基于雪花角色的访问控制层次结构

Question

我正在寻找您对我为雪花数据仓库项目创建的基于雪花角色的访问控制层次结构的建议。

基本上，我们需要用不同的数据库维护不同的客户端数据。这个数据库创建过程是自动化的，脚本包括为特定客户创建数据库（DEV、QA 和 PROD）、角色等。在这里，我为一个数据库创建了一个具有 3 个不同默认角色的层次结构。

1. ADMIN_{ENV}_{CLIENT_ID}
2. READ_WRITE_{ENV}_{CLIENT_ID}
3. READ_{ENV}_{CLIENT_ID}

然后我创建了一组可以访问所有数据库的角色，例如..

1. ADMIN_{ENV}_ALL
2. READ_WRITE_{ENV}_ALL
3. READ_{ENV}_ALL

希望下图能说明这一点..

我的问题是：

1. 继续采用这种方法是否正确？
2. 创建数据库对象时，我应该使用哪个角色？系统管理员？例如：在 CLIENT_1_DEV_DB 数据库中创建数据库对象，我应该使用 ADMIN_DEV_CLIENT_1 角色还是 SYSADMIN？
3. ADMIN_DEV_CLIENT_1 角色应该能够创建新用户并授予权限。在这种情况下，我应该使用 USERADMIN 还是 SECURITYADMIN？是否有任何方法可以将其限制在数据库级别？
4. 如果发生任何问题，有一个用例可以在数据库中克隆模式。在那种情况下如何管理赠款？当我们克隆一个模式时，角色不会保留到克隆的模式中。在这种情况下，复制赠款的最佳方法是什么。拥有另一个具有 MANAGE GRANTS 权限的角色并使用它？

希望您对这些提出建议。谢谢

Answer 1

几篇 RBAC 方法文章可帮助您进行微调：

1. https://servian.dev/snowflake-role-based-access-control-simplified-41a3ddf34729
2. https://medium.com/snowflake/a-functional-approach-for-snowflakes-role-based-access-controls-5f0e84e80146
3. https://www.analytics.today/blog/introducing-snowflake-rbac