パッケージポリシー¶

ステップ1: パッケージポリシー管理者カスタムロールを作成する¶

ユーザーがパッケージポリシーを作成および管理できるようにするカスタムロールを作成します。このトピック全体を通して、カスタムロールの例には policy_admin という名前が付けられていますが、ロールには適切な名前を付けることができます。

カスタムロールがすでに存在する場合は、次のステップに進みます。

それ以外の場合は、 policy_admin カスタムロールを作成します。

use role useradmin;

create role policy_admin;

ステップ2: policy_admin カスタムロールに権限を付与する¶

policy_admin カスタムロールに次の権限がまだない場合は、以下に示すようにこれらの権限を付与します。

• パッケージポリシーを含むデータベースとスキーマに対する USAGE。

• パッケージポリシーを含むとスキーマに対する CREATEPACKAGESPOLICY。

• アカウントの APPLY PACKAGES POLICY。

use role securityadmin;

grant usage on database yourdb to role policy_admin;

grant usage, create packages policy on schema yourdb.yourschema to role policy_admin;

grant apply packages policy on account to role policy_admin;

ステップ3: 新しいパッケージポリシーを作成する¶

policy_admin カスタムロールを使用して、言語、許可リスト、ブロックリストを指定した新しいパッケージポリシーを作成します。ALLOWLIST、 BLOCKLIST、 ADDITIONAL_CREATION_BLOCKLIST、 COMMENT はオプションのパラメーターです。デフォルトでは、許可リストの値は ('*') で、ブロックリストの値は () となります。

パッケージが許可リストとブロックリストの両方で指定されている場合、ブロックリストが優先されます。Pythonのランタイムバージョンを許可リストに明示的に追加する必要があり、親パッケージのすべてのパッケージと基になる依存関係も許可リストに明示的に追加する必要があります。

許可リストまたはブロックリストで ==、 <=、 >=、 <、または > などのバージョン指定子を使用することで、特定のパッケージのバージョン、またはバージョンの範囲を指定することができます。例: numpy>=1.2.3。 numpy==1.2.* のようなワイルドカードを使うことができます。これは、numpy 1.2のマイクロバージョンを意味します。

USE ROLE policy_admin;

CREATE PACKAGES POLICY yourdb.yourschema.packages_policy_prod_1
  LANGUAGE PYTHON
  ALLOWLIST = ('numpy', 'pandas==1.2.3', ...)
  BLOCKLIST = ('numpy==1.2.3', 'bad_package', ...)
  ADDITIONAL_CREATION_BLOCKLIST = ('bad_package2', 'bad_package3', ...)
  COMMENT = 'Packages policy for the prod_1 environment'
;

条件:

yourdb.yourschema.packages_policy_prod_1

パッケージポリシーの完全修飾名。

LANGUAGE PYTHON

このパッケージポリシーが適用される言語。

ALLOWLIST = ('numpy', 'pandas==1.2.3', ...)

このパッケージポリシーの許可リスト。これは、パッケージの仕様をカンマで区切った文字列です。

BLOCKLIST = ('numpy==1.2.3', 'bad_package', ...)

このパッケージポリシーのブロックリスト。これは、パッケージの仕様をカンマで区切った文字列です。

ADDITIONAL_CREATION_BLOCKLIST = ('bad_package2', 'bad_package3', ...)

作成時にブロックされるパッケージ仕様のリストを指定します。このパラメーターの設定を解除するには、空のリストを指定します。 ADDITIONAL_CREATION_BLOCKLIST が設定されている場合は、作成時に基本の BLOCKLIST に追加されます。仮 UDFs と匿名ストアドプロシージャの場合、 ADDITIONAL_CREATION_BLOCKLIST は作成時と実行時の両方で BLOCKLIST に付加されます。

COMMENT = 'Packages policy for the prod_1 environment'

パッケージポリシーの目的を指定するコメント。

上の例では、作成時に適用されるブロックリストは ADDITIONAL_CREATION_BLOCKLIST と BLOCKLIST になるので、ブロックされるパッケージは numpy==1.2.3、 bad_package、 bad_package2、 bad_package3 になります。実行時に適用されるブロックリストは、 numpy==1.2.3 と bad_package になります。仮 UDFs と匿名ストアドプロシージャでは、 numpy==1.2.3、 bad_package、 bad_package2、 bad_package3 を含むブロックリストが作成時と実行時の両方で適用されます。

Pythonパッケージの依存関係のリストを取得するには、 SHOW_PYTHON_PACKAGES_DEPENDENCIES 関数を使用します。最初のパラメーターは使用しているPythonランタイムのバージョンで、2番目は依存関係を表示するパッケージのリストです。たとえば、 numpy パッケージの依存関係を表示するには、このコマンドを使用します。

