他のロールに権限を付与

Snowflakeは、Snowflake Data MarketplaceまたはData Exchangeに権限のセットを提供します。

これらの権限は、他のロール(システム定義またはカスタム)に付与できます。その後、ロールを持つユーザーは、Snowflake Data MarketplaceまたはData Exchangeで特定のタスクを実行できます。

このトピックの内容:

Data Exchangeでの管理者権限の付与

デフォルトでは、Data Exchange管理者アカウントのアカウント管理者(つまり、 ACCOUNTADMIN ロールを持つユーザー)のみが、次のタスクを含むData Exchangeを管理できます。

  • メンバーの追加または削除

  • リスト承認リクエストの承認/拒否

  • プロバイダープロファイルの承認リクエストの承認/拒否

  • カテゴリの表示

これらのタスクを他のユーザーに委任するため、Data Exchangeの IMPORTED PRIVILEGES 権限を他のロール(システム定義またはカスタム)に付与することができます。

他のロールへの IMPORTED PRIVILEGES 権限の付与

Data Exchangeの IMPORTED PRIVILEGES 権限をロールに付与するには、 ACCOUNTADMIN ロールと GRANT GRANT <権限> ... TO ROLE コマンドを使用します。

注釈

WITH GRANT OPTION パラメーターは、 IMPORTED PRIVILEGES 権限をサポートしていません。

構文:

grant imported privileges on data exchange <exchange_name> to <role_name>;

条件:

  • <交換名> は、Data Exchangeの名前です。

  • < ロール名 > は、権限が付与されるロールです。

たとえば、 mydataexchange Data Exchangeでインポートされた権限をSYSADMINロールに付与します。

use role accountadmin;

grant imported privileges on data exchange mydataexchange to sysadmin;

使用上の注意

  • この権限は、Data Exchangeレベルで付与されます。したがって、管理タスクを実行できるのは、権限が付与されているData Exchangeのみです。

  • 別のロールに権限を付与できるのは、Data Exchange管理者アカウントのアカウント管理者のみです。

  • 共有から作成されたデータベースで、ロールが IMPORTED PRIVILEGES に付与されている場合、その後の SHOW GRANTS コマンドの呼び出しでは、権限が IMPORTED PRIVILEGES ではなく、 USAGE としてリストされます。

  • この権限は、Data Exchangeを対象としています。Snowflake Data Marketplace内で、管理タスクを実行できるのはSnowflake管理者のみです。

Snowflake MarketplaceまたはData Exchangeにおける、他のロールへのプロバイダー権限を付与

Snowflakeは、Snowflake Data MarketplaceまたはData Exchangeでデータプロバイダーが利用できるタスクを実行するためのアカウントセット、プロバイダープロファイル、およびリストレベルの権限を提供します。

これらの権限を他のロールに付与して、アカウント内の他のユーザーにタスクを委任することができます。

権限

オブジェクト型

付与者

説明

グローバル CREATE DATA EXCHANGE LISTING 権限 (このトピック)

ACCOUNT

ACCOUNTADMIN

リストまたはプロバイダーのプロファイルを作成する機能を付与します。

CREATE SHARE 権限 (このトピック内)

ACCOUNT

ACCOUNTADMIN

共有を作成する機能を付与します。

IMPORT SHARE 権限 (このトピック内)

ACCOUNT

ACCOUNTADMIN

アカウントと共有されているインバウンド共有を表示し、共有からデータベースを作成する機能を付与します。

リストの MODIFY 権限 (このトピック内)

LISTING

リスト所有者

リストのプロパティを変更する機能を付与します。

リストに対する USAGE 権限 (このトピック)

LISTING

リスト所有者

リストを表示(つまり、ビュー)する機能を付与します。

リストに対する OWNERSHIP 権限 (このトピック)

LISTING

リスト所有者

リスト OWNERSHIP を譲渡します。

プロバイダープロファイルの MODIFY 権限 (このトピック内)

