【发布时间】:2021-11-05 10:56:32
【问题描述】:
Snowflake 遵循role-based access control (RBAC) 范式。 RBAC 的最佳实践是让功能和访问角色管理用户和客户端或访问权限。在最坏的情况下,这会产生各种相互继承权限的角色。从本质上讲,人很容易失明。
在雪花中,对角色和用户的授权存储在ACCESS_USAGE.GRANTS_TO_ROLES 和ACCESS_USAGE.GRANTS_TO_USERS 中。自动识别角色的数据管理员/所有者的正确方法是什么(如果未在第 3 方工具中明确标记)?
我想到的选项:
- 递归查找
OWNERSHIP角色的角色权限(会产生大量误报) - 递归发现对角色具有高级权限的服务帐户并查找服务帐户所有者
- 查找已执行查询的使用模式(实际上可能消费者多于生产者)
【问题讨论】:
标签: snowflake-cloud-data-platform snowflake-schema snowflake-sql