Как разрешить сисадмину создавать роли?

Question

SYSADMIN роль не может создавать роли в данный момент или, по крайней мере, это то, что я узнал из документов. Кто-нибудь знает, как разрешить SYSADMIN создавать роли?

Answer 1

Вы можете предоставить привилегию CREATE ROLE роли. Почему бы не создать настраиваемую роль, которая соответствует вашим потребностям, а не манипулировать системной ролью? https://docs.snowflake.net/manuals/user-guide/security-access-control-privileges.html#global -privileges

Answer 2

Вы можете создать хранимую процедуру для создания роли, передаваемой как строковую переменную. Хранимая процедура должна быть запущена с правами владельца, и владелец должен иметь возможность создать роль. Затем вы можете предоставить роли SYSADMIN привилегию для запуска хранимой процедуры.

https://docs.snowflake.net/manuals/sql-reference/sql/create-procedure.html

Вы можете обратиться к разделу «ВЫПОЛНИТЬ КАК», где обсуждаются права владельца. Если вы опустите это в определении хранимой процедуры, она будет выполняться как вызывающая сторона. Поскольку у SYSADMIN нет прав на создание роли, произойдет сбой. Обязательно укажите «выполнить как владелец» и убедитесь, что владелец имеет право на создание роли.

Дайте мне знать, если вам нужен пример. Благодаря.

Answer 3

Только пользователи, которые наследуют привилегии роли SECURITYADMIN, смогут создавать пользователей. Из документов:

Роль администратора безопасности (SECURITYADMIN) включает в себя привилегии для создания и управления пользователями и ролями

Это означает, что вы сможете добавить SYSADMIN роль как участник роли SECURITYADMIN, и вы сможете управлять пользователями и ролями с помощью SYSADMIN.

Как уже упоминал @SuzyLockwood, вам, вероятно, следует создать отдельную роль для управления этими объектами