CREATE ROW ACCESS POLICY¶

現在/指定のスキーマに新しい行アクセスポリシーを作成するか、既存の行アクセスポリシーを置き換えます。

行アクセスポリシーを作成した後、 ALTER TABLE コマンドを使用してテーブルにポリシーを追加するか、 ALTER VIEW コマンドを使用してビューにポリシーを追加します。

こちらもご参照ください。: 行アクセスポリシー DDL

構文¶

Snowflakeは、行アクセスポリシーを作成するために次の構文をサポートしています。

CREATE [ OR REPLACE ] ROW ACCESS POLICY [ IF NOT EXISTS ] <name> AS
( <arg_name> <arg_type> [ , ... ] ) RETURNS BOOLEAN -> <body>
[ COMMENT = '<string_literal>' ]

Copy

必須パラメーター¶

name

アクセスポリシーの識別子。スキーマに対して一意である必要があります。

識別子の値はアルファベットで始まる必要があり、識別子文字列全体が二重引用符で囲まれていない限り、スペースや特殊文字を含めることはできません（例: 「私のオブジェクト」）。二重引用符で囲まれた識別子も大文字と小文字が区別されます。

詳細については、識別子の要件をご参照ください

AS ( <arg_name> <arg_type> [ , ... ] )

行アクセスポリシーの署名。

署名は、行にアクセスできるかどうかを判断するために考慮する必要のある属性のセットを指定します。属性値は、行アクセスポリシーによって保護されるデータベースオブジェクト（例: テーブルまたはビュー）から取得されます。

RETURNS BOOLEAN

行アクセスポリシーはtrueまたはfalseと評価される必要があります。行アクセスポリシーで保護されたテーブルをクエリするユーザには、 body の記述方法に基づいて出力に行が表示されます。

body

シグネチャの引数値を操作して、行アクセスポリシーで保護されているテーブルのクエリに対してどの行を返すかを決定する SQL 式。

body には、任意のブール値の SQL 式を使用できます。Snowflakeは、コンテキスト関数、ユーザー定義関数の概要、外部関数の記述、およびサブクエリを使用する式を呼び出す式をサポートします。

ポリシー body のコンテキスト関数の場合:

ポリシーが CURRENT_DATABASE または CURRENT_SCHEMA 関数を呼び出すとき、関数は、 USE <オブジェクト> コマンドで指定した、または Snowsight のコンテキストセレクターで選択したセッションのデータベースまたはスキーマではなく、保護されたテーブルまたはビューを含むデータベースまたはスキーマに対して評価されます。

オプションのパラメーター¶

COMMENT = 'string_literal'

行アクセスポリシーのコメントを指定します。

デフォルト: 値なし

アクセス制御の要件¶

この SQL コマンドの実行に使用されるロールには、少なくとも次の権限が必要です。

権限	オブジェクト	メモ
CREATE ROW ACCESS POLICY	スキーマ

スキーマ内の任意のオブジェクトを操作するには、親データベースとスキーマに対する USAGE 権限も必要であることに注意してください。

指定された権限のセットを使用してカスタムロールを作成する手順については、カスタムロールの作成をご参照ください。

セキュリティ保護可能なオブジェクトに対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、アクセス制御の概要をご参照ください。

マスキングポリシー DDL と権限の詳細については、列レベルのセキュリティの管理をご参照ください。

使用上の注意¶

ポリシー本体に1つ以上のサブクエリを含めると、エラーが発生する可能性があります。可能であれば、サブクエリの数を制限し、 JOIN 操作の数を制限し、 WHERE 句の条件を単純化します。
データベースオブジェクトに行アクセスポリシーと1つ以上のマスキングポリシーの両方がある場合は、行アクセスポリシーが最初に評価されます。

クエリ実行時の行アクセスポリシーの詳細については、行アクセスポリシーについてをご参照ください。
特定のテーブルまたはビュー列は、マスキングポリシー署名または行アクセスポリシー署名のいずれかで指定できます。つまり、マスキングポリシー署名と行アクセスポリシー署名の両方で同時に同じ列を指定することはできません。

