息的能力;有关更多详细信息,请参阅 使非账户管理员能够在 Classic Console 中监控使用情况和账单历史记录。此外,还可以使用 SHOW MANAGED ACCOUNTS 查看托管账户。 |
必须由 ACCOUNTADMIN 角色授予。 |
OVERRIDE SHARE RESTRICTIONS |
授予为共享上的 SHARE_RESTRICTIONS 参数设置值的能力,该参数使业务关键提供商账户能够将使用者账户(使用非 Business Critical Edition)添加到共享。 |
有关更多详细信息,请参阅 启用从业务关键账户到非业务关键账户的共享。 |
PURCHASE DATA EXCHANGE LISTING |
授予购买付费列表的能力。 |
请参阅 为列表付费。 |
RESOLVE ALL |
授予解析账户中所有对象的能力,从而通过相应的 SHOW <objects> 命令输出对象。 |
|
ALL [ PRIVILEGES ] |
授予所有全局权限。 |
用户权限¶
权限 |
用途 |
|---|---|
MONITOR |
授予查看用户登录历史记录的能力。 |
OWNERSHIP |
授予对用户/角色的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有用户权限,OWNERSHIP 除外。 |
角色权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
授予对角色的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。请注意,所有者角色不会继承授予所拥有角色的任何权限。要从角色继承权限,必须将该角色授予另一个角色,从而在角色层次结构中创建父子关系。 |
资源监视器权限¶
权限 |
用途 |
|---|---|
MODIFY |
允许更改资源监视器的任何属性,例如更改每月 Credit 配额。 |
MONITOR |
允许查看资源监视器。 |
ALL [ PRIVILEGES ] |
授予所有资源监视器权限,OWNERSHIP 除外。 |
虚拟仓库权限¶
权限 |
用途 |
|---|---|
APPLYBUDGET |
允许在预算中添加或移除仓库。 |
MODIFY |
允许更改仓库的任何属性,包括更改其大小。. . 需要将仓库分配给资源监视器。请注意,只有 ACCOUNTADMIN 角色可以将仓库分配给资源监视器。 |
MONITOR |
允许查看在仓库上执行的当前和过去的查询以及该仓库的使用统计信息。 |
OPERATE |
允许更改仓库的状态(停止、启动、暂停、恢复)。此外,还可以查看在仓库上执行的当前和过去的查询,并中止任何正在执行的查询。 |
USAGE |
允许使用虚拟仓库,从而在仓库上执行查询。如果在仓库配置为自动恢复时向其提交 SQL 语句(例如,查询),则仓库会自动恢复并执行该语句。 |
OWNERSHIP |
授予对仓库的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有仓库权限, OWNERSHIP 除外。 |
小技巧
授予全局 MANAGE WAREHOUSES 权限相当于授予账户中所有仓库的 MODIFY、MONITOR 和 OPERATE 权限。您可以将此权限授予其目的包括管理仓库的角色,以简化 Snowflake 访问控制管理。
有关详细信息,请参阅 委派仓库管理。
有关创建具有指定权限集的自定义角色的说明,请参阅 创建自定义角色。
连接权限¶
权限 |
用途 |
|---|---|
FAILOVER |
授予将次要连接提升为主连接的能力。 |
外部卷权限¶
权限 |
用途 |
|---|---|
USAGE |
允许在执行使用外部卷的其他命令时引用外部卷,并授予使用 SHOW 或者 DESCRIBE 命令查看外部卷详细信息的能力。 |
OWNERSHIP |
授予对外部卷的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
故障转移组权限¶
权限 |
用途 |
|---|---|
MODIFY |
允许更改故障转移组的任何属性。 |
MONITOR |
允许查看故障转移组的详细信息。 |
OWNERSHIP |
授予对故障转移组的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
FAILOVER |
允许将次要故障转移组提升为主要故障转移组。 |
REPLICATE |
允许刷新次要故障转移组。 |
ALL [ PRIVILEGES ] |
授予所有故障转移组权限,OWNERSHIP 除外。 |