USE ROLE ACCOUNTADMIN;

select SNOWFLAKE.SNOWPARK.SHOW_PYTHON_PACKAGES_DEPENDENCIES('3.8', ['numpy']);

結果は依存関係とそのバージョンのリストです。

['_libgcc_mutex==0.1', '_openmp_mutex==5.1', 'blas==1.0', 'ca-certificates==2023.05.30', 'intel-openmp==2021.4.0',
'ld_impl_linux-64==2.38', 'ld_impl_linux-aarch64==2.38', 'libffi==3.4.4', 'libgcc-ng==11.2.0', 'libgfortran-ng==11.2.0',
'libgfortran5==11.2.0', 'libgomp==11.2.0', 'libopenblas==0.3.21', 'libstdcxx-ng==11.2.0', 'mkl-service==2.4.0',
'mkl==2021.4.0', 'mkl_fft==1.3.1', 'mkl_random==1.2.2', 'ncurses==6.4', 'numpy-base==1.24.3', 'numpy==1.24.3',
'openssl==3.0.10', 'python==3.8.16', 'readline==8.2', 'six==1.16.0', 'sqlite==3.41.2', 'tk==8.6.12', 'xz==5.4.2', 'zlib==1.2.13']

Snowpark環境でPython 3.8の依存関係を表示するには、パッケージを指定せずに関数を呼び出します。

select SNOWFLAKE.SNOWPARK.SHOW_PYTHON_PACKAGES_DEPENDENCIES('3.8', []);

関数がどのパッケージを使用しているかを知りたい場合は、 DESCRIBE FUNCTION を使用して印刷することができます。これは、パッケージの依存関係をすべて識別するための代替方法です。これを行うには、関数を作成し、パッケージ仕様で最上位のパッケージを指定します。次に、 DESCRIBE FUNCTION を使用して、すべてのパッケージとその依存関係のリストを取得します。このリストをコピーしてパッケージの許可リストに貼り付けることができます。パッケージポリシーを一時的に設定解除しておかないと、一部のパッケージがブロックされる可能性があることに注意してください。次の例は、「snowflake-snowpark-python」パッケージの依存関係を探す方法を示したものです。

create or replace function my_udf()
returns string
language python
packages=('snowflake-snowpark-python')
runtime_version=3.10
handler='echo'
as $$
def echo():
  return 'hi'
$$;

describe function my_udf();

利用可能なすべてのパッケージとバージョンを表示したい場合は、 INFORMATION_SCHEMA.PACKAGES ビューをクエリします。

select * from information_schema.packages;

現在使用しているパッケージのセットを確認したい場合は、この SQL ステートメントを使用します。

-- at the database level

CREATE OR REPLACE VIEW USED_ANACONDA_PACKAGES
ASSELECT FUNCTION_NAME, VALUE PACKAGE_NAME
FROM (SELECT FUNCTION_NAME,PARSE_JSON(PACKAGES)
PACKAGES FROM INFORMATION_SCHEMA.FUNCTIONS
WHERE FUNCTION_LANGUAGE='PYTHON') USED_PACKAGES,LATERAL FLATTEN(USED_PACKAGES.PACKAGES);

-- at the account level

CREATE OR REPLACE VIEW ACCOUNT_USED_ANACONDA_PACKAGES
ASSELECT  FUNCTION_CATALOG, FUNCTION_SCHEMA, FUNCTION_NAME, VALUE PACKAGE_NAME
FROM (SELECT FUNCTION_CATALOG, FUNCTION_SCHEMA, FUNCTION_NAME,PARSE_JSON(PACKAGES)
PACKAGES FROM SNOWFLAKE.ACCOUNT_USAGE.FUNCTIONS
WHERE FUNCTION_LANGUAGE='PYTHON') USED_PACKAGES,LATERAL FLATTEN(USED_PACKAGES.PACKAGES);

ステップ4: アカウントにパッケージポリシーを設定する¶

policy_admin カスタムロールを使って、 ALTER ACCOUNT コマンドでアカウントにポリシーを設定します。

use role policy_admin;

alter account set packages policy yourdb.yourschema.packages_policy_prod_1;

alter account set packages policy yourdb.yourschema.packages_policy_prod_2 force;

どのポリシーがアカウントでアクティブかを確認したい場合は、この SQL ステートメントを使用します。

select * from table(information_schema.policy_references(ref_entity_domain=>'ACCOUNT', ref_entity_name=>'<your_account_name>'))

このクエリの結果、 POLICY_STATUS という名前の列が表示されます。

後で、自分のアカウントのパッケージポリシーを解除する場合は、この SQL ステートメントを使用します。

alter account unset packages policy;

DDL コマンドの実行に必要な権限¶

次のテーブルは、パッケージポリシー DDL 操作と必要な権限の関係をまとめたものです。