詳細については、 CREATE MASKING POLICY をご参照ください。
ポリシーがテーブルまたはビューにアタッチされている場合は、 CREATE OR REPLACE ROW ACCESS POLICY を使用して、または ALTER ROW ACCESS POLICY を使用して、ポリシー署名（つまり、引数名または入出力データ型）を変更することはできません。署名を変更する必要がある場合は、ポリシーで DROP ROW ACCESS POLICY ステートメントを実行し、新しい行アクセスポリシーを作成します。
データ共有プロバイダーは、リーダーアカウントには行アクセスポリシーを作成できません。
メタデータについて。

注意

Snowflakeサービスを使用する場合、お客様は、個人データ（ユーザーオブジェクト向け以外）、機密データ、輸出管理データ、またはその他の規制されたデータがメタデータとして入力されていないことを確認する必要があります。詳細については、 Snowflakeのメタデータフィールドをご参照ください。
CREATE OR REPLACE <オブジェクト> ステートメントはアトミックです。つまり、オブジェクトが置き換えられると、単一のトランザクションで、古いオブジェクトが削除されて新しいオブジェクトが作成されます。

例¶

これらの例では、 CURRENT_ROLE コンテキスト関数を使用しています。ポリシー条件でロールのアクティブ化とロール階層が必要な場合は、 IS_ROLE_IN_SESSION を使用します。

次の行アクセスポリシーでは、 CURRENT_ROLE が it_admin カスタムロールのユーザーである場合、クエリ結果に従業員 ID 番号（つまり、 empl_id）を含む行を表示できます。

create or replace row access policy rap_it as (empl_id varchar) returns boolean ->
  case
      when 'it_admin' = current_role() then true
      else false
  end
;

Copy

次の行アクセスポリシーでは、次に挙げる2つの条件のいずれかに該当する場合に、ユーザーはクエリ結果の行を表示できます。

現在のロールは sales_executive_role カスタムロールです。 CURRENT_ROLE 関数を呼び出して、現在のロールを判別します。
現在のロールは sales_manager カスタムロールであり、クエリは salesmanageregions マッピングテーブルに対応する sales_region を指定します。

use role securityadmin;

create or replace row access policy rap_sales_manager_regions_1 as (sales_region varchar) returns boolean ->
  'sales_executive_role' = current_role()
      or exists (
            select 1 from salesmanagerregions
              where sales_manager = current_role()
                and region = sales_region
          )
;
Copy
条件:

rap_sales_manager_regions_1
行アクセスポリシーの名前。

as (sales_region varchar)
行アクセスポリシーの署名。

署名は、行にアクセスできるかどうかを判断するために考慮する必要のある属性のセットを指定します。属性値は、行アクセスポリシーによって保護されるテーブルから取得されます。

returns boolean ->
行アクセスポリシーの適用を指定します。

行アクセスポリシーの <expression> は、右矢印（つまり、 ->）の直後にあります。

式には、ブール値の SQL 式を使用できます。Snowflakeは、 UDFs を呼び出す式、外部関数、およびサブクエリを使用する式をサポートしています。

'sales_executive_role' = current_role()
sales_executive_roleカスタムロールを持つユーザーがデータを表示できるようにする、行アクセスポリシー式の最初の条件。

or exists (select 1 from salesmanagerregions where sales_manager = current_role() and region = sales_region)
サブクエリを使用する行アクセスポリシー式の2番目の条件。

サブクエリでは、 salesmanagerregions マッピングテーブルにリストされているリージョンを指定するために、データに対して実行されたクエリで CURRENT_ROLE はsales_managerカスタムロールである必要があります。

次の行アクセスポリシーは、ポリシー署名で2つの属性を指定します。

create or replace row access policy rap_test2 as (n number, v varchar)
  returns boolean -> true;
Copy
条件:

rap_test2
行アクセスポリシーの名前。

(n number, v varchar)
行アクセスポリシーの署名。

署名は、行にアクセスできるかどうかを判断するために考慮する必要のある属性のセットを指定します。属性値は、行アクセスポリシーによって保護されるテーブルから取得されます。

returns boolean -> true
行アクセスポリシーの適用を決定します。

戻り値は、行アクセスポリシーが追加されたデータベースオブジェクトの特定の行に、ユーザーがアクセスできるかどうかを決定します。

その他の例については、行アクセスポリシーを使用するをご参照ください。