复制组权限¶
权限 |
用途 |
|---|---|
MODIFY |
允许更改复制组的任何属性。 |
MONITOR |
允许查看复制组的详细信息。 |
OWNERSHIP |
授予对复制组的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
REPLICATE |
允许刷新次要复制组。 |
ALL [ PRIVILEGES ] |
授予所有复制组权限,OWNERSHIP 除外。 |
集成权限¶
权限 |
用途 |
|---|---|
USAGE |
允许在执行使用该集成的其他命令时引用该集成。有关更多信息,请参阅 CREATE STAGE 和 CREATE EXTERNAL ACCESS INTEGRATION 的访问控制要求。 |
USE_ANY_ROLE |
仅当将此权限授予客户端或用户时,才允许 External OAuth 客户端或用户切换角色。配置 External OAuth 安全集成以使用 |
OWNERSHIP |
授予对集成的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有集成权限,OWNERSHIP 除外。 |
身份验证策略权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
转移身份验证策略的所有权,从而授予对身份验证策略的完全控制权。更改身份验证策略的大多数属性时需要此权限。 |
网络规则权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
授予对网络规则的完全控制权。 |
网络策略权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
授予对网络策略的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
包策略权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
转移包策略的所有权,从而授予对包策略的完全控制权。需要更改包策略的大多数属性。 |
USAGE |
使用 SHOW 或者 DESCRIBE 命令授予查看包策略内容的能力。 |
密码策略权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
转移密码策略的所有权,从而授予对密码策略的完全控制权。需要更改密码策略的大多数属性。 |
会话策略权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
转移会话策略的所有权,从而授予对会话策略的完全控制权。需要更改会话策略的大多数属性。 |
数据交换权限¶
权限 |
用途 |
|---|---|
IMPORTED PRIVILEGES |
允许所有者角色以外的角色管理数据交换。 |
列表权限¶
备注
您必须使用 Snowsight 管理列表级别的权限。请参阅 向其他角色授予权限。
权限 |
用途 |
|---|---|
MODIFY |
允许所有者角色以外的角色修改列表。 |
USAGE |
允许查看列表。 |
OWNERSHIP |
授予对列表的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有列表权限,OWNERSHIP 除外。 |
数据库权限¶
权限 |
用途 |
|---|---|
APPLYBUDGET |
允许在预算中添加或移除数据库。 |
MODIFY |
允许更改数据库的任何设置。 |
MONITOR |
允许在数据库上执行 DESCRIBE 命令。 |
USAGE |
允许使用数据库,包括在 SHOW DATABASES 命令输出中返回数据库详细信息。需要额外的权限才能查看数据库中的对象或对数据库中的对象执行操作。 |
REFERENCE_USAGE |
当对象引用不同数据库中的另一个对象时,允许使用该对象(例如共享中的安全视图)。将其他数据库的权限授予共享。您不能将数据库的此权限授予任何类型的角色。有关详细信息,请参阅 GRANT <privilege> ...TO SHARE 和 共享来自多个数据库的数据。 |
CREATE DATABASE ROLE |
允许在数据库中创建新的数据库角色。 |
CREATE SCHEMA |
允许在数据库中创建新架构,包括克隆架构。 |
IMPORTED PRIVILEGES |
允许除拥有角色之外的角色访问共享数据库;仅适用于共享数据库。 |
OWNERSHIP |
授予对数据库的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有数据库权限,OWNERSHIP 除外。 |
