他のロールへの権限付与

Snowflakeは、 Snowflake Marketplace またはData Exchangeのリストを操作するための一連の権限を提供します。

このトピックの内容:

Data Exchangeでの管理者権限の付与

デフォルトでは、Data Exchange管理者アカウントのアカウント管理者(ACCOUNTADMIN ロールを持つユーザー)のみが、次のタスクを含むData Exchangeを管理できます。

  • メンバーを追加または削除します。

  • リスト承認リクエストを承認または拒否します。

  • プロバイダープロファイルの承認リクエストを承認または拒否します。

  • カテゴリを表示します。

これらのタスクを他のユーザーに委任するため、Data Exchangeの IMPORTED PRIVILEGES 権限を他のロールに付与できます。

他のロールへの IMPORTED PRIVILEGES 権限の付与

Data Exchangeの IMPORTED PRIVILEGES 権限をロールに付与するには、 ACCOUNTADMIN ロールと GRANT <権限> コマンドを使用します。

注釈

WITH GRANT OPTION パラメーターは、 IMPORTED PRIVILEGES 権限をサポートしていません。

構文:

GRANT IMPORTED PRIVILEGES ON DATA EXCHANGE <exchange_name> TO <role_name>;
Copy

条件:

  • exchange_name は、Data Exchangeの名前です。

  • role_name は、権限が付与されるロールです。

たとえば、 mydataexchange Data Exchangeでインポートされた権限を myrole と呼ばれるカスタムロールに付与します。

USE ROLE ACCOUNTADMIN;

GRANT IMPORTED PRIVILEGES ON DATA EXCHANGE mydataexchange TO myrole;
Copy

使用上の注意

  • この権限はData Exchangeレベルで付与されます。したがって、このロールを持つユーザーは、その権限が付与されたData Exchangeのみを管理できます。

  • 別のロールに権限を付与できるのは、Data Exchange管理者アカウントのアカウント管理者のみです。

  • 共有から作成されたデータベースで、ロールが IMPORTED PRIVILEGES に付与されている場合、その後の SHOW GRANTS コマンドの呼び出しでは、権限が IMPORTED PRIVILEGES ではなく、 USAGE としてリストされます。

  • この権限はData Exchangeにのみ使用できます。 Snowflake Marketplace 内では、Snowflake管理者のみが管理タスクを実行できます。

Snowflake MarketplaceまたはData Exchangeにおける、他のロールへのプロバイダー権限の付与

Snowflakeは、プロバイダーが Snowflake Marketplace 上の特定のコンシューマーとデータやアプリを共有するため、またはData Exchange内のデータに関連するさまざまなタスクを実行できるようにするための一連の権限を提供します。

権限

オブジェクト型

付与者

説明

グローバル CREATE DATA EXCHANGE LISTING 権限

ACCOUNT

ACCOUNTADMIN

リストまたはプロバイダーのプロファイルを作成する機能を付与します。

CREATE SHARE 権限

ACCOUNT

ACCOUNTADMIN

共有を作成する機能を付与します。

IMPORT SHARE 権限

ACCOUNT

ACCOUNTADMIN

アカウントと共有されているインバウンド共有を表示し、共有からデータベースを作成する機能を付与します。

PURCHASE DATA EXCHANGE LISTING 権限

ACCOUNT

ACCOUNTADMIN

有料リストを購入する機能を付与します。

リストに対する MODIFY 権限

LISTING

リストに対する OWNERSHIP 権限を持つロール。

リストのプロパティを変更する機能を付与します。

リストに対する USAGE 権限

LISTING

リストに対する OWNERSHIP 権限を持つロール。

リストを表示する機能を付与します。

リストに対する OWNERSHIP 権限

LISTING

リストに対する OWNERSHIP 権限を持つロール。

リストの OWNERSHIP 権限を譲渡します。

プロバイダープロファイルの MODIFY 権限

PROVIDER PROFILE

プロファイルに対する OWNERSHIP 権限を持つロール。

プロバイダープロファイルのプロパティを変更する機能を付与します。

プロバイダープロファイルの OWNERSHIP 権限

PROVIDER PROFILE

プロファイルに対する OWNERSHIP 権限を持つロール。

プロファイルの OWNERSHIP 権限を譲渡します。

アカウントレベルの権限

Snowflakeは、 Snowflake Marketplace またはData Exchangeのアカウントレベルで、共有、リスト、プロバイダープロファイルを操作するために次の権限を提供します。

