アクセス制御権限¶
このトピックでは、Snowflakeアクセス制御モデルで使用可能な権限について説明します。システム内のオブジェクトに対してユーザーが実行できる操作を指定するために、ロールに権限が付与され、ユーザーにロールが付与されます。
このトピックの内容:
すべての権限(アルファベット順)¶
Snowflakeアクセス制御モデルでは、次の権限を使用できます。各権限の意味は、適用されるオブジェクトの種類によって異なり、すべてのオブジェクトがすべての権限をサポートしているわけではありません。
権限 |
オブジェクト型 |
説明 |
|---|---|---|
ALL [ PRIVILEGES ] |
すべて |
指定されたオブジェクト型のすべての権限を付与します。 |
APPLY MASKING POLICY |
グローバル |
テーブルまたはビューの列に対して列レベルのセキュリティマスキングポリシーを設定する機能を付与します。このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。 |
APPLY ROW ACCESS POLICY |
グローバル |
テーブルまたはビューに対して行アクセスポリシーを追加およびドロップする機能を付与します。このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。 |
APPLY SESSION POLICY |
グローバル |
アカウントまたはユーザーに対してセッションポリシーを設定または設定解除する機能を付与します。 |
APPLY TAG |
グローバル |
Snowflakeオブジェクトにタグを追加またはドロップする機能を付与します。 |
ATTACH POLICY |
グローバル |
アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。 |
CREATE <オブジェクト型> |
グローバル、データベース、スキーマ |
<オブジェクト型> のオブジェクトを作成する権限を付与します(例: CREATE TABLE はスキーマ内にテーブルを作成する権限を付与)。 |
DELETE |
テーブル |
テーブルで DELETE コマンドを実行する機能を付与します。 |
EXECUTE MANAGED TASK |
グローバル |
Snowflakeが管理するコンピューティングリソース(サーバーレスコンピューティングモデル)に依存するタスクを作成する機能を付与します。サーバーレスタスクを作成するためにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。 |
EXECUTE TASK |
グローバル |
ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。 |
IMPORT SHARE |
グローバル |
データコンシューマーに適用されます。アカウントと共有されている共有を表示する機能を付与します。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。 |
OVERRIDE SHARE RESTRICTIONS |
グローバル |
Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。 |
IMPORTED PRIVILEGES |
データベース、Data Exchange |
所有するロール以外のロールが共有データベースにアクセス、またはSnowflake Data MarketplaceまたはData Exchangeを管理できるようにする権限を付与します。 |
INSERT |
テーブル |
テーブルで INSERT コマンドを実行する権限を付与します。 |
MANAGE GRANTS |
グローバル |
呼び出しロールがオブジェクトの所有者であるかのように、オブジェクトの権限を付与または取り消す機能を付与します。 |
MODIFY |
リソースモニター、ウェアハウス、Data Exchangeリスト、データベース、スキーマ |
オブジェクトの設定またはプロパティを変更する権限を付与します(例: 仮想ウェアハウスで、仮想ウェアハウスのサイズを変更する機能を提供)。 |
MONITOR |
ユーザー、リソースモニター、ウェアハウス、データベース、スキーマ、タスク |
オブジェクト内の詳細を表示する権限を付与します(例: ウェアハウス内のクエリや使用法)。 |
MONITOR EXECUTION |
グローバル |
アカウント内のパイプ(Snowpipe)またはタスクをモニターする機能を付与します。 |
MONITOR USAGE |
グローバル |
データベースおよびウェアハウスのアカウントレベルの使用法と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化により、従来のウェブインターフェイス内で使用量と請求履歴をモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。 |
OPERATE |
ウェアハウス、タスク |
仮想ウェアハウスを開始、停止、一時停止、または再開する権限を付与します。タスクを中断または再開する権限を付与します。 |
OWNERSHIP |
すべて |
オブジェクトへのアクセスを削除、変更、付与または取り消す機能を付与します。オブジェクトの名前を変更するために必要です。OWNERSHIP は、オブジェクトを作成したロールに自動的に付与されるオブジェクトに対する特別な権限ですが、所有ロール(または MANAGE GRANTS 権限のある任意のロール)によって GRANT OWNERSHIP コマンドを使用して別のロールに譲渡することもできます。 |
READ |
ステージ(内部のみ) |
内部ステージ(GET、 LIST、 COPY INTO <テーブル> など)からの読み取りを必要とする、すべての操作を実行する機能を付与します。 |
REFERENCES |
テーブル、外部テーブル、ビュー |
オブジェクトの構造を表示する機能を付与します(データは除く)。 . . テーブルの場合、権限は、外部キー制約の一意/プライマリのキーテーブルとしてオブジェクトを参照する機能も付与します。 |
SELECT |
テーブル、外部テーブル、ビュー、ストリーム |
テーブル/ビューで SELECT ステートメントを実行する権限を付与します。 |
TRUNCATE |
テーブル |
テーブルで TRUNCATE TABLE コマンドを実行する機能を付与します。 |
UPDATE |
テーブル |
テーブルで UPDATE コマンドを実行する権限を付与します。 |