备注
更改数据库的属性需要数据库的 OWNERSHIP 权限。
更新 COMMENT 属性需要数据库的 MODIFY 权限。
如果授予一个角色 任何 数据库权限,该角色可以使用完全限定名称对架构中的对象执行 SQL 操作。该角色必须具有架构的 USAGE 权限以及对象上所需的权限。要使数据库成为用户会话中的活动数据库,需要数据库上的 USAGE 权限。
拥有数据库上 OWNERSHIP 权限的账户级别角色(即
r1)可以向不同账户级别的角色授予 CREATE DATABASE ROLE 权限(即r2)。相似地,r1也可以撤消来自其他账户级别角色的 CREATE DATABASE ROLE 权限。在这种情况下,
r2必须在数据库上具有 USAGE 权限才能在数据库中创建新数据库角色。创建数据库角色时,会自动授予该数据库角色包含了数据库角色的数据库的 USAGE 权限
架构权限¶
权限 |
用途 |
|---|---|
APPLYBUDGET |
允许在预算中添加或移除架构。 |
MODIFY |
允许更改架构的任何设置。 |
MONITOR |
允许在架构上执行 DESCRIBE 命令。 |
USAGE |
允许使用架构,包括在 SHOW SCHEMAS 命令输出中返回架构详细信息。. . 要为架构中的对象(表、视图、暂存区、文件格式、序列、管道或函数)执行 SHOW <objects> 命令,必须至少向角色授予该对象的一项权限。 |
CREATE AUTHENTICATION POLICY |
允许在架构中创建新的身份验证策略。 |
CREATE TABLE |
允许在架构中创建新表,包括克隆表。请注意,此权限是 不是 创建临时表所必需的,临时表的范围仅限于当前用户会话,并将在会话结束时自动删除。 |
CREATE DYNAMIC TABLE |
允许在架构中创建新 动态表。 |
CREATE EXTERNAL TABLE |
允许在架构中创建新的外部表。 |
CREATE GIT REPOSITORY |
允许在架构中创建新 Git 存储库 暂存区。 |
CREATE HYBRID TABLE |
允许在架构中创建新 混合表。 |
CREATE ICEBERG TABLE |
允许在架构中创建新 Iceberg 表。 |
CREATE VIEW |
允许在架构中创建新视图。 |
CREATE MASKING POLICY |
允许在架构中创建新的掩码策略。 |
CREATE MATERIALIZED VIEW |
允许在架构中创建新的物化视图。 |
CREATE NETWORK RULE |
允许在架构中创建新的网络规则。 |
CREATE ROW ACCESS POLICY |
允许在架构中创建新的行访问策略。 |
CREATE SECRET |
允许在当前/指定架构中创建新密钥或替换现有密钥。 |
CREATE SESSION POLICY |
允许在架构中创建新的会话策略。 |
CREATE STAGE |
允许在架构中创建新暂存区,包括克隆暂存区。 |
CREATE STREAMLIT |
允许在架构中创建新 Streamlit 应用程序。 |
CREATE FILE FORMAT |
允许在架构中创建新的文件格式,包括克隆文件格式。 |
CREATE SEQUENCE |
允许在架构中创建新序列,包括克隆序列。 |
CREATE FUNCTION |
允许在架构中创建新的 UDF 或外部函数。 |
CREATE PACKAGES POLICY |
允许在架构中创建新的包策略。 |
CREATE PASSWORD POLICY |
允许在架构中创建新的密码策略。 |
CREATE PIPE |
允许在架构中创建新管道。 |
CREATE STREAM |
允许在架构中创建新流,包括克隆流。 |
CREATE TAG |
允许在架构中创建新的 标签键。 |
CREATE TASK |
允许在架构中创建新任务,包括克隆任务。 |
CREATE PROCEDURE |
允许在架构中创建新的存储过程。 |
CREATE ALERT |
允许在架构中创建新警报。 |
CREATE SNOWFLAKE.CORE.BUDGET |
允许在架构上创建新的 预算。 |
CREATE SNOWFLAKE.ML.FORECAST |
允许在架构上创建新的 预测 模型实例。 |
CREATE SNOWFLAKE.ML.ANOMALY_DETECTION |
允许在架构上创建新的 异常检测 模型实例。 |
CREATE MODEL |
允许在架构上创建机器学习模型。 |
CREATE IMAGE REPOSITORY |
