コスト管理のためのアクセス制御

このトピックでは、コスト管理機能へのアクセスを制御するシステム定義のロール(ロール、アプリケーションロール、データベースロール)について説明しています。これらのロールを一度ユーザーに割り当てることで、コスト関連の機能にアクセスできるようになります。

コスト関連機能には、他の機能へのアクセスを許可することなくアクセスできる独自のロールや権限が備わっている場合があります。これらの権限については、各機能のドキュメントをご覧ください。

注釈

このトピックで説明するアクセス制御権限では、リソースモニターへのアクセスはできません。

組織レベルのコスト情報へのアクセス

アカウントのタイプによって、ユーザーが組織レベルのコストデータを表示できるかどうかが決まります。例えば、 Organization overview タブは特定のアカウントからのみ利用可能です。

以下のアカウントから組織レベルのコストデータを表示できます。

通貨を測定単位として表示

コスト情報の測定単位はクレジットまたは通貨になります。通貨を測定単位として表示できるのは、特定の状況に限定されます。また、通貨を測定単位として表示することで、契約の残額などの関連情報を表示することもできます。

通貨を測定単位として表示するには、以下の手順が必要です。

  • ORGADMINロールが有効な通常のアカウントまたは組織アカウントからコスト情報にアクセスします。

  • 以下のロールのいずれかを使用します。

    • ACCOUNTADMINシステム定義ロール

    • GLOBALORGADMINシステム定義ロール

    • ORGANIZATION_BILLING_VIEWER データベースロール

管理者によるデフォルトのアクセス

コスト関連の機能を使用できるのはシステム定義の管理者ロールを持つユーザーのみです。

  • 組織アカウントにサインインしている場合は、GLOBALORGADMINロールを使用してコスト情報を表示します。

  • 通常のアカウントにサインインしている場合は、ACCOUNTADMINロールを使用してコスト情報を表示します。

    Tip

    ユーザーがACCOUNTADMINロールを持っている場合でも、アプリケーションロールとデータベースロールを使用して、コスト関連機能の管理者権限を付与することを検討してください。ACCOUNTADMINロールを持つユーザーがORGADMINロールも持っていない場合、一部の機能の動作が異なる場合があります。管理者権限の付与に関する詳細は、 他のユーザーへのアクセス付与 をご覧ください。

他のユーザーへのアクセス付与

コスト管理のためのアクセス制御を簡素化するために、Snowflakeは2種類のアクセスレベルを提供しています。

  • コスト情報を表示できるユーザー。

  • コスト関連機能の管理者として行動するユーザー。これらのユーザーはコスト情報も表示できます。

各アクセスレベルに対応するアプリケーションロールとデータベースロールの組み合わせがあります。ユーザーのアクセスレベルは、ユーザーに付与されたアプリケーションロールとデータベースロールによって決まります。以下は、コスト情報の表示や管理者として行動するために必要なアプリケーションロールとデータベースロールを示しています。

アクセスレベル

アプリケーションロール

データベースロール

ビューア

APP_USAGE_VIEWER

USAGE_VIEWER

管理者

APP_USAGE_ADMIN

USAGE_ADMIN

注釈

ビューアまたは管理者に(クレジットではなく)通貨を測定単位として表示させたい場合は、ORGANIZATION_BILLING_VIEWER データベースロールも付与する必要があります。詳細については、 通貨を測定単位として表示 をご参照ください。

適切なアプリケーションロールとデータベースロールを付与することで、コスト管理機能へのアクセスを許可します。例えば、ユーザー joe によるコスト情報の表示は許可したいが、管理者としては行動させないようにしたい場合は、以下のコマンドを実行します。

USE ROLE ACCOUNTADMIN;

CREATE ROLE cost_viewer_role;
GRANT APPLICATION ROLE APP_USAGE_VIEWER TO ROLE cost_viewer_role;
GRANT DATABASE ROLE USAGE_VIEWER TO ROLE cost_viewer_role;
GRANT ROLE cost_viewer_role TO USER joe;
Copy

管理者のタスク

APP_USAGE_ADMINアプリケーションロールおよびUSAGE_ADMINデータベースロールを付与されたユーザーは、すべてのコスト情報を表示することができます。さらに、以下の管理者タスクも実行できます。

予算

  • 予算を有効にする。

  • 予算を無効にする。

  • 支出の上限を変更する。

  • 通知Eメールアドレスを変更する。

  • アカウント予算とカスタム予算の通知をミュートにする。

  • カスタム予算を削除する。