USAGE |
ウェアハウス、Data Exchangeリスト、統合、データベース、スキーマ、ステージ(外部のみ)、ファイル形式、シーケンス、ストアドプロシージャ、ユーザー定義関数、外部関数 |
オブジェクトで USE <オブジェクト> コマンドを実行する機能を付与します。オブジェクトで SHOW <オブジェクト> コマンドを実行する機能も付与します。 |
WRITE |
ステージ(内部のみ) |
内部ステージ(PUT、 REMOVE、 COPY INTO <場所> など)への書き込みを必要とする、すべての操作を実行する機能を付与します。 |
このトピックの残りのセクションでは、各タイプのオブジェクトで使用可能な特定の権限とその使用法について説明します。
グローバル権限¶
権限 |
使用法 |
注意 |
|---|---|---|
APPLY MASKING POLICY |
テーブルまたはビューの列に、列レベルのセキュリティマスキングポリシーを設定する機能を付与します。 |
このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。 |
APPLY ROW ACCESS POLICY |
テーブルまたはビューに対して行アクセスポリシーを追加およびドロップする機能を付与します。 |
このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。 |
APPLY SESSION POLICY |
アカウントまたはユーザーに対してセッションポリシーを設定または設定解除する機能を付与します。 |
|
ATTACH POLICY |
アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。 |
|
CREATE ACCOUNT |
データプロバイダーが新しい管理アカウント(つまり、リーダーアカウント)を作成できるようにします。詳細については、 リーダーアカウントの管理 をご参照ください。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
CREATE ROLE |
新しいロールを作成できるようにします。 |
|
CREATE USER |
新しいユーザーを作成できるようにします。 |
|
MANAGE GRANTS |
ロールが所有者ではないオブジェクトに対する権限の付与または取り消しを有効にします。 |
SECURITYADMIN ロール(またはそれ以上)によって付与される必要があります。 |
CREATE DATA EXCHANGE LISTING |
新しいData Exchangeリストの作成を有効にします。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
CREATE INTEGRATION |
新しい通知、セキュリティ、またはストレージ統合を作成できるようにします。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
CREATE NETWORK POLICY |
新しいネットワークポリシーの作成を有効にします。 |
|
CREATE SHARE |
データプロバイダーが新しい共有を作成できるようにします。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
CREATE WAREHOUSE |
新しい仮想ウェアハウスを作成できるようにします。 |
|
EXECUTE MANAGED TASK |
Snowflakeが管理するコンピューティングリソース(サーバーレスコンピューティングモデル)に依存するタスクを作成する機能を付与します。サーバーレスタスクにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
EXECUTE TASK |
ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
IMPORT SHARE |
データコンシューマーがアカウントで共有されている共有を表示できるようにします。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
MONITOR EXECUTION |
アカウント内のパイプまたはタスクをモニターする機能を付与します。 |
ACCOUNTADMIN ロールによって付与される必要があります。USAGE 権限は、これらのオブジェクトを格納する各データベースとスキーマにも必要です。 |
MONITOR USAGE |
データベースおよびウェアハウスのアカウントレベルの使用法と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化により、従来のウェブインターフェイス内で使用量と請求履歴をモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。 |
ACCOUNTADMIN ロールによって付与される必要があります。 |
OVERRIDE SHARE RESTRICTIONS |
Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。 |
詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。 |
ALL [ PRIVILEGES ] |
すべてのグローバル権限を付与します。 |
ユーザーの権限¶
権限 |
使用法 |
|---|---|
MONITOR |
ユーザーのログイン履歴を表示する権限を付与します。 |
OWNERSHIP |
ユーザー/ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ユーザーで、 OWNERSHIP を除くすべての権限を付与します。 |
ロールの権限¶
権限 |
使用法 |
|---|---|
OWNERSHIP |
ユーザー/ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。所有者のロールは、所有済みロールに付与された権限を継承しないことに注意してください。ロールから権限を継承するには、そのロールを別のロールに付与して、ロール階層に親子関係を作成する必要があります。 |
リソースモニター権限¶
権限 |
使用法 |
|---|---|
MODIFY |
月次クレジットクォータの変更など、リソースモニターのプロパティを変更できるようにします。 |
MONITOR |
リソースモニターを表示できるようにします。 |
ALL [ PRIVILEGES ] |
リソースモニターで、 OWNERSHIP を除くすべての権限を付与します。 |
