雪花系统角色 - USERADMIN 与 SECURITYADMIN

Posted 2023-03-29

【中文标题】雪花系统角色 - USERADMIN 与 SECURITYADMIN

【英文标题】：Snowflake System Roles - USERADMIN vs SECURITYADMIN

【发布时间】：2020-11-01 21:43:39

【问题描述】：

寻找有关何时利用 USERADMIN 与 SECURITYADMIN 的输入，根据文档，SECURITYADMIN 继承了 USERADMIN 的权限

将这两个角色用于用户、角色和授权管理的正确方法是什么？我使用如下

USERADMIN - 用于以下用途

创建用户或删除用户 创建角色或删除角色

SECURITYADMIN - 用于以下目的

向角色授予/撤销权限 GRANT/REVOKE 将共享数据库的权限导入到 ROLES

问题是，谁应该执行以下操作。是 USERADMIN 还是 SECURITYADMIN？如果这两个角色在技术上都可以执行，是否有任何标准指导。

将角色授予其他角色 向用户授予角色

谢谢。

【参考方案1】：

USERADMIN 角色在 2020 年 4 月之前不存在，因为引入此新角色是为了使帐户能够将用户和角色的管理与 SECURITYADMIN 角色分开（如果需要）。

https://docs.snowflake.com/en/release-notes/2020-04.html#new-useradmin-system-role

您可以对GRANT ROLE 使用任一系统角色。最佳做法应由您自己的安全策略确定。

由于 USERADMIN 角色已分配给 SECURITYADMIN 角色，因此具有 SECURITYADMIN 角色的用户仍然可以管理用户和角色。但是，公司现在可以分配 USERADMIN 角色，以将用户和角色的管理与所有授权的管理分开。

使用 USERADMIN 角色来分隔这些职责是可选的。使用 USERADMIN 角色的决定完全取决于为您的帐户实施的安全模型。

我自己的建议：既然USERADMIN可以GRANT ROLE，而USERADMIN是更受限制的角色——那么在授予角色时选择使用USERADMIN。

【讨论】：

谢谢你，考虑安全模型是有道理的。不管安全模型如何，我提出问题的主要目的是如果我必须设计安全模型，那么我可以从 USERADMIN 的角度考虑哪些方面。感谢您的回复。

感谢您让我知道 JeyJee！如果有用，请采纳答案