clone - 关于 CREATE TABLE ... CLONE {COPY GRANTS} 行为的问题
问题描述
我是 Snowflake 的新手,我对 CREATE TABLE ... CLONE COPY GRANTS 文档的解释以及我在尝试时看到的内容感到困惑:
CREATE TABLE ... CLONE 语法包括 COPY GRANTS 关键字,这些关键字会影响新表克隆,如下所示:https ://docs.snowflake.com/en/sql-reference/sql/create-clone.html [1]
- 如果使用 COPY GRANTS 关键字,则新对象克隆不会继承对原始表授予的任何显式访问权限,但会继承为架构中的对象类型定义的任何未来授予(使用 GRANT ... TO ROLE ... ON FUTURE 语法)。
- 如果不使用 COPY GRANTS 关键字,则新对象将继承对原始表授予的任何显式访问权限,但不会继承为架构中的对象类型定义的任何未来授予。
对象克隆:https ://docs.snowflake.com/en/sql-reference/sql/grant-privilege.html [2]
- 克隆数据库时,克隆数据库中的模式会从源模式复制未来的权限。这与常规对象授权保持一致,其中源对象(即数据库)的授权不会复制到克隆,但所有子对象(即数据库中的模式)的授权都会复制到克隆。
- 克隆模式时,源模式的未来授权不会复制到克隆。
- 克隆模式中的对象时,除非在克隆操作的 CREATE 语句中指定了 COPY GRANTS 选项,否则为模式中此对象类型定义的任何未来授权都将应用于克隆对象;在这种情况下,新对象保留原始对象的访问权限,并且不会继承该类型对象的任何未来授权。
文档的链接 1. 表示不使用 COPY GRANTS 会继承源表权限,但不会继承未来的权限,而链接 2.(粗线)表示不使用 COPY GRANTS 会继承未来的权限 我对这个解释很困惑。此外,我尝试使用和不使用 COPY GRANTS 选项克隆表:使用 COPY GRANTS 源表的初始权限出现在克隆中,没有 COPY GRANT 则没有权限(所有者除外)。但在这两种情况下,源表上的未来授权永远不会继承克隆表。有人可以帮助我理解吗?非常感谢, 问候, 西里尔
解决方案
您似乎在文档上发现了一个错误。当您使用 COPY GRANTS 时,克隆的表将继承在原始表上授予的任何显式访问权限。
create role test_role;
create table test_table (v varchar);
grant update on future tables in schema public to test_role;
grant select on test_table to role test_role;
show grants on test_table;
+-----------+------------+--------------+
| privilege | granted_on | grantee_name |
+-----------+------------+--------------+
| OWNERSHIP | TABLE | ACCOUNTADMIN |
| SELECT | TABLE | TEST_ROLE |
+-----------+------------+--------------+
create table clone_table_nocp clone test_table;
create table clone_table_yescp clone test_table copy grants;
show grants on clone_table_nocp; -- has future grants of schema
+-----------+--------------+
| privilege | grantee_name |
+-----------+--------------+
| OWNERSHIP | ACCOUNTADMIN |
| UPDATE | TEST_ROLE |
+-----------+--------------+
show grants on clone_table_withcp; -- inherited access privileges, but does not have future grants
+-----------+--------------+
| privilege | grantee_name |
+-----------+--------------+
| OWNERSHIP | ACCOUNTADMIN |
| SELECT | TEST_ROLE |
+-----------+--------------+
我将与文档团队联系以修复它。
推荐阅读
- javascript - 如何检查 React Native Elements Native Props
- php - 如何使用 REST api 从特定类别获取帖子
- python - Python多线程 - 不同时运行
- elasticsearch - 嵌套布尔查询如何工作?是否有一个包装器可以禁用所有嵌套级别的嵌套?
- yii2 - Yii 在 ajax 调用中使用 PageCaching 时不起作用
- sql - 如何将多行数据显示为一个字符串
- android - 本地数据同步到现场
- javascript - mongo db查询检查是否不存在具有匹配值的其他文档
- javascript - 如果刷新令牌已使用 axios 过期,则正确重定向用户
- javascript - 收到以下错误“失败:未知错误:a.tagName.toUpperCase 不是函数”