仮想ウェアハウスの権限¶
権限 |
使用法 |
|---|---|
MODIFY |
サイズの変更など、ウェアハウスのプロパティを変更できます。 . . ウェアハウスをリソースモニターに割り当てるために必要です。ACCOUNTADMIN ロールのみがウェアハウスをリソースモニターに割り当てることができることに注意してください。 |
MONITOR |
ウェアハウスで実行された現在および過去のクエリと、ウェアハウスでの使用状況の統計を表示できます。 |
OPERATE |
ウェアハウスの状態(停止、開始、一時停止、再開)を変更できるようにします。さらに、ウェアハウスで実行された現在および過去のクエリを表示し、実行中のクエリを中止できるようにします。 |
USAGE |
仮想ウェアハウスを使用できるようにし、その結果として、ウェアハウスでクエリを実行します。SQL ステートメント(例: クエリ)が送信されたときにウェアハウスが自動再開するように構成されている場合、ウェアハウスは自動的に再開してステートメントを実行します。 |
OWNERSHIP |
ウェアハウスに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ウェアハウスで、 OWNERSHIP を除くすべての権限を付与します。 |
接続の権限¶
なし。
統合権限¶
権限 |
使用法 |
|---|---|
USAGE |
ステージの作成時( CREATE STAGE を使用)またはステージの変更時( ALTER STAGE を使用)に、ストレージ統合を参照できるようにします。 |
USE_ANY_ROLE |
この権限がクライアントまたはユーザーに付与されている場合のみ、外部 OAuth クライアントまたはユーザーは、ロールを切り替えることができます。 CREATE SECURITY INTEGRATION または ALTER SECURITY INTEGRATION を使用して、 |
OWNERSHIP |
統合に対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
統合で、 OWNERSHIP を除くすべての権限を付与します。 |
ネットワークポリシーの権限¶
権限 |
使用法 |
|---|---|
OWNERSHIP |
ネットワークポリシーに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
セッションポリシー権限¶
権限 |
使用法 |
|---|---|
OWNERSHIP |
セッションポリシーの所有権を譲渡します。これにより、セッションポリシーを包括的に制御できます。セッションポリシーのほとんどのプロパティを変更するために必要です。 |
Data Exchangeの権限¶
権限 |
使用法 |
|---|---|
IMPORTED PRIVILEGES |
所有するロール以外のロールがSnowflake Data MarketplaceまたはDataExchangeを管理できるようにします。 |
Data Exchangeリスト権限¶
注釈
現在、Data Exchangeリストに対する権限は、Snowflakeウェブインターフェイスでのみ付与できます。手順については、 他のロールに権限を付与 をご参照ください。
権限 |
使用法 |
|---|---|
MODIFY |
所有するロール以外のロールがSnowflake Data MarketplaceまたはDataExchangeリストを変更できるようにします。 |
USAGE |
Snowflake Data MarketplaceまたはDataExchangeリストを表示できるようにします。 |
OWNERSHIP |
Snowflake Data MarketplaceまたはDataExchangeリストの包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
Snowflake Data MarketplaceまたはDataExchangeリストで、 OWNERSHIP を除くすべての権限を付与します。 |
データベース権限¶
権限 |
使用法 |
|---|---|
MODIFY |
データベースの設定を変更できるようにします。 |
MONITOR |
データベースで DESCRIBE コマンドを実行できるようにします。 |
USAGE |
SHOW DATABASES コマンド出力でデータベースの詳細を返すなど、データベースの使用を有効にします。データベース内にあるオブジェクトの表示またはオブジェクトに対するアクションの実行には、追加の権限が必要です。 |
CREATE SCHEMA |
スキーマの複製など、データベースでの新しいスキーマを作成できるようにします。 |
IMPORTED PRIVILEGES |
所有するロール以外のロールが共有データベースにアクセスできるようにします。共有データベースにのみ適用されます。 |
OWNERSHIP |
データベースに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
データベースで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
コメントを含め、データベースのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。
いずれか のデータベース権限がロールに付与されている場合、そのロールは完全修飾名を使用して、スキーマ内のオブジェクトに対して SQL アクションを実行できます。ロールには、スキーマに対する USAGE 権限と、オブジェクトに対する必須の権限が必要です。ユーザーセッションでデータベースをアクティブデータベースにするには、データベースに対する USAGE 権限が必要です。
スキーマ権限¶
権限 |
使用法 |
|---|---|
MODIFY |
スキーマの設定を変更できるようにします。 |
MONITOR |
スキーマで DESCRIBE コマンドを実行できるようにします。 |
USAGE |
SHOW SCHEMAS コマンド出力にスキーマ詳細を返すなど、スキーマを使用できるようにします。 . . スキーマ内のオブジェクト(テーブル、ビュー、ステージ、ファイル形式、シーケンス、パイプ、または関数)に対して SHOW <オブジェクト> コマンドを実行するには、オブジェクトに対する少なくとも1つの権限がロールに付与されている必要があります。 |
CREATE TABLE |
テーブルの複製など、スキーマで新しいテーブルを作成できるようにします。この権限は、現在のユーザーセッションにスコープされ、セッションの終了時に自動的に削除される一時テーブルを作成するためには 不必要 であることに注意してください。 |
