#snowflake-cloud-data-platform #snowflake-schema
Вопрос:
Я читал, что рекомендуется назначать системному администратору пользовательские роли.
В чем смысл всего этого ?
Комментарии:
1. Лучшая практика-видеть системного администратора Крестным отцом объектов данных, а не таким высокопоставленным, как администратор учетной записи (это был бы отец крестного отца). Поскольку пользовательские роли сами создают объекты, в конечном счете, для управления этими объектами также можно использовать системного администратора. Конечно, вы не используете системного администратора изо дня в день (если это не соответствует вашей операционной модели), так как эта роль возможна. По умолчанию accountadmin наследует то, что делает sysadmin useradmin securityadmin…
Ответ №1:
Дело в том, чтобы избежать беспорядка (или, скорее, сделать администрирование контроля доступа максимально простым, но при этом максимально мощным).
Когда пользовательским ролям назначаются SYSADMIN
(не обязательно напрямую, но в конечном счете через наследование), системные администраторы смогут управлять всеми объектами в учетной записи, такими как хранилища и объекты базы данных (при этом управление пользователями и ролями будет по-прежнему ограничено SECURITYADMIN
ACCOUNTADMIN
ролями или). Если они не назначены SYSADMIN
, то только те роли, которым предоставлены права на УПРАВЛЕНИЕ ГРАНТАМИ, будут видеть объекты и смогут изменять свои права доступа, которыми со многими пользовательскими ролями может быть довольно сложно управлять.