Permissão de acesso a uma conta de consumidor

Este tópico descreve como um consumidor pode permitir que o Snowflake Native App crie e acesse objetos em sua conta. Isto inclui conceder os privilégios solicitados por um aplicativo ou permitir o acesso a objetos existentes usando referências. Ele também descreve como permitir que um aplicativo use tabelas externas e Apache Iceberg™, que um provedor compartilha no aplicativo.

Privilégios e referências solicitados por um aplicativo

Em um Snowflake Native App simples, todos os objetos necessários ao aplicativo são criados dentro do objeto do aplicativo quando o script de configuração é executado durante a instalação. Todos os objetos necessários ao aplicativo são criados e acessados dentro do aplicativo instalado. O consumidor não precisa realizar nenhuma ação em sua conta.

No entanto, alguns aplicativos podem solicitar que o consumidor execute os seguintes tipos de ações em sua conta:

  • Criar um banco de dados ou warehouse.

  • Executar tarefas.

  • Acessar objetos existentes, por exemplo, uma tabela.

Existem dois tipos de acesso que um Snowflake Native App pode solicitar:

  • Privilégios que permitem que o aplicativo execute algumas operações no nível da conta. Um aplicativo pode solicitar os seguintes privilégios globais:

    • EXECUTE TASK

    • EXECUTE MANAGED TASK

    • CREATE WAREHOUSE

    • MANAGE WAREHOUSES

    • CREATE DATABASE

    • CREATE COMPUTE POOL

    • BIND SERVICE ENDPOINT

    • READ SESSION

    Alguns aplicativos também podem solicitar o privilégio IMPORTED PRIVILEGES no banco de dados SNOWFLAKE. Consulte Concessão do privilégio IMPORTED PRIVILEGES no banco de dados SNOWFLAKE para obter detalhes.

  • Referências que permitem que o aplicativo acesse objetos que já existem na conta do consumidor e estão fora do objeto do aplicativo. Um provedor define as referências exigidas pelo aplicativo no arquivo manifest.yml.

    Após instalar o aplicativo, o consumidor pode autorizar o acesso a um objeto criando uma referência que associa o objeto ao aplicativo.

    Um aplicativo pode solicitar acesso aos seguintes tipos de objetos e seus privilégios correspondentes:

    Tipo de objeto

    Privilégios permitidos

    TABLE

    SELECT, INSERT, UPDATE, DELETE, TRUNCATE, REFERENCES

    VIEW

    SELECT, REFERENCES

    EXTERNAL TABLE

    SELECT, REFERENCES

    FUNCTION

    USAGE

    PROCEDURE

    USAGE

    WAREHOUSE

    MODIFY, MONITOR, USAGE, OPERATE

    API INTEGRATION

    USAGE

Um consumidor pode aprovar essas solicitações usando Snowsight ou executando os comandos SQL conforme descrito nas seções a seguir.

Nota

Se você não conceder os privilégios solicitados ou não associar referências no objeto solicitado ao aplicativo, partes do aplicativo poderão não funcionar corretamente.

Gerenciamento de solicitações de acesso usando o Snowsight

Se um provedor implementar uma interface de usuário em um Snowflake Native App, um consumidor poderá realizar o seguinte usando Snowsight.

  • Visualize e conceda privilégios globais.

  • Autorize o acesso a objetos existentes na conta do consumidor.

Concessão de privilégios globais

Para conceder privilégios ou criar referências após a instalação de um aplicativo, faça o seguinte:

  1. Faça login no Snowsight.

  2. No menu de navegação, selecione Data Products » Apps.

  3. Selecione o aplicativo.

  4. Selecione o ícone Security na barra de ferramentas.

  5. Selecione a guia Privileges.

    As permissões de nível de conta solicitadas pelo aplicativo aparecem em Account level privileges.

  6. Na seção Account-level privileges, selecione Review e, em seguida, alterne o controle deslizante para cada privilégio que deseja conceder.

  7. Selecione Save.

Autorização de acesso a objetos específicos

Se um provedor implementar uma interface de usuário para um Snowflake Native App, um consumidor poderá usar Snowsight para autorizar o acesso a objetos em sua conta.

Para autorizar o acesso a objetos específicos:

  1. Faça login no Snowsight.

  2. No menu de navegação, selecione Data Products » Apps.

  3. Selecione o aplicativo.

  4. Selecione o ícone Security na barra de ferramentas.

  5. Selecione a guia Privileges.

  6. Na seção Privileges to objects, selecione Add ao lado do objeto para o qual você deseja autorizar o acesso.

  7. Selecione Select Data e escolha o produto de dados ao qual deseja autorizar acesso.

  8. Selecione Done.

Como revogar privilégios e acesso a objetos

Para revogar privilégios ou remover acesso a objetos, faça o seguinte:

  1. Faça login no Snowsight.

  2. No menu de navegação, selecione Data Products » Apps.

  3. Selecione o aplicativo.

  4. Selecione o ícone Security na barra de ferramentas.

  5. Selecione a guia Privileges.

    • Para revogar um privilégio global, selecione o botão Edit e, em seguida, alterne o controle deslizante para o privilégio que deseja revogar.