允许在架构上创建 Snowpark Container Services 镜像仓库。 |
CREATE SERVICE |
允许在架构上创建 Snowpark Container Services 服务。 |
CREATE SNAPSHOT |
允许在架构上创建 Snowpark Container Services 快照。 |
ADD SEARCH OPTIMIZATION |
允许在架构中向表 添加搜索优化。 |
OWNERSHIP |
授予对架构的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有架构权限,OWNERSHIP 除外。 |
备注
更改架构的属性(包括注释)需要数据库的 OWNERSHIP 权限。
对架构执行操作还需要父数据库的 USAGE 权限。
表权限¶
权限 |
用途 |
|---|---|
SELECT |
|
INSERT |
允许对表执行 INSERT 命令。还可以使用 ALTER TABLE 命令与 |
UPDATE |
允许对表执行 UPDATE 命令。 |
TRUNCATE |
允许对表执行 TRUNCATE TABLE 命令。 |
DELETE |
允许对表执行 DELETE 命令。 |
EVOLVE SCHEMA |
允许在加载数据时表上发生 架构演化。 |
REFERENCES |
允许将表引用为外键约束的唯一/主键表。还可以通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看表的结构(但不是数据)。 |
APPLYBUDGET |
允许在预算中添加或删除表。 |
OWNERSHIP |
授予对表的完全控制权。需要更改表的大多数属性(重聚类除外)。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有表权限,OWNERSHIP 除外。 |
备注
操作表还需要父数据库和架构的 USAGE 权限。
若要创建创建与架构中已存在的对象同名的临时对象,必须授予角色或使其继承对象上的 OWNERSHIP 权限。
动态表权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对动态表执行 SELECT 语句。 |
OPERATE |
允许更改动态表的属性。 如果您没有动态表的此权限,则不能使用 ALTER DYNAMIC TABLE 命令,该命令使您能够:
|
MONITOR |
允许通过 Snowsight 以及 SQL 命令和函数访问动态表的元数据。 如果您没有动态表的 MONITOR 权限,则无法执行以下操作:
|
OWNERSHIP |
授予对动态表的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。 删除动态表时需要此权限。 |
ALL [ PRIVILEGES ] |
授予所有动态表权限,OWNERSHIP 除外。 |
事件表权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对事件表执行 SELECT 语句。 |
INSERT |
与账户的 OWNERSHIP 结合,授予将账户关联到事件表的能力。 |
TRUNCATE |
授予对事件表执行 TRUNCATE TABLE 命令的能力。 |
ALL [ PRIVILEGES ] |
授予所有事件表权限,OWNERSHIP 除外。 |
OWNERSHIP |
转移事件表的所有权,从而授予对事件表的完全控制权。. . 需要更改事件表。. . 与账户的 OWNERSHIP 结合,授予将账户关联到事件表的能力。 |
备注
对事件表执行操作还需要 父数据库和架构 上的 USAGE 权限。
外部表权限¶
权限 |
用途 |
|---|---|
SELECT |
|
REFERENCES |
可以通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看外部表的结构(但不是数据)。 |
OWNERSHIP |
授予对外部表的完全控制权;需要刷新外部表。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有外部表权限,OWNERSHIP 除外。 |
备注
对外部表执行操作还需要父数据库和架构的 USAGE 权限。
混合表权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对混合表执行 SELECT 语句。 |
INSERT |
允许对混合表执行 INSERT 命令。 |
UPDATE |
允许对混合表执行 UPDATE 命令。 |
