コラボレーション、リソース、データへのアクセスの管理

概要

コラボレーションへのアクセスと、コラボレーションでアクションを実行する機能は、以下のメカニズムを使用して管理されます。

  • アカウントのアプリケーションをインストールする権限 は、Data Clean Roomアプリケーションをインストールするために必要であり、デフォルトで ACCOUNTADMIN が保持しています。

  • 特定のコラボレーション API プロシージャを実行する権限DCR 権限 によって管理されます。

  • コラボレーションで 特定のロールベースのアクションを実行する権限 は、 コラボレーションロール によって管理されます。これらのロールによって、ユーザーが特定のコラボレーションで何ができるかが決まります。分析を実行するには、 コラボレーション定義 であなたが分析実行者としてリストされている必要があります。指定した分析実行者とデータを共有するには、データプロバイダーとしてリストされている必要があります。

これらのメカニズムは重複しています。特定のリソースに対して特定のアクションを実行できるようにするには、すべての要件を満たす必要があります。たとえば、既存のコラボレーション collab_1user_1my_data テーブルを共有するには、以下の要件をすべて満たしている必要があります。

  • コラボレーションで user_1 の指定データプロバイダーである必要があり、 user_1 はそのコラボレーション(コラボレーションロール)で分析実行者である必要があります。

  • データ提供をコラボレーションにリンクするには、適切なコラボレーション API プロシージャを呼び出す権限を持っている必要があります(DCR 権限)。

  • データ提供リソースとして登録するには、テーブル my_data に対して GRANTOPTION を伴う REFERENCE_USAGE 権限を持っている必要があります(RBAC権限)。

このトピックでは、 DCR 権限の管理方法について説明します。データポリシー および コラボレーションロール については個別に説明します。

アカウント、オブジェクト、プロシージャの権限を管理するために DCR 権限を使用します。

SAMOOHA_APP_ROLE ロールにはコラボレーション API ですべてのプロシージャを実行する権限があります。このロールは、アカウント内の一部のユーザーグループに付与したいと考えるアクセス権よりも幅広いアクセス権を持つ可能性があります。コラボレーションロールはユーザーが実行できるアクションを制限しますが、より正確で限定的な権限を特定のロールにプロビジョニングすることもできます。

Snowflake Data Clean Roomsアプリがインストールされると、特定のユーザーに追加のData Clean Room固有の権限を割り当てることができます。

よりきめ細かい API 権限をユーザーに付与するには、次の手順を実行します。

  1. ロールを作成します。

  2. 使用されるウェアハウスの使用権をロールに付与します。

  3. 必要に応じて、GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE を呼び出して、特定のコラボレーションに対する適切な権限をロールに付与します。

  4. 必要に応じて、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を呼び出して、アカウント内のすべてのコラボレーションに対する適切な高レベルの権限をロールに付与します。

  5. ユーザーにロールを付与します。これで、そのユーザーがコラボレーションプロシージャを呼び出してコラボレーションに参加できるようになります。

たとえば、 GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE( 'JOIN COLLABORATION', 'collab_join_role' ) は、コラボレーションを結合して使用するために必要な JOIN 、 REVIEW 、 RUN 、 LEAVE 、 VIEW_DATA_OFFERINGS およびその他の多くの API プロシージャを呼び出す collab_join_role 権限を付与します。対照的に、 GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry_1', 'registry_reader_role') は単一のレジストリから読み取るための registry_reader_role 権限を付与します。同じロールに複数の権限セットを付与できます。

SAMOOHA_APP_ROLE を使用していない場合は、 特定のコラボレーション API プロシージャを呼び出すにはどの DCR 権限を付与する必要があるか をご参照ください。

これは、コラボレーションの作成、カスタムレジストリの作成、データ提供の登録、現在のユーザーへのロール付与ができる COLLABORATION_CREATOR という名前のロールを作成する例です。

CREATE ROLE IF NOT EXISTS COLLABORATION_CREATOR;

-- Grant warehouse access to the role.
GRANT USAGE ON WAREHOUSE APP_WH TO ROLE COLLABORATION_CREATOR;

-- COLLABORATION_CREATOR needs these manual account-level privileges,
-- which are required by the CREATE COLLABORATION DCR privilege.
GRANT APPLY ROW ACCESS POLICY ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE APPLICATION ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE DATABASE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE LISTING ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT CREATE SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT IMPORT SHARE ON ACCOUNT TO ROLE COLLABORATION_CREATOR;
GRANT MANAGE SHARE TARGET ON ACCOUNT TO ROLE COLLABORATION_CREATOR;

GRANT ROLE COLLABORATION_CREATOR TO USER alexander_hamilton;

-- Grant DCR account-level privileges using GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE.
-- This procedure requires the ACCOUNTADMIN role.

