寻找关于何时利用USERADMIN与SECURITYADMIN的输入,根据文档SECURITYAMIN继承USERADMIN 的权限
利用这两个角色进行用户、角色和授权管理的正确方法是什么。我正在使用以下
USERADMIN-用于以下
- 创建用户或删除用户
- 创建角色或删除角色
SECURITYADMIN-用于以下
- 授予角色权限
- GRANT/REVOKE将共享数据库上的权限导入到ROLES
问题是,谁应该执行以下操作。是USERADMIN还是SECURITYADMIN?如果这两个角色在技术上都能发挥作用,是否有任何标准的指导。
- 将角色授予其他角色
- 授予用户角色
谢谢。
USERADMIN角色在2020年4月之前不存在,因为引入这个新角色是为了改进,使帐户能够将用户和角色的管理与SECURITYADMIN角色分开(如果需要的话(。
- https://docs.snowflake.com/en/release-notes/2020-04.html#new-useradmin系统角色
您可以将任一系统角色用于GRANT ROLE。最佳做法应由您自己的安全策略决定。
因为USERADMIN角色被分配给SECURITYADMIN角色,所以具有SECURITYAMIN角色的用户仍然可以管理用户和角色。但是,公司现在可以分配USERADMIN角色,将用户和角色的管理与所有授予的管理分开。
使用USERADMIN角色来分隔这些职责是可选的。使用USERADMIN角色的决定完全由为您的帐户实现的安全模型驱动。
我自己的建议:由于USERADMIN可以GRANT ROLE,而USERADMIN是更受限制的角色——那么在授予角色时选择使用USERADMIN。