#snowflake-cloud-data-platform #snowflake-data-masking
#snowflake-cloud-data-platform #snowflake-маскирование данных
Вопрос:
Я новичок в snowflake, в качестве администратора базы данных я получил доступ к ACCOUNTADMIN для начала. Я предоставил доступ на чтение для information_schema.login_history и information_schema.запрос истории к нашему пользователю приложения безопасности через роль.
Пользователь может входить в систему и запрашивать вышеуказанные представления. Однако учетная запись не может видеть все строки при запросе вышеуказанных представлений. Возвращает только историю входа этого пользователя, историю запросов этого пользователя. Я протестировал это со своей стороны, переключив роль с ACCOUNTADMIN на созданную мной роль чтения, и я вижу то же самое.
Кто-нибудь может сказать мне, какие привилегии мне нужны для предоставления роли, чтобы любой, кто использует эту роль, мог видеть всю историю входа?
Комментарии:
1. Добро пожаловать в Snowflake! Ответ ниже
Ответ №1:
Есть два места, где вы можете просмотреть историю входа в систему — в представлении использования учетной записи или с помощью функций таблицы информационной схемы. В документации здесь объясняются различия.
После рассмотрения различий многие клиенты предпочтут предоставить пользователям, не являющимся администраторами, доступ к представлениям Account_Usage для целей аудита. Необходимые для этого разрешения указаны в документации здесь .
Однако, если вы предпочитаете предоставить роли, не являющейся администратором, доступ к функции таблицы Information_Schema login_history, вам может потребоваться предоставить этой роли разрешение MONITOR для каждого желаемого пользователя в соответствии со статьей здесь .
Ответ №2:
Вам необходимо предоставить права монитора указанной роли:
grant monitor usage on account to role custom;
Эта информация доступна / просматривается только администраторами учетных записей. Чтобы разрешить пользователям, не являющимся администраторами учетных записей, получать доступ / просматривать эту информацию, Snowflake предоставляет права доступа к ИСПОЛЬЗОВАНИЮ глобального МОНИТОРА. Предоставление роли привилегии ИСПОЛЬЗОВАНИЯ МОНИТОРА позволяет всем пользователям, которым предоставлена роль, получить доступ к этой исторической информации / информации об использовании.
Кроме того, с этой привилегией команды SHOW DATABASES и SHOW WAREHOUSES возвращают списки всех баз данных и складов в учетной записи соответственно, независимо от других предоставленных привилегий.