    • Para revogar o acesso de um objeto específico, selecione o botão Delete e, em seguida, selecione Revoke Privilege.

Nota

Revogar privilégios ou remover o acesso de objetos pode tornar o aplicativo instável ou parar de funcionar.

Gerenciamento de privilégios para um aplicativo usando comandos SQL

Se o desenvolvedor do seu aplicativo não implementar uma interface para conceder privilégios, você deverá gerenciar as solicitações de acesso ao aplicativo usando comandos SQL.

Exibição dos privilégios solicitados por um aplicativo

Quando um provedor especifica os privilégios exigidos pelo aplicativo, a solicitação de privilégio é incluída como parte do aplicativo instalado. É possível exibir esses privilégios após instalar o aplicativo.

Para exibir os privilégios exigidos por um aplicativo, execute o comando SHOW PRIVILEGES, conforme mostrado no exemplo a seguir:

SHOW PRIVILEGES IN APPLICATION hello_snowflake_app;
Copy

Concessão de privilégios para um Snowflake Native App

Depois que um consumidor determina os privilégios solicitados por um aplicativo, ele pode conceder esses privilégios ao aplicativo.

Por exemplo, para conceder o privilégio EXECUTE TASK para um aplicativo, execute o comando GRANT PRIVILEGE como mostrado no exemplo a seguir:

GRANT EXECUTE TASK ON ACCOUNT TO APPLICATION hello_snowflake_app;
Copy

Concessão do privilégio MANAGE WAREHOUSES a um Snowflake Native App

O privilégio MANAGE WAREHOUSES permite que um aplicativo crie, modifique e use warehouses dentro da conta do consumidor. Para conceder o privilégio MANAGE WAREHOUSES a um aplicativo, use GRANT conforme mostrado no exemplo a seguir:

GRANT MANAGE WAREHOUSES ON ACCOUNT TO APPLICATION hello_snowflake_app;
Copy

Concessão do privilégio IMPORTED PRIVILEGES no banco de dados SNOWFLAKE

Alguns aplicativos podem solicitar que um consumidor conceda o privilégio IMPORTED PRIVILEGES SNOWFLAKE no banco de dados em sua conta. Este privilégio só pode ser concedido usando comandos SQL. Não pode ser concedido usando Snowsight. Se um aplicativo exigir esse privilégio, o provedor deve comunicar esse requisito ao consumidor, por exemplo, no arquivo README do aplicativo.

Para conceder o privilégio IMPORT no banco de dados SNOWFLAKE, execute o seguinte comando:

GRANT IMPORTED PRIVILEGES ON DATABASE SNOWFLAKE TO APPLICATION hello_snowflake_app;
Copy

Nota

O privilégio IMPORTED PRIVILEGES permite que o aplicativo acesse informações sobre uso e custos associados à conta do consumidor. O consumidor deve garantir que deseja compartilhar essas informações com o aplicativo antes de conceder esse privilégio.

Autorização manual do acesso a objetos

Quando um provedor define uma referência a um objeto no arquivo manifest.yml, essa definição de referência é incluída como parte do aplicativo instalado. Um consumidor pode criar uma referência a um objeto em sua conta para autorizar o aplicativo a acessar o objeto. Se o provedor não criou uma interface de usuário para permitir o acesso aos objetos na conta do consumidor, o consumidor poderá autorizar o acesso manualmente.

O consumidor pode criar uma referência para um objeto associar ao aplicativo se tiver os privilégios solicitados no objeto. Por exemplo, se os privilégios SELECT e INSERT forem necessários para um objeto, por exemplo uma tabela, o consumidor deverá criar a referência usando uma função que tenha os privilégios SELECT e INSERT na tabela. Para visualizar os tipos de objetos e as concessões de privilégio específicas necessárias para cada objeto, consulte Visualização das referências solicitadas por um aplicativo.

Nota

Uma referência não concede nenhum privilégio ao objeto. Se a função usada para criar a referência perder privilégios no objeto, a referência não será mais válida. O consumidor deve fazer uma das seguintes opções:

  • Restaure os privilégios necessários para a função que criou a referência.

  • Recrie a referência usando uma função com os privilégios necessários no objeto.

Visualização das referências solicitadas por um aplicativo

Um consumidor pode visualizar as referências solicitadas por um aplicativo executando o comando SHOW REFERENCES conforme mostrado no exemplo a seguir:

SHOW REFERENCES IN APPLICATION hello_snowflake_app;
Copy

Este comando exibe uma lista de todas as referências definidas no aplicativo. Também exibe os privilégios que a função de consumidor deve ter no objeto para criar a referência.

