GRANT DATABASE ROLE¶
データベースロールを アカウントロールまたは別のデータベースロール に割り当てます。
このアクションは、データベースロールとそれが付与されたロール(ロール階層 とも呼ばれます)との間に「親子」関係を作成します。
データベースロールは、ユーザーに直接付与できないことに注意してください。
詳細については、 アクセス制御の概要 をご参照ください。
- こちらもご参照ください。
構文¶
GRANT DATABASE ROLE <name> TO ROLE <parent_role_name>
パラメーター¶
nameデータベースロールの識別子(つまり、名前)を指定します。ロールが作成されるデータベース内で一意にする必要があります。
識別子はアルファベットで始まる必要があり、識別子文字列全体が二重引用符で囲まれていない限り、スペースや特殊文字を含めることはできません(例:
"My object")。二重引用符で囲まれた識別子も大文字と小文字が区別されます。識別子が完全修飾されていない場合(
db_name.database_role_nameの形式)、コマンドはセッションの現在のデータベースでデータベースロールを検索します。ROLE parent_role_name指定されたアカウントロールまたはデータベースロールにロールを付与します。
データベースロールは、同じデータベース内のアカウントロールまたは別のデータベースロールに付与できます。親ロールがデータベースロールであり、識別子が完全修飾されていない場合(
db_name.database_role_nameの形式)、コマンドはセッションの現在のデータベースでデータベースロールを検索します。
アクセス制御の要件¶
この SQL コマンドの実行に使用される ロール には、少なくとも次の 権限 が必要です。
権限またはロール |
オブジェクト |
メモ |
|---|---|---|
ACCOUNTADMIN |
SNOWFLAKE.BUDGET_CREATOR |
ACCOUNTADMIN ロールを持つユーザーは、このデータベースロールをカスタムロールに付与することができます。 |
OWNERSHIP |
ロール |
ユーザーまたは別のロールに付与されるロール。 |
または、MANAGE GRANTS グローバル権限を持つロールを使用します。 Only the SECURITYADMIN role, or a higher role, has this privilege by default. The privilege can be granted to additional roles as needed.
スキーマ内の任意のオブジェクトを操作するには、親データベースとスキーマに対する USAGE 権限も必要であることに注意してください。
指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。
セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。
使用上の注意¶
これらのロールのロール階層はSnowflakeによって定義および維持されるため、 PUBLIC を含むシステム定義のロールを他のロールに付与する必要はありません。
例¶
GRANT DATABASE ROLE analyst TO ROLE SYSADMIN;