TRUNCATE |
允许对混合表执行 TRUNCATE TABLE 命令。 |
DELETE |
允许对混合表执行 DELETE 命令。 |
REFERENCES |
允许将混合表引用为外键约束的唯一/主键表。还允许通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看混合表的结构(但不是数据)。 |
APPLYBUDGET |
允许在预算中添加或移除混合表。 |
OWNERSHIP |
授予对混合表的完全控制权。更改混合表的大多数属性时都需要此权限。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予混合表的所有权限,OWNERSHIP 除外。 |
备注
操作混合表还需要父数据库和架构的 USAGE 权限。
如果授予对使用目录集成的混合表的以下权限,这些权限将无效:INSERT、UPDATE、DELETE。使用目录集成的混合表处于只读状态。
Iceberg 表权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对 Iceberg 表执行 SELECT 语句。 |
INSERT |
允许对 Iceberg 表执行 INSERT 命令。 |
UPDATE |
允许对 Iceberg 表执行 UPDATE 命令。 |
TRUNCATE |
允许对 Iceberg 表执行 TRUNCATE TABLE 命令。 |
DELETE |
允许对 Iceberg 表执行 DELETE 命令。 |
REFERENCES |
允许引用 Iceberg 表作为外键约束的唯一/主键表。还可以通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看 Iceberg 表的结构(但不是数据)。 |
APPLYBUDGET |
允许在预算中添加或移除 Iceberg 表。 |
OWNERSHIP |
授予对 Iceberg 表的完全控制权。需要更改 Iceberg 表的大多数属性。同一时间只有一个角色可以在特定对象上拥有此权限。 |
ALL [ PRIVILEGES ] |
授予所有 Iceberg 表权限,OWNERSHIP 除外。 |
备注
在 Iceberg 表上操作还需要父数据库和架构的 USAGE 权限。
如果授予对使用外部目录的 Iceberg 表的以下权限,这些权限将无效:INSERT、UPDATE、DELETE。使用外部目录的 Iceberg 表处于只读状态。
视图权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对视图执行 SELECT 语句和将视图 分类。. . 此权限足以查询视图;不需要创建视图时所在对象的 SELECT 权限。 |
REFERENCES |
可以通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看视图的结构(但不是数据)。 |
OWNERSHIP |
授予对视图的完全控制权。需要更改视图。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有视图权限,OWNERSHIP 除外。 |
备注
可以在视图上授予 INSERT、UPDATE 和 DELETE 等表的 DML 权限;但是,由于视图处于只读状态,因此这些权限不会生效。
操作视图还需要父数据库和架构的 USAGE 权限。
若要创建创建与架构中已存在的对象同名的临时对象,必须授予角色或使其继承对象上的 OWNERSHIP 权限。
物化视图权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对视图执行 SELECT 语句和将物化视图 分类。. . 请注意,此权限可用于查询视图。不需要视图底层对象的 SELECT 权限。 |
REFERENCES |
可以通过 DESCRIBE 或 SHOW 命令或查询 Information Schema 来查看视图的结构(但不是数据)。 |
APPLYBUDGET |
允许在预算中添加或移除物化视图。 |
OWNERSHIP |
授予对视图的完全控制权。需要更改视图。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有视图权限,OWNERSHIP 除外。 |
备注
可以在视图上授予 INSERT、UPDATE 和 DELETE 等表的 DML 权限;但是,由于视图处于只读状态,因此这些权限不会生效。
操作视图还需要父数据库和架构的 USAGE 权限。