PROVIDER PROFILE

プロファイル所有者

プロバイダープロファイルのプロパティを変更する機能を付与します。

プロバイダープロファイルの OWNERSHIP 権限 (このトピック内)

PROVIDER PROFILE

プロファイル所有者

プロバイダープロファイルの OWNERSHIP を譲渡します。

アカウントレベルの権限

Snowflakeは、Snowflake Data MarketplaceまたはData Exchangeのアカウントレベルで共有、データリスト、およびプロバイダープロファイルを操作するために次の権限を提供します。

グローバル CREATE DATA EXCHANGE LISTING 権限

ロールにグローバル CREATE DATAEXCHANGELISTING 権限が付与されている場合、そのロールのあるユーザーは、リストまたはプロバイダープロファイルを作成できます。リストの作成者、つまり所有者としてロールを使用して、リストにある次のようなタスクすべてを実行できます。

  • リストの作成

  • リストのプロパティ変更

  • リストの表示

  • 着信リストアクセスリクエストの表示

  • リスティングのリクエストの拒否

  • 承認/公開リストのリスト送信

  • プロバイダープロファイルの作成と表示

アカウントが複数のData Exchangeのプロバイダーである場合、グローバル CREATE DATA EXCHANGE LISTING 権限を持つロールは、それらの各Data Exchangeでリストを作成できます。

注釈

  • リストを作成するロールが、リストの所有者になります。OWNERSHIP 権限は、所有ロールにより リストに対する OWNERSHIP 権限 を使用して、別のロールに譲渡できます。

  • アカウント管理者(ACCOUNTADMIN ロールを持つユーザー)のみが、ロールにグローバル CREATE DATA EXCHANGE LISTING 権限を付与できます。

Data ExchangeでロールにグローバルCREATE DATA EXCHANGE LISTING権限を付与するには、 GRANT <権限> ... TO ROLE [WITH GRANT OPTION] コマンドを使用します。

例:

use role accountadmin;

-- grant the privilege to the SYSADMIN role
grant create data exchange listing on account to role sysadmin;

-- grant the privilege to the SYSADMIN role with grant option
grant create data exchange listing on account to sysadmin with grant option;

CREATE SHARE 権限

ロールに CREATE SHARE 権限が付与されている場合、そのロールのあるユーザーは共有を作成できます。共有の作成者、つまり所有者として、ロールを使用して、次のような共有上のすべてのタスクを実行することもできます。

  • 共有に対するオブジェクトの権限の付与または取り消し。

  • 共有に対するコンシューマーアカウントの追加または削除。

詳細については、 CREATE SHARE 権限 をご参照ください。

IMPORT SHARE 権限

ロールに IMPORT SHARE 権限が付与されている場合、そのロールのあるユーザーは次のタスクを実行できます。

  • すべての INBOUND 共有(プロバイダーアカウントで共有)を表示し、共有用のデータベースを作成します。

  • ロールが所有するすべての OUTBOUND 共有を表示します。

詳細については、 IMPORT SHARE 権限 をご参照ください。

リストレベルの権限

Snowflakeは、データリストに対して次の権限を提供します。これらの権限は、Snowflake Data MarketplaceまたはData Exchangeのリスト所有者(OWNERSHIP 権限を持つユーザー)によって付与できます。

リストの MODIFY 権限

リストの MODIFY 権限がロールに付与されている場合、そのロールのあるユーザーは、リストに次のタスクを実行できます。

  • リストのプロパティ変更

  • リストの表示

  • 着信リストアクセスリクエストの表示

  • 承認/公開リストのためにリスト送信

  • リスティングのリクエストの拒否

リストの OWNER のみがこの権限を付与できます。MODIFY 権限は、新しいSnowflakeウェブインターフェイスのリストでのみ付与できます。

Snowflake Data Marketplaceのリストに MODIFY 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Manage » Snowflake Data Marketplace » Listings に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

データ交換のリストに MODIFY 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Shared Data » Shared By My Account に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 Modify Listing 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

リストに対する USAGE 権限

リストの USAGE 権限がロールに付与されている場合、そのロールを持つすべてのユーザーは、リストおよび受信リストリクエストを表示(つまり、ビュー)できます。リストの OWNER のみがこの権限を付与できます。