グローバル CREATE DATA EXCHANGE LISTING 権限

ロールにグローバル CREATE DATAEXCHANGELISTING 権限が付与されている場合、そのロールのあるユーザーは、リストまたはプロバイダープロファイルを作成できます。リストの作成者、つまり所有者としてロールを使用して、リストにある次のようなタスクすべてを実行できます。

  • リストの作成。

  • リストのプロパティの変更。

  • リストの表示。

  • 受信したリストのリクエストの表示。

  • リストのリクエストの拒否。

  • 承認のためのリストの送信。

  • リストの公開。

  • プロバイダープロフィールの作成と表示。

アカウントが複数のData Exchangeのプロバイダーである場合、グローバル CREATE DATA EXCHANGE LISTING 権限を持つロールは、それらの各Data Exchangeでリストを作成できます。

注釈

  • リストを作成するロールが、リストの所有者になります。OWNERSHIP 権限は、所有ロールにより リストに対する OWNERSHIP 権限 を使用して、別のロールに譲渡できます。

  • アカウント管理者(ACCOUNTADMIN ロールを持つユーザー)のみが、ロールにグローバル CREATE DATA EXCHANGE LISTING 権限を付与できます。

Data ExchangeでロールにグローバルCREATE DATA EXCHANGE LISTING権限を付与するには、 GRANT <権限> [WITH GRANT OPTION] コマンドを使用します。

たとえば、 ACCOUNTADMIN ロールを使用して権限を付与します。

USE ROLE ACCOUNTADMIN;
Copy

次に、カスタムロール myrole に権限を付与します。

GRANT CREATE DATA EXCHANGE LISTING ON ACCOUNT TO ROLE myrole;
Copy

次に、付与オプションを使用してロール myrole に権限を付与します。

GRANT CREATE DATA EXCHANGE LISTING ON ACCOUNT TO ROLE myrole WITH GRANT OPTION;
Copy

CREATE SHARE 権限

ロールに CREATE SHARE 権限が付与されている場合、そのロールのあるユーザーは共有を作成できます。共有の作成者、つまり所有者としてロールを使用して、次のような共有上のすべてのタスクを実行することもできます。

  • オブジェクトに対する権限を共有に付与、またはオブジェクトに対する権限を共有から取り消します。

  • 共有にアカウントを追加、または共有からコンシューマーアカウントを削除します。

詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

IMPORT SHARE 権限

ロールに IMPORT SHARE 権限が付与されている場合、そのロールのあるユーザーは次のタスクを実行できます。

  • すべての INBOUND 共有(プロバイダーアカウントで共有)を表示します。

  • ロールが所有するすべての OUTBOUND 共有を表示します。

  • ロールにグローバル CREATE DATABASE 権限も付与されている場合、受信共有からデータベースを作成します。

詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

PURCHASE DATA EXCHANGE LISTING 権限

ロールに PURCHASE DATAEXCHANGELISTING 権限が付与されている場合、ロールを持つユーザーは誰でも、プライベートまたは Snowflake Marketplace で共有されているリストを購入できます。

リスト購入の詳細については、 リストのコンシューマーになる をご参照ください。

この権限の詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

リストレベルの権限

Snowflakeはリストに対して次の権限を提供します。リストで OWNERSHIP 権限を付与されたロールを使用してのみ、これらの権限を付与できます。

リストに対する MODIFY 権限

リストの MODIFY 権限がロールに付与されている場合、そのロールのあるユーザーは、リストに次のタスクを実行できます。

  • リストのプロパティの変更。

  • リストの表示。

  • 受信したリストへのアクセスリクエストを表示。

  • 承認のためにリストを送信。

  • リストの公開。

  • リストのリクエストの拒否。

この権限を付与できるのは、リストで OWNERSHIP 権限を持つロールのみです。MODIFY 権限は、 Snowsight を使用したリストでのみ付与できます。