Criação da referência e associação da referência ao aplicativo

Após visualizar as referências solicitadas pelo aplicativo, um consumidor pode criar a referência executando a função de sistema SYSTEM$REFERENCE, conforme mostrado no exemplo a seguir:

SELECT SYSTEM$REFERENCE('table', 'db1.schema1.table1', 'persistent', 'select', 'insert');
Copy

Este comando cria a referência e retorna um identificador para o objeto. O identificador é semelhante ao exemplo a seguir:

ENT_REF_TABLE_16617302895522_2CDD20F5C047A5B87B2CE36F6837715786AF9F2D

O consumidor passa esse identificador para um procedimento armazenado de retorno de chamada para associar a referência ao aplicativo.

Nota

O consumidor deve executar este comando para cada referência solicitada pelo aplicativo.

Para associar uma referência a um aplicativo, o consumidor deve passar o identificador retornado pela chamada da função de sistema SYSTEM$REFERENCE para um procedimento armazenado de retorno de chamada. Um procedimento de retorno de chamada é um procedimento armazenado que o provedor cria no Snowflake Native App para associar uma referência ao aplicativo.

Para usar um procedimento de retorno de chamada, execute o seguinte comando:

CALL app.config.register_single_reference(
  'consumer_table', 'ADD', 'ENT_REF_TABLE_16617302895522_2CDD20F5C047A5B87B2CE36F6837715786AF9F2D');
Copy

Neste exemplo, o procedimento armazenado register_single_reference() associa a referência ao identificador ENT_REF_TABLE_16617302895522_2CDD20F5C047A5B87B2CE36F6837715786AF9F2D do aplicativo.

Nota

Um provedor pode incluir diferentes procedimentos de retorno de chamada em um aplicativo. Isso deve ser especificado no arquivo README do aplicativo.

Criação e associação da referência ao aplicativo em uma única etapa

Depois de visualizar as referências solicitadas pelo aplicativo, um consumidor pode criar a referência e associá-la ao aplicativo, passando a função do sistema SYSTEM$REFERENCE como argumento para um procedimento armazenado de retorno de chamada.

O exemplo a seguir mostra a sintaxe para passar a função do sistema SYSTEM$REFERENCE como argumento para um procedimento armazenado de retorno de chamada:

CALL app.config.register_single_reference(
 'consumer_table', 'ADD', SYSTEM$REFERENCE('table', 'db1.schema1.table1',
 'PERSISTENT', 'SELECT', 'INSERT'));
Copy

Este exemplo cria a referência e passa o identificador para a função de retorno de chamada para associar a referência ao aplicativo.

Habilitação de tabelas externas e Apache Iceberg™

O Snowflake Native App Framework permite que os provedores compartilhem tabelas externas e Apache Iceberg™ nos compartilhamentos do provedor com os consumidores no aplicativo. No entanto, os consumidores devem dar permissão ao aplicativo para acessar essas tabelas.

Considerações sobre segurança e custo

Ao permitir que um aplicativo acesse uma tabela externa ou Iceberg, os consumidores devem estar cientes do seguinte:

  • Tabelas externas e Iceberg podem representar riscos de exfiltração de dados para o consumidor. Por exemplo, se um aplicativo expõe uma exibição com uma tabela externa, um provedor pode determinar os tipos de consultas que o consumidor faz usando os logs de acesso do provedor de nuvem.

  • Tabelas externas e Iceberg podem incorrer em custos adicionais relacionados ao uso de entrada e saída, se o armazenamento de objeto com a tabela não estiver na mesma região onde o aplicativo é publicado.

Habilitação de tabelas externas e Iceberg usando Snowsight

Os provedores podem configurar o aplicativo para exibir uma caixa de diálogo para todos os consumidores para permitir que um aplicativo acesse tabelas externas ou Iceberg.

Para permitir que um aplicativo acesse uma tabela externa ou Iceberg:

  1. Faça login no Snowsight.

  2. No menu de navegação, selecione Data Products » Apps.

  3. Selecione o aplicativo.

  4. Selecione o ícone Security na barra de ferramentas.

  5. Selecione a guia Privileges.

  6. Em External data access, selecione Review.

  7. Selecione Enable.

Habilitação de tabelas externas e Iceberg usando SQL

Para habilitar o acesso às tabelas externas e Iceberg usando SQL, utilize a função do sistema SET_APPLICATION_RESTRICTED_FEATURE_ACCESS, conforme mostrado no exemplo a seguir:

SELECT SYSTEM$SET_APPLICATION_RESTRICTED_FEATURE_ACCESS(hello_snowflake_app, 'external_data', ‘{"allowed_cloud_providers" : "all"}’);
Copy

Este comando permite que o aplicativo hello_snowflake_app acesse as tabelas externas ou Iceberg que o aplicativo usa.

Para determinar se tabelas externas e Iceberg foram habilitadas para um aplicativo, use a função do sistema LIST_APPLICATION_RESTRICTED_FEATURES, conforme mostrado no exemplo a seguir:

SYSTEM$LIST_APPLICATION_RESTRICTED_FEATURES('hello_snowflake_app')
Copy

Esta função do sistema retorna um objeto JSON que indica se tabelas externas e Iceberg são permitidas para hello_snowflake_app.

Linguagem: Português