スキーマ:

ORGANIZATION_USAGE

GRANTS_TO_ROLES ビュー

重要

この表示は組織アカウントでのみ利用可能です。詳細については、 組織アカウントのプレミアムビュー をご参照ください。

このOrganization Usageビューは、ロールに付与されたアクセス制御権限をクエリするために使用できます。

組織レベルの列

列名

データ型

説明

ORGANIZATION_NAME

VARCHAR

組織の名前。

ACCOUNT_LOCATOR

VARCHAR

システムが生成したアカウントの識別子。

ACCOUNT_NAME

VARCHAR

ユーザー定義のアカウント識別子。

追加列

列名

データ型

説明

CREATED_ON

TIMESTAMP_LTZ

ロールに権限が付与される日時( UTC タイムゾーン)。

MODIFIED_ON

TIMESTAMP_LTZ

権限が更新される日時( UTC タイムゾーン)。

PRIVILEGE

VARCHAR

ロールに追加された権限の名前。

GRANTED_ON

VARCHAR

TABLEDATABASE など、権限が付与されるオブジェクトの種類。

NAME

VARCHAR

権限が付与されるオブジェクトの名前。

TABLE_CATALOG

VARCHAR

現在のテーブルのデータベース名、またはクラスのインスタンスを格納するデータベース名。

TABLE_SCHEMA

VARCHAR

現在のテーブルのスキーマ名、またはクラスのインスタンスを格納するスキーマ名。

GRANTED_TO

VARCHAR

ROLEDATABASE_ROLEINSTANCE_ROLEAPPLICATION_ROLEAPPLICATION のいずれか。

GRANTEE_NAME

VARCHAR

受信者ロールの識別子、権限が付与されるロール、または Snowflake Native App オブジェクトの名前。

GRANT_OPTION

BOOLEAN

TRUE / FALSETRUE に設定すると、受信者のロールは他のロールに権限を付与できます。

GRANTED_BY

VARCHAR

被付与者への権限付与を承認したロールを示します。 GRANTED_BY は、 SNOWFLAKE システムロールによって付与された権限については空白を表示します。

DELETED_ON

TIMESTAMP_LTZ

権限が取り消される日時( UTC タイムゾーン)。

GRANTED_BY_ROLE_TYPE

VARCHAR

APPLICATIONROLEDATABASE_ROLE のいずれか。

OBJECT_INSTANCE

VARCHAR

特定のクラスのインスタンスロールを含むオブジェクトの完全修飾名で、形式は database.schema.class です。

使用上の注意

  • ビューの遅延は最大24時間です。

  • GRANTS_TO_ROLES ビューには、サポートされているすべてのオブジェクトのサブセットが表示されます。サポートされている設定は変更になる場合があります。ビューは新しいオブジェクトをサポートするために、定期的に更新されます。

  • ビューには、共有から作成されたデータベースからのデータベースロールへの付与が含まれません。

  • ビューには、ドロップされたオブジェクトに対する付与が含まれません。

  • SHOW GRANTS TO ROLE コマンドを使用して、特定のロールに対するすべての付与を表示できます。

  • GRANTED_BY 列は、被付与者に権限付与を承認したロールを示します。承認ロールは、 付与者 として知られています。

    GRANT <権限> ... TO ROLE を使用してオブジェクトに対する権限をロールに付与すると、次の承認規則に従って、権限の付与者としてリストされるロールが決定されます。

    1. アクティブロール がオブジェクトの所有者である(つまり、オブジェクトに対する OWNERSHIP 権限を持っている)場合、そのロールが付与者です。

    2. アクティブなロールが付与オプション承認で指定された権限を保持している場合(つまり、 GRANT <権限> ... TO ROLE の WITH GRANT OPTION 句でアクティブなロールに権限が付与されている場合。ここで、 <ロール名> はアクティブなロールの1つ)。その場合、付与オプションを承認された権限を保持するロールが付与者ロールです。複数のアクティブなロールがこの基準を満たす場合、どのロールが付与者のロールになるかは非決定論的であることに注意してください。

    3. アクティブロールが MANAGE GRANTS グローバル権限を保持している場合、付与者ロールはオブジェクト所有者であり、 MANAGE GRANTS 権限を保持していたロールでは ありません。つまり、 MANAGE GRANTS 権限により、そのオブジェクトに対する権限を付与する目的で、ロールはオブジェクト所有者になりすますことができます。

    Snowflake SYSTEM ロールによって付与された権限については、 GRANTED_BY 列が空白で表示されます。このロールで特定の内部操作が実行されます。SYSTEM ロールによって承認された権限の付与は、顧客が変更することはできません。