БУДУЩИЕ ГРАНТЫ на столах без доступа УПРАВЛЕНИЕ ГРАНТАМИ

Question

Может ли пользователь Snowflake создавать БУДУЩИЕ ГРАНТЫ для таблиц / схем, если их роль не имеет роли УПРАВЛЯТЬ ГРАНТАМИ? Начиная с здесь , кажется, что нет, но я хочу убедиться, что я ничего не пропускаю.

Для контекста: у моей команды есть несколько конвейеров, которые выполняют полную замену таблиц (т.е. удаляет старую таблицу и заменяет новую). Я работаю в более крупной организации, и наш главный администратор БД не решается дать моей команде разрешение на УПРАВЛЕНИЕ ГРАНТОМ.

Answer 1

Может быть, я скучаю по пониманию, но звучит так, как будто вам нужны те же самые гранты для будущих таблиц, что и те, которые вы в настоящее время имеете для существующих таблиц, именно так работает выдача будущих грантов.

Например, если вы нужны ВСЕ привилегии (кроме владения) для всех таблиц и будущих таблиц в схеме, вам нужно, чтобы ваш администратор БД выполнил следующее:

Для существующих таблиц:

GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA DB1.SCHEMA1 TO MY_ROLE;

Для будущих таблиц:

GRANT ALL PRIVILEGES ON FUTURE TABLES IN SCHEMA DB1.SCHEMA1 TO MY_ROLE;

По мере создания или удаления таблиц и заново, вы и ваша команда всегда будете поддерживать те же привилегии. Это исключит любую повторяющуюся работу для вашего администратора базы данных и обеспечит вам постоянный доступ к вашим таблицам в момент их создания.

Answer 2

Для предоставления БУДУЩИХ ГРАНТОВ требуется выполнение оператора GRANT, для которого требуются МЕНЕДЖЕР-ГРАНТЫ.

На этой странице документации:

Для предоставления или отзыва требуется глобальная привилегия МЕНЕДЖМЕТР. привилегии для будущих объектов на уровне базы данных. По умолчанию только роли SECURITYADMIN и ACCOUNTADMIN имеют привилегию MANAGE GRANTS.