若要创建创建与架构中已存在的对象同名的临时对象,必须授予角色或使其继承对象上的 OWNERSHIP 权限。
暂存区权限¶
权限 |
用途 |
|---|---|
USAGE |
允许在 SQL 语句中使用外部暂存区对象,并且包含 READ 和 WRITE 权限;不适用于内部暂存区。 |
READ |
允许执行任何需要从暂存区读取的操作(例如,文件暂存命令 和 COPY INTO <table>)。 |
WRITE |
允许执行任何需要写入暂存区的操作(例如,文件暂存命令 和 COPY INTO <location>)。 |
OWNERSHIP |
授予对暂存区的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有适用于暂存区(内部或外部)的权限,OWNERSHIP 除外。 |
备注
当同时授予内部暂存区的 READ 和 WRITE 权限时,必须在授予 WRITE 权限的之前或同时授予 READ 权限。
当同时撤消内部暂存区的 READ 和 WRITE 权限时,必须在撤消 READ 权限的之前或同时撤消 WRITE 权限。
操作暂存区还需要父数据库和架构的 USAGE 权限。
若要创建创建与架构中已存在的对象同名的临时对象,必须授予角色或使其继承对象上的 OWNERSHIP 权限。
目录表权限¶
下表总结了在使用暂存区中的 目录表 时执行常见 SQL 命令所需的暂存区 权限。
操作 |
对象类型 |
需要权限 |
|---|---|---|
使用 SELECT FROM DIRECTORY 语句,从目录表检索文件 URLs。 |
暂存区 |
下面其中一种权限,具体取决于暂存区的类型:
|
使用 PUT 命令上传数据。 |
暂存区(仅限内部) |
具有暂存区 WRITE 权限的账户角色或数据库角色。 |
使用 REMOVE 命令移除文件。 |
暂存区 |
下面其中一种权限,具体取决于暂存区的类型:
|
使用 ALTER STAGE 命令刷新元数据。 |
暂存区 |
下面其中一种权限,具体取决于暂存区的类型:
|
Git 存储库权限¶
权限 |
用途 |
|---|---|
READ |
允许执行任何需要从 Git 存储库暂存区读取的操作。 |
WRITE |
允许执行需要写入 Git 存储库暂存区的操作,例如更改对象的属性或从远程存储库执行 FETCH。 |
OWNERSHIP |
授予对 Git 存储库暂存区的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有适用于 Git 存储库暂存区的权限,OWNERSHIP 除外。 |
文件格式权限¶
权限 |
用途 |
|---|---|
USAGE |
允许在 SQL 语句中使用文件格式。 |
OWNERSHIP |
授予对文件格式的完全控制权。需要更改文件格式。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有文件格式权限,OWNERSHIP 除外。 |
备注
操作文件格式还需要父数据库和架构的 USAGE 权限。
若要创建创建与架构中已存在的对象同名的临时对象,必须授予角色或使其继承对象上的 OWNERSHIP 权限。
管道权限¶
使用 Snowpipe 创建和管理管道对象以加载数据。
权限 |
用途 |
|---|---|
APPLYBUDGET |
允许在预算中添加或移除管道。 |
MONITOR |
允许查看管道的详细信息(使用 DESCRIBE PIPE 或者 SHOW PIPES)。 |
OPERATE |
允许查看管道的详细信息(使用 DESCRIBE PIPE 或者 SHOW PIPES)、暂停或恢复管道,以及刷新管道。 |
OWNERSHIP |
授予对管道的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有管道权限,OWNERSHIP 除外。 |
备注
操作管道还需要父数据库和架构的 USAGE 权限。
数据库角色权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
授予对数据库角色的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。请注意,所有者角色不会继承授予所拥有数据库角色的任何权限。要从数据库角色继承权限,必须将该数据库角色授予另一个角色,从而在角色层次结构中创建父子关系。 |
流权限¶
权限 |
用途 |
|---|---|
SELECT |
允许对流执行 SELECT 语句。 |
OWNERSHIP |
授予对流的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有流权限,OWNERSHIP 除外。 |
