Rollenbasierte Zugriffssteuerung für Konnektoren

Der Snowflake Connector für Google Analytics Aggregate Data unterliegt den Nutzungsbedingungen für Konnektoren.

In den folgenden Abschnitten werden die in der Konnektor-Anwendung verwendeten Anwendungsrollen beschrieben:

  • ADMIN

  • VIEWER

  • DATA_READER

Diese Anwendungsrollen werden automatisch der Rolle auf Kontoebene zugewiesen, die für die Installation der Anwendung auf dem Konto verantwortlich ist. Sie können anderen Rollen zugewiesen werden, um Kontrolle und Datenzugriff auf die Daten des Konnektors und den Konnektor selbst zu gewähren. Siehe auch GRANT APPLICATION ROLE.

ADMIN-Anwendungsrolle

Sie müssen die Snowflake-Rolle ACCOUNTADMIN in Verbindung mit der Anwendungsrolle ADMIN verwenden, um die Erstkonfiguration des Konnektors, einschließlich der Installation, durchzuführen.

Sie können die ADMIN-Anwendungsrolle nach der erstmaligen Konfiguration mit jeder anderen Snowflake-Rolle koppeln, um die Synchronisierung von Konnektor-Daten zu verwalten. Die ADMIN-Anwendungsrolle gewährt Zugriff auf alle öffentlichen Ansichten und Prozeduren, die in Verbindung mit den auf Kontoebene erteilten Berechtigungen dazu verwendet werden können, Folgendes zu tun:

  • Home-Registerkarte und Datenaufnahmestatistiken anzeigen

  • Synchronisierung der Daten anzeigen und verwalten

  • Einstellungen und Konnektorkonfiguration anzeigen und Alerts verwalten

Achtung

Um Konnektor-Alerts zu verwalten, weisen Sie entweder die Rolle ACCOUNTADMIN oder die Berechtigung CREATE INTEGRATION der Rolle zu, der die ADMIN-Anwendung zugewiesen ist. Um diese Rechte zuzuweisen, führen Sie den folgenden SQL-Code aus: GRANT CREATE INTEGRATION ON ACCOUNT TO ROLE <mit-Namen-der-eigenen-Rolle-ersetzen>;

VIEWER-Anwendungsrolle

Die VIEWER-Anwendungsrolle kann jeder Rolle zugewiesen werden und wird verwendet, um Folgendes zu tun:

  • Home-Registerkarte des Konnektors und Datenaufnahmestatistiken anzeigen

  • Synchronisierung der Konnektordaten anzeigen

  • Einstellungen und Konfiguration des Konnektors anzeigen

DATA_READER-Anwendungsrolle

Benutzer, die auf die aufgenommen Daten zugreifen möchten, sollten nur die Rolle DATA_READER verwenden. Die DATA_READER-Anwendungsrolle muss verwendet werden, um Leseberechtigungen für replizierte Daten zuzuweisen.

Diese Rolle wird verwendet, um den Zugriff auf aufgenommene Daten zu gewähren. Um die DATA_READER-Rolle zuzuweisen, können Sie entweder Manage access in Snowsight verwenden oder die folgende SQL-Anweisung ausführen:

GRANT APPLICATION ROLE DATA_READER to ROLE <replace-with-your-role-name>;
Copy

Versuchen Sie nicht, auf replizierte Daten zuzugreifen, indem Sie die Eigentümerschaft an der Zieldatenbank ändern, sondern weisen Sie stattdessen die Anwendungsrolle DATA_READER zu.

Um replizierte Daten anzeigen zu können, muss ein Benutzer über die folgenden Berechtigungen verfügen:

  • USAGE für die Zieldatenbank

  • USAGE für das Zielschema

  • SELECT für die Zieltabelle

Der Konnektor erteilt dieser Rolle USAGE- und SELECT-Berechtigungen für alle von der Anwendung erstellten Tabellen und Ansichten.

Achtung

Die DATA_READER-Anwendungsrolle verfügt nur über Berechtigungen für Objekte, die von der Anwendung erstellt wurden. Wenn Zieldatenbank oder Zielschema bereits existieren und nicht Eigentum der Konnektor-Anwendung sind, kann der Konnektor der DATA_READER-Rolle nicht die richtigen Berechtigungen für diese Objekte erteilen. In solchen Situationen müssen die Rollen auf Kontoebene mit der DATA_READER-Anwendungsrolle manuell mit einer USAGE-Berechtigungszuweisung für diese Objekte aktualisiert werden.

Sprache: Deutsch