他のロールに権限を付与¶
Snowflakeは、 Snowflake Marketplace またはData Exchangeに権限のセットを提供します。
これらの権限は、他のロール(システム定義またはカスタム)に付与できます。その後、ロールを持つユーザーは、 Snowflake Marketplace またはData Exchangeで特定のタスクを実行できます。
このトピックの内容:
Data Exchangeでの管理者権限の付与¶
デフォルトでは、Data Exchange管理者アカウントのアカウント管理者(つまり、 ACCOUNTADMIN ロールを持つユーザー)のみが、次のタスクを含むData Exchangeを管理できます。
メンバーの追加または削除
リスト承認リクエストの承認/拒否
プロバイダープロファイルの承認リクエストの承認/拒否
カテゴリの表示
これらのタスクを他のユーザーに委任するため、Data Exchangeの IMPORTED PRIVILEGES 権限を他のロール(システム定義またはカスタム)に付与することができます。
他のロールへの IMPORTED PRIVILEGES 権限の付与¶
Data Exchangeの IMPORTED PRIVILEGES 権限をロールに付与するには、 ACCOUNTADMIN ロールと GRANT GRANT <権限> コマンドを使用します。
注釈
WITH GRANT OPTION パラメーターは、 IMPORTED PRIVILEGES 権限をサポートしていません。
構文:
grant imported privileges on data exchange <exchange_name> to <role_name>;
条件:
<交換名>
は、Data Exchangeの名前です。< ロール名 >
は、権限が付与されるロールです。
たとえば、 mydataexchange
Data Exchangeでインポートされた権限をSYSADMINロールに付与します。
use role accountadmin;
grant imported privileges on data exchange mydataexchange to sysadmin;
使用上の注意¶
この権限は、Data Exchangeレベルで付与されます。したがって、管理タスクを実行できるのは、権限が付与されているData Exchangeのみです。
別のロールに権限を付与できるのは、Data Exchange管理者アカウントのアカウント管理者のみです。
共有から作成されたデータベースで、ロールが IMPORTED PRIVILEGES に付与されている場合、その後の SHOW GRANTS コマンドの呼び出しでは、権限が IMPORTED PRIVILEGES ではなく、 USAGE としてリストされます。
この権限は、Data Exchangeを対象としています。 Snowflake Marketplace 内では、Snowflake管理者のみが管理タスクを実行できます。
Snowflake MarketplaceまたはData Exchangeにおける、他のロールへのプロバイダー権限を付与¶
Snowflakeは、 Snowflake Marketplace またはData Exchangeでデータプロバイダーが利用できるタスクを実行するためのアカウントセット、プロバイダープロファイル、およびリストレベルの権限を提供します。
これらの権限を他のロールに付与して、アカウント内の他のユーザーにタスクを委任することができます。
権限 |
オブジェクト型 |
付与者 |
説明 |
---|---|---|---|
ACCOUNT |
ACCOUNTADMIN |
リストまたはプロバイダーのプロファイルを作成する機能を付与します。 |
|
CREATE SHARE 権限 (このトピック内) |
ACCOUNT |
ACCOUNTADMIN |
共有を作成する機能を付与します。 |
IMPORT SHARE 権限 (このトピック内) |
ACCOUNT |
ACCOUNTADMIN |
アカウントと共有されているインバウンド共有を表示し、共有からデータベースを作成する機能を付与します。 |
リストの MODIFY 権限 (このトピック内) |
LISTING |
リスト所有者 |
リストのプロパティを変更する機能を付与します。 |
リストに対する USAGE 権限 (このトピック内) |
LISTING |
リスト所有者 |
リストを見る(つまり、表示する)機能を付与します。 |
リストに対する OWNERSHIP 権限 (このトピック内) |
LISTING |
リスト所有者 |
リスト OWNERSHIP を譲渡します。 |
プロバイダープロファイルの MODIFY 権限 (このトピック内) |
PROVIDER PROFILE |
プロファイル所有者 |
プロバイダープロファイルのプロパティを変更する機能を付与します。 |
プロバイダープロファイルの OWNERSHIP 権限 (このトピック内) |
PROVIDER PROFILE |
プロファイル所有者 |
プロバイダープロファイルの OWNERSHIP を譲渡します。 |
アカウントレベルの権限¶
Snowflakeは、 Snowflake Marketplace またはData Exchangeのアカウントレベルで共有、データリスト、およびプロバイダープロファイルを操作するために次の権限を提供します。
グローバル CREATE DATA EXCHANGE LISTING 権限¶
ロールにグローバル CREATE DATAEXCHANGELISTING 権限が付与されている場合、そのロールのあるユーザーは、リストまたはプロバイダープロファイルを作成できます。リストの作成者、つまり所有者としてロールを使用して、リストにある次のようなタスクすべてを実行できます。
リストの作成
リストのプロパティ変更
リストを表示する
受信したリストへのアクセスリクエストを表示する
リスティングのリクエストの拒否
承認/公開リストのリスト送信
プロバイダープロファイルを作成し、表示する
アカウントが複数のData Exchangeのプロバイダーである場合、グローバル CREATE DATA EXCHANGE LISTING 権限を持つロールは、それらの各Data Exchangeでリストを作成できます。
注釈
リストを作成するロールが、リストの所有者になります。OWNERSHIP 権限は、所有ロールにより リストに対する OWNERSHIP 権限 を使用して、別のロールに譲渡できます。
アカウント管理者(ACCOUNTADMIN ロールを持つユーザー)のみが、ロールにグローバル CREATE DATA EXCHANGE LISTING 権限を付与できます。
Data ExchangeでロールにグローバルCREATE DATA EXCHANGE LISTING権限を付与するには、 GRANT <権限> [WITH GRANT OPTION] コマンドを使用します。
例:
use role accountadmin;
-- grant the privilege to the SYSADMIN role
grant create data exchange listing on account to role sysadmin;
-- grant the privilege to the SYSADMIN role with grant option
grant create data exchange listing on account to sysadmin with grant option;
リストレベルの権限¶
Snowflakeは、データリストに対して次の権限を提供します。これらの権限は、 Snowflake Marketplace またはData Exchangeのリスト所有者(OWNERSHIP 権限を持つユーザー)によって付与できます。