任务权限¶
权限 |
用途 |
|---|---|
APPLYBUDGET |
允许在预算中添加或移除任务。 |
MONITOR |
允许查看任务的详细信息(使用 DESCRIBE TASK 或者 SHOW TASKS)。 |
OPERATE |
允许查看任务的详细信息(使用 DESCRIBE TASK 或者 SHOW TASKS),以及恢复或暂停任务。 |
OWNERSHIP |
授予对任务的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有任务权限,OWNERSHIP 除外。 |
密钥权限¶
权限 |
用途 |
|---|---|
READ |
允许 UDF 或存储过程使用密钥来访问存储在密钥中的凭据。有关详细信息,请参阅 创建表示凭据的密钥。 |
USAGE |
允许使用密钥。 |
OWNERSHIP |
转移密钥的所有权,从而授予对密钥的完全控制权。需要更改密钥的大多数属性或从系统中删除密钥。 |
聚合策略权限¶
权限 |
用途 |
|---|---|
APPLY |
允许对表或视图上的聚合策略执行取消设置和设置操作。 请注意,授予全局 APPLY AGGREGATION POLICY 权限(即 ACCOUNT 上的 APPLY AGGREGATION POLICY)允许对表和视图执行 DESCRIBE 操作。 |
OWNERSHIP |
授予对聚合策略的完全控制权。更改聚合策略的大多数属性时需要此权限。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作聚合策略还需要父数据库和架构的 USAGE 权限。
掩码策略权限¶
权限 |
用途 |
|---|---|
APPLY |
允许在列上对 掩码策略 执行取消设置和设置操作。 请注意,授予全局 APPLY MASKING POLICY 权限(即 ACCOUNT 上的 APPLY MASKING POLICY)允许对表和视图执行 DESCRIBE 操作。 有关语法示例,请参阅 掩码策略权限。 |
OWNERSHIP |
授予对掩码策略的完全控制权。需要更改掩码策略的大多数属性。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作掩码策略还需要父数据库和架构的 USAGE 权限。
投影策略权限¶
权限 |
用途 |
|---|---|
APPLY |
允许在列上对投影策略执行取消设置和设置操作。 请注意,授予全局 APPLY PROJECTION POLICY 权限(即 ACCOUNT 上的 APPLY PROJECTION POLICY)允许对表和视图执行 DESCRIBE 操作。 |
OWNERSHIP |
授予对投影策略的完全控制权。更改投影策略的大多数属性时需要此权限。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作投影策略还需要父数据库和架构的 USAGE 权限。
行访问策略权限¶
权限 |
用途 |
|---|---|
APPLY |
允许在表或视图上对 行访问策略 执行添加和删除操作。 请注意,授予全局 APPLY ROW ACCESS POLICY 权限(即 ACCOUNT 上的 APPLY ROW ACCESS POLICY)允许对表和视图执行 DESCRIBE 操作。 有关语法示例,请参阅 DDL 命令、操作和权限总结。 |
OWNERSHIP |
授予对行访问策略的完全控制权。需要更改行访问策略的大多数属性。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作行访问权限策略还需要父数据库和架构的 USAGE 权限。
标签权限¶
权限 |
用途 |
|---|---|
APPLY |
允许在 Snowflake 对象上对标签执行添加和删除操作。 |
READ |
使数据共享使用者能够使用 SHOW TAGS 命令来查看共享标签的分配。数据共享提供商将此权限授予数据库角色或直接授予共享。 |
OWNERSHIP |
授予对标签的完全控制权。更改标签的大多数属性时都需要此权限。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
标签存储在架构级别。
操作标签还需要父数据库和架构的 USAGE 权限。
序列权限¶
权限 |
用途 |
|---|---|
USAGE |
允许在 SQL 语句中使用序列。 |
ALL [ PRIVILEGES ] |
授予所有序列权限,OWNERSHIP 除外。 |
OWNERSHIP |
