连接器基于角色的访问控制¶
以下部分将介绍在连接器应用程序中使用的应用程序角色:
ADMIN
VIEWER
DATA_READER
这些应用程序角色会自动分配给负责在账户上安装应用程序的账户级别角色。可以将它们重新分配给其他人,以授予对连接器数据和连接器本身的控制权限和数据访问权限。另请参阅 GRANT APPLICATION ROLE。
ADMIN 应用程序角色¶
您必须将 Snowflake 角色的 ACCOUNTADMIN 角色与应用程序角色 ADMIN 配对使用,以执行连接器的初始配置(包括安装)。
您可以在初始配置后将 ADMIN 应用程序角色与任何其他 Snowflake 角色配对使用,以管理连接器数据同步。ADMIN 应用程序角色授予对所有公共视图和过程的访问权限,该角色在与授予的账户级别权限配对使用时,可用于以下用途:
查看 Home 选项卡和引入统计信息。
查看和管理数据同步。
查看设置和连接器配置并管理警报。
注意
要管理连接器警报,请向 ADMIN 应用程序分配到的角色授予 ACCOUNTADMIN 角色或 CREATE INTEGRATION 权限。要授予这些权限,请执行以下 SQL 代码:GRANT CREATE INTEGRATION ON ACCOUNT TO ROLE <替换为您的角色名>;
VIEWER 应用程序角色¶
VIEWER 应用程序角色可以分配给任何角色,用于以下用途:
查看连接器 Home 选项卡和引入统计信息。
查看连接器数据同步。
查看连接器设置和配置。
DATA_READER 应用程序角色¶
想访问引入数据的用户应仅使用 DATA_READER 角色。DATA_READER 应用程序角色 必须 用于授予对复制数据的读取权限。
此角色用于授予对引入数据的访问权限。要分配 DATA_READER 角色,您可以在 Snowsight 中使用 Manage access,或者执行以下 SQL 语句:
GRANT APPLICATION ROLE DATA_READER to ROLE <replace-with-your-role-name>;
请勿试图通过将所有权更改为目标数据库来访问复制的数据,而是应授予 DATA_READER 应用程序角色。
要查看复制的数据,用户必须具有以下权限:
对目标数据库的
USAGE权限对目标架构的
USAGE权限对目标表的
SELECT权限
连接器向此角色授予对应用程序创建的所有表和视图的 USAGE/SELECT 权限。
注意
DATA_READER 应用程序角色仅会被授予对应用程序创建的对象的权限。如果目标数据库或目标架构已存在,并且未被连接器应用程序拥有,则连接器将无法向 DATA_READER 角色授予对这些对象的适当权限。在这种情况下,必须手动更新具有 DATA_READER 应用程序角色的账户级别角色,使其拥有对这些对象的 USAGE 权限。