SNOWFLAKE データベースロール

アカウントがプロビジョニングされると、 SNOWFLAKE データベースが自動的にインポートされます。データベースは、 Secure Data Sharing を使用して、組織およびアカウントのオブジェクトメタデータおよびその他の使用メトリックを提供するSnowflakeの例です。

SNOWFLAKE データベース内のスキーマオブジェクトへのアクセスは、さまざまな データベースロール によって制御されます。次のセクションでは、ロールに付与された、各 SNOWFLAKE データベースロール、関連する権限、および関連スキーマオブジェクトへのアクセス権について説明します。

このトピックの内容:

ACCOUNT_USAGE スキーマ

ACCOUNT_USAGE スキーマには4つの SNOWFLAKE データベースロールが定義されており、それぞれに特定のビューに対する SELECT 権限が付与されています。

ロール

目的および説明

OBJECT_VIEWER

OBJECT_VIEWER ロールは、オブジェクトメタデータを可視化します。

USAGE_VIEWER

USAGE_VIEWER ロールは、使用履歴の情報を可視化します。

GOVERNANCE_VIEWER

GOVERNANCE_VIEWER ロールは、ポリシー関連の情報を可視化します。

SECURITY_VIEWER

SECURITY_VIEWER ロールは、セキュリティベースの情報を可視化します。

データベースロール別の ACCOUNT_USAGE ビュー

OBJECT_VIEWER、 USAGE_VIEWER、 GOVERNANCE_VIEWER、および SECURITY_VIEWER のロールには、共有 SNOWFLAKE データベースでAccount Usageビューをクエリする SELECT 権限があります。

チェックマーク(つまり ✔)は、ビューに対する SELECT 権限がロールに付与されていることを示します。

ビュー

OBJECT_VIEWERロール

USAGE_VIEWERロール

GOVERNANCE_VIEWERロール

SECURITY_VIEWERロール

COLUMNS ビュー

COMPLETE_TASK_GRAPHS ビュー

DATABASES ビュー

ELEMENT_TYPES ビュー

FIELDS ビュー

FILE_FORMATS ビュー

FUNCTIONS ビュー

OBJECT_DEPENDENCIES ビュー

PIPES ビュー

REFERENTIAL_CONSTRAINTS ビュー

SCHEMATA ビュー

SEQUENCES ビュー

STAGES ビュー

TABLE_CONSTRAINTS ビュー

TABLES ビュー

TAGS ビュー

VIEWS ビュー

AUTOMATIC_CLUSTERING_HISTORY ビュー

CLASS_INSTANCES ビュー

CLASSES ビュー

COPY_HISTORY ビュー

DATA_TRANSFER_HISTORY ビュー

DATABASE_STORAGE_USAGE_HISTORY ビュー

EVENT_USAGE_HISTORY ビュー

EXTERNAL_ACCESS_HISTORY ビュー

LOAD_HISTORY ビュー

MATERIALIZED_VIEW_REFRESH_HISTORY ビュー

METERING_DAILY_HISTORY ビュー

METERING_HISTORY ビュー

PIPE_USAGE_HISTORY ビュー

REPLICATION_USAGE_HISTORY ビュー

REPLICATION_GROUP_REFRESH_HISTORY ビュー

REPLICATION_GROUP_USAGE_HISTORY ビュー

SERVICES ビュー

SNOWPARK_CONTAINER_SERVICES_HISTORY ビュー

SEARCH_OPTIMIZATION_HISTORY ビュー

SERVERLESS_TASK_HISTORY ビュー

STAGE_STORAGE_USAGE_HISTORY ビュー

STORAGE_USAGE ビュー

TABLE_STORAGE_METRICS ビュー

TASK_HISTORY ビュー

WAREHOUSE_EVENTS_HISTORY ビュー

WAREHOUSE_LOAD_HISTORY ビュー

WAREHOUSE_METERING_HISTORY ビュー

MASKING_POLICIES ビュー

QUERY_ACCELERATION_ELIGIBLE ビュー

QUERY_HISTORY ビュー

AGGREGATE_QUERY_HISTORY ビュー

POLICY_REFERENCES ビュー

ROW_ACCESS_POLICIES ビュー

TAG_REFERENCES ビュー

ACCESS_HISTORY ビュー

GRANTS_TO_ROLES ビュー

GRANTS_TO_USERS ビュー

LOGIN_HISTORY ビュー

PASSWORD_POLICIES ビュー

ROLES ビュー

SESSION_POLICIES ビュー

SESSIONS ビュー

USERS ビュー

READER_ACCOUNT_USAGE スキーマ

READER_USAGE_VIEWER SNOWFLAKE データベースロールには、すべての READER_ACCOUNT_USAGE ビューに対する SELECT 権限が付与されています。リーダーアカウントはクライアントによって作成されるため、 READER_USAGE_VIEWER ロールは、リーダーアカウントの使用をモニターするために使用するロールに付与されることが期待されます。