現在、 USAGE 権限は、新しいSnowflakeウェブインターフェイスのリストでのみ付与できます。

Snowflake Data Marketplaceのリストに USAGE 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Manage » Snowflake Data Marketplace » Listings に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 View Listing 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

データ交換のリストに USAGE 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Shared Data » Shared By My Account に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 View Listing 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

リストに対する OWNERSHIP 権限

リストの OWNERSHIP 権限がロールに付与されている場合、そのロールはリストの新しい OWNER になります。リストの OWNER のみがこの権限を付与できます。OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 Snowflakeのアクセス制御 をご参照ください。

重要

リストの所有権が譲渡されると、既存の付与すべてが取り消されます。権限を付与されたロールすべては、このリストへのアクセスを即座に失い、それらの権限は取り消されます。新しいリスト所有者は、これらの権限を再度付与する必要があります。

現在、 OWNERSHIP 権限は、新しいSnowflakeウェブインターフェイスのリストでのみ付与できます。

Snowflake Data Marketplaceのリストに OWNERSHIP 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Manage » Snowflake Data Marketplace » Listings に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 OWNERSHIP 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

データ交換のリストに OWNERSHIP 権限を付与するには、

  1. 新しいSnowflakeウェブインターフェイスにログインします。

  2. Data » Shared Data » Shared By My Account に移動します。

  3. リストのタイトルをクリックします。

  4. リストの詳細ページで、 Settings タブをクリックします。

  5. Privileges セクションで、 OWNERSHIP 権限の横にある鉛筆アイコンをクリックします。

  6. Add Role ボタンをクリックして、必要なロールを追加します。

  7. Save をクリックします。

プロバイダープロファイルレベルの権限

Snowflakeは、プロバイダープロファイルに対して次の権限を提供します。これらの権限は、Snowflake Data MarketplaceまたはData Exchangeのプロバイダープロファイル所有者(OWNERSHIP 権限を持つユーザー)によって付与できます。

注釈

  • プロファイルを作成するには、 グローバル CREATE DATA EXCHANGE LISTING 権限 グローバル権限(このドキュメント内)を使用します。

  • プロバイダーアカウントのどのロールでも、すべてのプロファイルを表示できます。この権限を明示的に付与する必要はありません。

プロバイダープロファイルの MODIFY 権限

MODIFY 権限がプロバイダープロファイルのロールに付与されている場合、そのロールを持つすべてのユーザーは、プロバイダープロファイルのプロパティを表示および変更できます。プロバイダープロファイルの OWNER のみがこの権限を付与できます。

MODIFY 権限は、ウェブインターフェイスまたは SQL を使用して付与できます。

ウェブインターフェイス

新しいSnowflakeウェブインターフェイスで、 Data » Manage » Provider Profile » View » Manage » Manage Profile Editors の順にクリックします。

SQL

GRANT <権限> ... TO ROLE [WITH GRANT OPTION] コマンドを実行します。

例:

-- grant the privilege to the SYSADMIN role
grant modify on data exchange profile "<provider_profile_name>" to role sysadmin;

プロバイダープロファイルの OWNERSHIP 権限

プロバイダープロファイルの OWNERSHIP 権限がロールに付与されている場合、そのロールはプロファイルの新しい OWNER になります。プロバイダープロファイルの OWNER のみがこの権限を付与できます。OWNERSHIP は、あるロールから別のロールにのみ付与できる特別なタイプの権限です。取り消すことはできません。詳細については、 Snowflakeのアクセス制御 をご参照ください。

プロバイダープロファイルの OWNERSHIP 権限をロールに付与するには、 GRANT <権限> ... TO ROLE [WITH GRANT OPTION] コマンドを使用します。現時点では、新しいSnowflakeインターフェイスを介して権限を付与することはできません。

例:

-- grant the privilege to the SYSADMIN role
grant ownership on data exchange profile "<provider_profile_name>" to role sysadmin;