授予对序列的完全控制权;需要更改序列。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作序列还需要父数据库和架构的 USAGE 权限。
存储过程权限¶
权限 |
用途 |
|---|---|
USAGE |
允许调用存储过程。 |
ALL [ PRIVILEGES ] |
授予所有存储过程权限, OWNERSHIP 除外。 |
OWNERSHIP |
授予对存储过程的完全控制权;需要更改存储过程。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
操作存储过程还需要父数据库和架构的 USAGE 权限。
如果存储过程以调用者权限运行,则调用该存储过程的用户必须对该存储过程访问的数据库对象(例如表)具有权限。有关详细信息,请参阅 了解调用方权限和所有者权限存储过程。
用户定义函数 (UDF) 和外部函数权限¶
权限 |
用途 |
|---|---|
USAGE |
允许调用 UDF 或外部函数。 |
ALL [ PRIVILEGES ] |
授予所有 UDF 或外部函数权限,OWNERSHIP 除外。 |
OWNERSHIP |
授予对 UDF 或外部函数的完全控制权;需要更改 UDF 或外部函数。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
备注
对 UDF 或外部函数执行操作还需要父数据库和架构的 USAGE 权限。
UDF 的拥有者必须具有该函数所访问对象的权限;调用 UDF 的用户不需要这些权限。有关详细信息,请参阅 SQL UDFs 的安全/权限要求。
外部函数的所有者必须具有与外部函数关联的 API 集成对象的 USAGE 权限。有关详细信息,请参阅有关外部函数的文档中的 访问控制。
数据指标函数 (DMF) 权限¶
权限 |
用途 |
|---|---|
USAGE |
允许调用 DMF。 |
OWNERSHIP |
转移数据指标函数的所有权,从而授予对数据指标函数的完全控制权。更改数据指标函数的大多数属性时需要此权限。 |
ALL [ PRIVILEGES ] |
授予所有 DMF 权限,OWNERSHIP 除外。 |
警报权限¶
权限 |
用途 |
|---|---|
MONITOR |
允许查看警报的详细信息(使用 DESCRIBE ALERT 或者 SHOW ALERTS)。 |
OPERATE |
允许查看警报的详细信息(使用 DESCRIBE ALERT 或者 SHOW ALERTS)并恢复或暂停警报(使用 ALTER ALERT)。 |
OWNERSHIP |
授予对警报的完全控制权。同一时间只有一个角色可以在特定对象上拥有此权限。Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants. |
ALL [ PRIVILEGES ] |
授予所有警报权限,OWNERSHIP 除外。 |
计算池权限¶
权限 |
用途 |
|---|---|
OPERATE |
允许暂停或恢复计算池。 |
MODIFY |
允许更改计算池和设置属性。 |
USAGE |
允许运行服务或作业。此权限允许与服务进行通信(创建服务函数、使用公共端点以及从另一个服务连接)。 |
MONITOR |
允许查看计算池使用情况(正在运行的服务和作业数)属性,以及列出角色具有访问权限的账户中的计算池。 |
OWNERSHIP |
授予对计算池的完全控制权。同一时间只有一个角色可以拥有特定计算池对象的此权限。 |
镜像仓库权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
允许完全控制镜像仓库。具有此权限的角色还可以删除镜像仓库。 |
READ |
允许列出和下载镜像仓库中的镜像。 |
WRITE |
允许从仓库中列出并下载镜像。还允许推送存储库中的镜像。 |
服务权限¶
权限 |
用途 |
|---|---|
OPERATE |
允许暂停或恢复服务、升级服务和修改服务属性。 |
OWNERSHIP |
允许完全控制服务。具有此权限的角色还可以从架构中移除服务。 |
MONITOR |
允许监控服务和获取运行时状态。 |
快照权限¶
权限 |
用途 |
|---|---|
OWNERSHIP |
允许完全控制快照。具有此权限的角色还可以从架构中移除快照。 |
USAGE |
允许列出和描述快照。 |
Streamlit 权限¶
权限 |
用途 |
|---|---|
USAGE |
允许查看和运行 Streamlit 应用程序。 |
模型权限¶
权限 |
用途 |
|---|---|
USAGE |
允许显示有关模型的信息和调用其方法。 |