ビュー

LOGIN_HISTORY ビュー

QUERY_HISTORY ビュー

RESOURCE_MONITORS ビュー

STORAGE_USAGE ビュー

WAREHOUSE_METERING_HISTORY ビュー

CORE スキーマ

CORE_VIEWER SNOWFLAKE データベースロールは、共有 SNOWFLAKE データベースを含むすべてのSnowflakeアカウントの PUBLIC ロールに付与されます。USAGE 権限は、 CORE スキーマ内にあるすべてのSnowflake定義の関数とバンドルに付与されます。

予算クラス

BUDGET_CREATOR Snowflakeデータベースロールには、 SNOWFLAKE.CORE スキーマおよびスキーマ内の BUDGET クラスに対して USAGE 権限が付与されます。この付与により、 BUDGET_CREATOR ロールを持つユーザーは BUDGET クラスのインスタンスを作成できるようになります。

詳細については、 Budgets作成に必要なロールと権限 をご参照ください。

タグオブジェクト

GOVERNANCE_ADMIN Snowflakeデータベースロールには、 PRIVACY_CATEGORY および SEMANTIC_CATEGORY システムタグ(例: apply on tag privacy_category to role governance_admin)に対する APPLY 権限が付与されます。この付与により、 GOVERNANCE_ADMIN ロールを持つユーザーは、これらのタグを GOVERNANCE_ADMIN が所有するオブジェクトに適用できます(つまり、オブジェクトに対する OWNERSHIP 権限を持っています)。

詳細については、次をご参照ください。

ALERT スキーマ

ALERT_VIEWER SNOWFLAKE データベースロールには、このスキーマで定義された関数に対する USAGE 権限が付与されます。

ML スキーマ

ML_USER SNOWFLAKE データベースロールは、共有 SNOWFLAKE データベースを含むすべてのSnowflakeアカウントで PUBLIC ロールに付与され、顧客が ML 駆動型関数 にアクセスして使用できるようにします。

SNOWFLAKE データベースの使用

管理者は GRANT DATABASE ROLE を使用して SNOWFLAKE データベースロールを別のロールに割り当て、それをユーザーに付与できます。これにより、ユーザーは SNOWFLAKE データベース内にあるビューの特定のサブセットにアクセスできるようになります。

次の例では、 SNOWFLAKE データベースオブジェクトのメタデータを表示するために使用できるロールが作成され、次を実行します。

  1. カスタムロールを作成します。

  2. カスタムロールに OBJECT_VIEWER ロールを付与します。

  3. ユーザーにカスタムロールを付与します。

カスタムロールを作成して付与するには、次を実行します。

  1. オブジェクトメタデータへのアクセス権を付与するために使用される CREATE ROLE を使用して、 CAN_VIEWMD ロールを作成します。

    ロールを作成できるのは、USERADMIN システムロール以上のユーザーか、アカウントの CREATE ROLE 権限を持つ別のロールのみです。

    CREATE ROLE CAN_VIEWMD COMMENT = 'This role can view metadata per SNOWFLAKE database role definitions';
    
    Copy
  2. CAN_VIEWMD ロールに OBJECT_VIEWER ロールを付与します。

    OWNERSHIP ロールを持つユーザーのみが SNOWFLAKE データベースロールを付与できます。詳細については、 GRANT DATABASE ROLE をご参照ください。

    GRANT DATABASE ROLE OBJECT_VIEWER TO ROLE CAN_VIEWMD;
    
    Copy
  3. ユーザー smith にロール CAN_VIEWMD ロールを割り当てます。

    SECURITYADMIN ロールを持つユーザーのみがユーザーにロールを付与できます。その他のオプションについては、 GRANT ROLE をご参照ください。

    GRANT ROLE CAN_VIEWMD TO USER smith;
    
    Copy