特定のコンシューマーと共有されている、または Snowflake Marketplace で公開されているリストに対して MODIFY 権限を付与します。

  1. Snowsight にサインインします。

  2. Data Products » Provider Studio に移動します。

  3. Listings を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

データ交換のリストに MODIFY 権限を付与するには、

  1. Snowsight にサインインします。

  2. Data Products » Private Sharing に移動します。

  3. Shared By My Account を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

リストに対する USAGE 権限

リストの USAGE 権限がロールに付与されている場合、そのロールを持つすべてのユーザーは、リストおよび受信リストリクエストを表示できます。この権限を付与できるのは、リストで OWNERSHIP 権限を持つロールのみです。

特定のコンシューマーと共有されている、または Snowflake Marketplace で公開されているリストに対して USAGE 権限を付与します。

  1. Snowsight にサインインします。

  2. Data Products » Provider Studio に移動します。

  3. Listings を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

データ交換のリストに USAGE 権限を付与するには、

  1. Snowsight にサインインします。

  2. Data Products » Private Sharing に移動します。

  3. Shared By My Account を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

リストに対する OWNERSHIP 権限

リストの OWNERSHIP 権限がロールに付与されている場合、そのロールはリストの新しい OWNER になります。リストの OWNER のみがこの権限を付与できます。OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 アクセス制御の概要 をご参照ください。

重要

リストの所有権が譲渡されると、既存の付与すべてが取り消されます。権限を付与されたロールすべては、このリストへのアクセスを即座に失い、それらの権限は取り消されます。新しいリスト所有者は、これらの権限を再度付与する必要があります。

特定のコンシューマーと共有されている、または Snowflake Marketplace で公開されているリストに対して OWNERSHIP 権限を付与します。

  1. Snowsight にサインインします。

  2. Data Products » Provider Studio に移動します。

  3. Listings を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

データ交換のリストに OWNERSHIP 権限を付与するには、

  1. Snowsight にサインインします。

  2. Data Products » Private Sharing に移動します。

  3. Shared By My Account を選択します。

  4. 変更するリストを探し、行を選択してリストの詳細を開きます。

  5. リストの詳細ページで、 Settings を選択します。

  6. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンを選択します。

  7. Add Role を選択し、必要なロールを追加します。

  8. 変更を保存します。

プロバイダープロファイルレベルの権限

Snowflakeは、プロバイダープロファイルに対して次の権限を提供します。この権限を付与できるのは、プロバイダープロファイルで OWNERSHIP 権限を持つロールのみです。

注釈

  • プロファイルを作成するには、 グローバル CREATE DATA EXCHANGE LISTING 権限 グローバル権限を使用します。

  • プロバイダーアカウントのどのロールでも、すべてのプロファイルを表示できます。このタスクでは権限を付与する必要はありません。

プロバイダープロファイルの MODIFY 権限

MODIFY 権限がプロバイダープロファイルのロールに付与されている場合、そのロールを持つすべてのユーザーは、プロバイダープロファイルのプロパティを表示および変更できます。この権限を付与できるのは、プロバイダープロファイルで OWNERSHIP 権限を持つロールのみです。

MODIFY 権限は、ウェブインターフェイスまたは SQL を使用して付与できます。

Snowsight:

Data Products » Private Sharing » Manage Exchanges » を選択します。Exchangeを選択します » プロバイダープロファイルを選択します » Manage » Manage Profile Editors

SQL:

GRANT <権限> [WITH GRANT OPTION] コマンドを実行します。

たとえば、 myrole カスタムロールに権限を付与する場合:

GRANT MODIFY ON DATA EXCHANGE PROFILE "<provider_profile_name>" TO ROLE myrole;
Copy

プロバイダープロファイルの OWNERSHIP 権限

プロバイダープロファイルの OWNERSHIP 権限がロールに付与されている場合、そのロールはプロファイルの新しい所有者になります。この権限を付与できるのは、プロバイダープロファイルで OWNERSHIP 権限を持つロールのみです。

OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 アクセス制御の概要 をご参照ください。

プロバイダープロファイルの OWNERSHIP 権限をロールに付与するには、 GRANT <権限> [WITH GRANT OPTION] コマンドを使用します。 Snowsight を使用してこの権限を付与することはできません。

たとえば myrole カスタムロールに権限を付与する場合:

GRANT OWNERSHIP ON DATA EXCHANGE PROFILE "<provider_profile_name>" TO ROLE myrole;
Copy