雪花系统角色 - USERADMIN 与 SECURITYADMIN

Posted

技术标签:

【中文标题】雪花系统角色 - USERADMIN 与 SECURITYADMIN【英文标题】:Snowflake System Roles - USERADMIN vs SECURITYADMIN 【发布时间】:2020-11-01 21:43:39 【问题描述】:

寻找有关何时利用 USERADMIN 与 SECURITYADMIN 的输入,根据文档,SECURITYADMIN 继承了 USERADMIN 的权限

将这两个角色用于用户、角色和授权管理的正确方法是什么?我使用如下

USERADMIN - 用于以下用途

创建用户或删除用户 创建角色或删除角色

SECURITYADMIN - 用于以下目的

向角色授予/撤销权限 GRANT/REVOKE 将共享数据库的权限导入到 ROLES

问题是,谁应该执行以下操作。是 USERADMIN 还是 SECURITYADMIN?如果这两个角色在技术上都可以执行,是否有任何标准指导。

将角色授予其他角色 向用户授予角色

谢谢。

【问题讨论】:

【参考方案1】:

USERADMIN 角色在 2020 年 4 月之前不存在,因为引入此新角色是为了使帐户能够将用户和角色的管理与 SECURITYADMIN 角色分开(如果需要)。

https://docs.snowflake.com/en/release-notes/2020-04.html#new-useradmin-system-role

您可以对GRANT ROLE 使用任一系统角色。最佳做法应由您自己的安全策略确定。

由于 USERADMIN 角色已分配给 SECURITYADMIN 角色,因此具有 SECURITYADMIN 角色的用户仍然可以管理用户和角色。但是,公司现在可以分配 USERADMIN 角色,以将用户和角色的管理与所有授权的管理分开。

使用 USERADMIN 角色来分隔这些职责是可选的。使用 USERADMIN 角色的决定完全取决于为您的帐户实施的安全模型。

我自己的建议:既然USERADMIN可以GRANT ROLE,而USERADMIN是更受限制的角色——那么在授予角色时选择使用USERADMIN

【讨论】:

谢谢你,考虑安全模型是有道理的。不管安全模型如何,我提出问题的主要目的是如果我必须设计安全模型,那么我可以从 USERADMIN 的角度考虑哪些方面。感谢您的回复。 感谢您让我知道 JeyJee!如果有用,请采纳答案

以上是关于雪花系统角色 - USERADMIN 与 SECURITYADMIN的主要内容,如果未能解决你的问题,请参考以下文章

使用 Python 连接时出现雪花角色错误

如何识别雪花中占用更多成本的角色

如何在雪花中创建一个表,但防止在同一角色下删除它?

提供的角色不是角色、雪花或数组或角色或雪花的集合

雪花中角色和用户的限制

以最低权限创建雪花角色