リストの MODIFY 権限¶
リストの MODIFY 権限がロールに付与されている場合、そのロールのあるユーザーは、リストに次のタスクを実行できます。
リストのプロパティ変更
リストを表示する
受信したリストへのアクセスリクエストを表示する
承認/公開リストのためにリスト送信
リスティングのリクエストの拒否
リストの OWNER のみがこの権限を付与できます。MODIFY 権限は、新しいSnowflakeのウェブインターフェイスである Snowsight にあるリストでのみ付与できます。
Snowflake Marketplace のリストに MODIFY 権限を付与するには、
Snowsight にログインします。
Data » Provider Studio に移動します。
Listings タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブを選択します。
Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
データ交換のリストに MODIFY 権限を付与するには、
Snowsight にログインします。
Data » Private Sharing に移動します。
Shared By My Account タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブを選択します。
Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
リストに対する USAGE 権限¶
リストの USAGE 権限がロールに付与されている場合、そのロールを持つすべてのユーザーは、リストおよび受信リストリクエストを見る(つまり、表示)できます。リストの OWNER のみがこの権限を付与できます。
Snowflake Marketplace のリストに USAGE 権限を付与するには、
Snowsight にログインします。
Data » Provider Studio に移動します。
Listings タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブを選択します。
Privileges セクションで、 View Listing 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
データ交換のリストに USAGE 権限を付与するには、
Snowsight にログインします。
Data » Private Sharing に移動します。
Shared By My Account タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブを選択します。
Privileges セクションで、 View Listing 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
リストに対する OWNERSHIP 権限¶
リストの OWNERSHIP 権限がロールに付与されている場合、そのロールはリストの新しい OWNER になります。リストの OWNER のみがこの権限を付与できます。OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 アクセス制御の概要 をご参照ください。
重要
リストの所有権が譲渡されると、既存の付与すべてが取り消されます。権限を付与されたロールすべては、このリストへのアクセスを即座に失い、それらの権限は取り消されます。新しいリスト所有者は、これらの権限を再度付与する必要があります。
Snowflake Marketplace のリストに OWNERSHIP 権限を付与するには、
Snowsight にログインします。
Data » Provider Studio に移動します。
Listings タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブを選択します。
Privileges セクションで、 OWNERSHIP 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
データ交換のリストに OWNERSHIP 権限を付与するには、
Snowsight にログインします。
Data » Private Sharing に移動します。
Shared By My Account タブを選択します。
変更するリストを含む行の任意の場所をクリックします。
リストの詳細ページで、 Settings タブをクリックします。
Privileges セクションで、 OWNERSHIP 権限の横にある鉛筆アイコンをクリックします。
Add Role ボタンをクリックして、必要なロールを追加します。
Save をクリックします。
プロバイダープロファイルレベルの権限¶
Snowflakeは、プロバイダープロファイルに対して次の権限を提供します。これらの権限は、 Snowflake Marketplace またはData Exchangeのプロバイダープロファイル所有者(OWNERSHIP 権限を持つユーザー)によって付与できます。
注釈
プロファイルを作成するには、 グローバル CREATE DATA EXCHANGE LISTING 権限 グローバル権限(このドキュメント内)を使用します。
プロバイダーアカウントのどのロールでも、すべてのプロファイルを表示できます。この権限を明示的に付与する必要はありません。
プロバイダープロファイルの MODIFY 権限¶
MODIFY 権限がプロバイダープロファイルのロールに付与されている場合、そのロールを持つすべてのユーザーは、プロバイダープロファイルのプロパティを表示および変更できます。プロバイダープロファイルの OWNER のみがこの権限を付与できます。
MODIFY 権限は、ウェブインターフェイスまたは SQL を使用して付与できます。
- Snowsight
Data » Private Sharing » Manage Exchanges » をクリックします。Exchangeを選択します » プロバイダープロファイルを選択します » Manage » Manage Profile Editors。
- SQL
GRANT <権限> [WITH GRANT OPTION] コマンドを実行します。
例:
-- grant the privilege to the SYSADMIN role grant modify on data exchange profile "<provider_profile_name>" to role sysadmin;
プロバイダープロファイルの OWNERSHIP 権限¶
プロバイダープロファイルの OWNERSHIP 権限がロールに付与されている場合、そのロールはプロファイルの新しい OWNER になります。プロバイダープロファイルの OWNER のみがこの権限を付与できます。OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 アクセス制御の概要 をご参照ください。
プロバイダープロファイルの OWNERSHIP 権限をロールに付与するには、 GRANT <権限> [WITH GRANT OPTION] コマンドを使用します。現時点では、新しいSnowflakeインターフェイスを介して権限を付与することはできません。
例:
-- grant the privilege to the SYSADMIN role
grant ownership on data exchange profile "<provider_profile_name>" to role sysadmin;