-- COLLABORATION_CREATOR: create collaborations, create registries,
-- and register data offerings.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE COLLABORATION', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'CREATE REGISTRY', 'COLLABORATION_CREATOR');
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE(
  'REGISTER DATA OFFERING', 'COLLABORATION_CREATOR');

次のコードはロール COLLABORATION_CREATOR を使用して、カスタムレジストリを作成し、そのレジストリに対する読み取りアクセスを EU_SALES_TEAM ロールに付与します。

USE ROLE COLLABORATION_CREATOR;
USE WAREHOUSE APP_WH;
USE SECONDARY ROLES NONE;

-- Create a custom registry.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.REGISTRY.CREATE_REGISTRY(
  'DATA_REGISTRY_EU',
  'DATA OFFERING');

-- Grant read permission on a registry created by this role to the role EU_SALES_TEAM.
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE(
  'READ',
  'REGISTRY',
  'DATA_REGISTRY_EU',
  'EU_SALES_TEAM');

コラボレーション API プロシージャの DCR 権限要件

( SAMOOHA_APP_ROLE ではなく)カスタムロールを使用している場合、次のテーブルは、各コラボレーション API プロシージャの実行に必要な権限をまとめたものです。

特に明記されていない限り、箇条書きリストの権限は通常、代替手段です。指定されたプロシージャを実行するには、リストされている権限のうち1つだけが必要です。

プロシージャ名

アクセス要件

デフォルトのレジストリ: GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER TEMPLATE', 'role name')

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

デフォルトのレジストリ:

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED TEMPLATES', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

テンプレートがカスタムレジストリにある場合、またはカスタムレジストリのコード仕様を参照している場合は、レジストリに対して READ 権限も必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW TEMPLATES', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

さらに、カスタムレジストリに登録されたオブジェクトを表示するには、そのレジストリに対する READ 権限が必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE TEMPLATE AUTO APPROVAL', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

デフォルトのレジストリ: GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER DATA OFFERING', 'role name')

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

さらに、呼び出し元には次の RBAC 権限が必要です。

  • ソーステーブル/ビューに対する SELECT 。

  • ソーステーブルを含むデータベースとスキーマに対する USAGE 。

  • 仕様で参照されているポリシーオブジェクトに対する USAGE 。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

さらに、呼び出し元は共有するデータに対して GRANT OPTION を伴う REFERENCE_USAGE 権限を持っている必要があります。そうでないと、「参照使用許可がありません」というエラーが表示されます。この問題の処理方法についての詳細。

データ提供がカスタムレジストリにある場合は、 GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', 'registry name', 'role name') を呼び出すことで付与される権限も必要です。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

コラボレーションに対する UPDATE 権限は、このプロシージャへのアクセスを付与しません。さらに、 JOIN を呼び出したロールのみがデータ提供のリンクを正常に解除できます。これは、基になる共有が結合ロールによって所有されているためです。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

デフォルトのレジストリ:

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED DATA OFFERINGS', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW DATA OFFERINGS', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

さらに、カスタムレジストリに登録されたオブジェクトを表示するには、そのレジストリに対する READ 権限が必要です。

デフォルトのレジストリ: GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REGISTER CODE SPEC', 'role name')

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('REGISTER', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

デフォルトのレジストリ:

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTERED CODE SPECS', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

カスタムレジストリ: 自分で作成したカスタムレジストリに対する読み取りおよび書き込みの権限があります。他のユーザーが作成したカスタムレジストリにアクセスするには、:samp:`GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'REGISTRY', '{registry name}', '{role name}')`が必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

さらに、カスタムレジストリに登録されたオブジェクトを表示するには、そのレジストリに対する READ 権限が必要です。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('MANAGE UPDATE REQUEST', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('UPDATE', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

追加の必要なロール権限については、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を参照してください。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

追加の必要なロール権限については、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を参照してください。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

アカウントに MANAGE FIREWALL_CONFIGURATION 権限が付与されているロールを使用する必要があります。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW COLLABORATIONS', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('READ', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('REVIEW COLLABORATION', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

追加の必要なロール権限については、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を参照してください。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

追加の必要なロール権限については、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を参照してください。

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

追加の必要なロール権限については、GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE を参照してください。

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('VIEW ACTIVATIONS', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('RUN', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_OBJECT_TO_ROLE('PROCESS ACTIVATION', 'COLLABORATION', 'collaboration name', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name') 、さらにすべての追加のアカウントレベル権限

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('VIEW REGISTRIES', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE COLLABORATION', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('JOIN COLLABORATION', 'role name')

  • GRANT_PRIVILEGE_ON_ACCOUNT_TO_ROLE('CREATE REGISTRY', 'role name')

  • コラボレーションオブジェクトの場合: CREATE COLLABORATION または JOIN COLLABORATION を持つ任意のロールは、どのコラボレーションでもこのプロシージャを呼び出すことができます。

  • レジストリオブジェクトの場合: レジストリを作成したロールのみが、そのレジストリでこのプロシージャを呼び出すことができます。

このプロシージャを実行するには、 ACCOUNTADMIN ロール、または MANAGE GRANTS グローバル権限を持つロールが必要です。