【问题标题】:Is it possible to disable Snowflake users to view ANY metadata on other USERS or ROLES that exists?是否可以禁止 Snowflake 用户查看存在的其他用户或角色的任何元数据?
【发布时间】:2021-10-11 09:06:35
【问题描述】:

即使有可能禁止雪花用户运行SHOW USERS 并仅查看他们自己的查询历史记录,但我无法做到,我什至认为这似乎不可能:

  • 禁止用户运行 SHOW ROLES 并禁止他们查看 Snowsight UI 中的“角色”选项卡
  • 当用户使用查询历史记录选项卡中的用户下拉列表时,禁止用户查看完整的用户列表。

有没有人设法做到这一点? 我们需要这个功能,因为我们需要将一些用户组彼此分开/他们不应该知道他们的存在,我们不想使用 organisations 功能来实现这一点。 如果这确实不可能,我们确实将其视为安全风险,因为拥有其他用户/角色信息的人可能拥有更多攻击点信息...

【问题讨论】:

    标签: security snowflake-cloud-data-platform


    【解决方案1】:

    如果用户被分配了一个自定义角色,那么当用户登录到 Snowflake UI 时,“角色”选项卡将不会显示。

    对于第二点,目前无法隐藏用户的下拉菜单或将其限制为与登录用户具有相同权限级别或相同角色的用户。

    例如:

    create role customrole;
    
    grant customrole to newuser;
    

    现在,以 newuser 身份登录,您将不会从 UI 中看到“角色”选项卡。

    编辑:P.S 在新 UI 上,这是预期的行为,即使自定义角色分配给用户,角色选项卡也不会隐藏。这是团队正在努力改变的事情。

    【讨论】:

    • 嗨@Srinath,感谢您的回答!不幸的是,我不清楚“分配了自定义角色”是什么意思,因为我的意思是所有用户都分配了一个或多个自定义角色(以及默认角色)。分配的角色是分层角色结构的一部分...
    • 编辑了我的答案并添加了 customrole 部分详细信息。
    • 嗨@srinath,我们确实做到了,所有用户都为一部分用户授予了自定义角色,但问题可能是这些自定义角色继承自一个中心“所有用户”角色。或者您的意思是我们应该为每个用户创建一个虚拟自定义角色,授予该用户该角色并且这将消除问题?还是说一旦用户有多个角色可供选择,就会显示“角色”选项卡?
    • 您是否有机会从经典 UI 或新 UI (snowsight) 进行测试?
    • 我们在新 UI (snowsight) 中遇到了这个问题。我们最好希望这些用户根本看不到整个 ACCOUNT 选项卡...
    猜你喜欢
    • 1970-01-01
    • 2017-03-22
    • 1970-01-01
    • 2018-07-28
    • 2012-08-08
    • 1970-01-01
    • 2020-10-15
    • 2019-09-06
    • 1970-01-01
    相关资源
    最近更新 更多