我正在尝试在 Snowflake 中创建一个具有“顶级”角色的角色层次结构,该角色将用于我的帮助台支持团队在 Snowflake 中管理用户和资源。但由于合规性限制,此角色无法访问任何存储的数据。
对于用户管理,我刚刚向角色授予了 SECURITYADMIN,它似乎工作得很好。但是对于数据库,我想避免使用 SYSADMIN,因为我将继承查看数据库中所有内容的能力。所以我想出了一个我认为有意义的层次结构,基本上是以下添加了一些项目角色:
ACCOUNTADMIN >--- HELPDESK (create/drop db then hand off to OU_MANAGER)
- OU_MANAGER (create/drop schema/tables and assign grants within the OU) > OU_MEMBER (usage on resources in db)
我想做的是用我的 HELPDESK 角色创建数据库,然后将该数据库上的所有内容都授予组织单位的管理角色,并将其交给他们。
我不确定这在 Snowflake 中是否可行,或者我是否只是语法错误。但是当我尝试运行基本的 grant create database to role helpdesk 时出现错误,而且我在文档中找不到任何关于授予此类访问权限的明确内容。
答案 0 :(得分:1)
use role accountadmin;
grant create database on account to role helpdesk;