CREATE EXTERNAL TABLE |
スキーマで新しい外部テーブルを作成できるようにします。 |
CREATE VIEW |
スキーマで新しいビューを作成できるようにします。 |
CREATE MATERIALIZED VIEW |
スキーマで新しいマテリアライズドビューを作成できるようにします。 |
CREATE MASKING POLICY |
スキーマで、新しい 列レベルのセキュリティ マスキングポリシーを作成できるようにします。 |
CREATE ROW ACCESS POLICY |
スキーマで、新しい 行アクセスポリシー を作成できるようにします。 |
CREATE SESSION POLICY |
スキーマで、新しい セッションポリシー を作成できるようにします。 |
CREATE STAGE |
ステージの複製など、スキーマで新しいステージを作成できるようにします。 |
CREATE FILE FORMAT |
ファイル形式の複製など、スキーマで新しいファイル形式を作成できるようにします。 |
CREATE SEQUENCE |
シーケンスの複製など、スキーマで新しいシーケンスを作成できるようにします。 |
CREATE FUNCTION |
スキーマに新しい UDF または外部関数を作成できるようにします。 |
CREATE PIPE |
スキーマで新しいパイプを作成できるようにします。 |
CREATE STREAM |
ストリームの複製など、スキーマで新しいストリームを作成できるようにします。 |
CREATE TAG |
スキーマで新しい タグキー を作成できるようにします。 |
CREATE TASK |
タスクの複製など、スキーマで新しいタスクを作成できるようにします。 |
CREATE PROCEDURE |
スキーマで新しいストアドプロシージャを作成できるようにします。 |
ADD SEARCH OPTIMIZATION |
スキーマにあるテーブルへの 検索最適化の追加 を有効にします。 |
OWNERSHIP |
スキーマに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
スキーマで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
コメントを含め、スキーマのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。
スキーマの操作には、親データベースでの USAGE 権限も必要です。
テーブル権限¶
権限 |
使用法 |
|---|---|
SELECT |
テーブルで SELECT ステートメントを実行できるようにします。 |
INSERT |
テーブルで INSERT コマンドを実行できるようにします。また、 |
UPDATE |
テーブルで UPDATE コマンドを実行できるようにします。 |
TRUNCATE |
テーブルで TRUNCATE TABLE コマンドを実行できるようにします。 |
DELETE |
テーブルで DELETE コマンドを実行できるようにします。 |
REFERENCES |
テーブルを外部キー制約の一意/プライマリのキーテーブルとして参照できるようにします。さらに、 DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、テーブルの構造(データを除く)を表示できます。 |
OWNERSHIP |
テーブルに対する包括的な制御を付与します。再クラスタリングを除き、テーブルのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
テーブルで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
テーブルを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
外部テーブル権限¶
権限 |
使用法 |
|---|---|
SELECT |
外部テーブルで SELECT ステートメントを実行できるようにします。 |
REFERENCES |
DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、外部テーブルの構造(データを除く)を表示できます。 |
OWNERSHIP |
外部テーブルに対する包括的な制御を付与します。外部テーブルを更新するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
外部テーブルで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
外部テーブルを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
ビュー権限¶
次の権限は、標準ビューとマテリアライズドビューの両方に適用されます。
権限 |
使用法 |
|---|---|
SELECT |
ビューで SELECT ステートメントを実行できるようにします。 |
REFERENCES |
DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、ビューの構造(データを除く)を表示できます。 |
OWNERSHIP |
ビューに対する包括的な制御を付与します。ビューを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ビューで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
ビューで SELECT 権限のあるユーザーは、ビューが使用するテーブルでの SELECT 権限は不要です。これは、ビューを使用して、ロールに対しテーブルのサブセットのみへのアクセスを付与できることを意味します。たとえば、同じテーブル内に医療診断情報ではなく医療請求情報にアクセスするビューを作成し、そのビューに対する権限を ACCOUNTANT ロールに付与して、会計士が患者の診断を表示せずに請求情報を確認できるようにします。
ビューを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
ステージ権限¶
権限 |
使用法 |
|---|---|
USAGE |
SQL ステートメントで外部ステージオブジェクトを使用できるようにします。内部ステージには適用されません。 |
READ |
内部ステージ(GET、 LIST、 COPY INTO <テーブル> など)からの読み取りを必要とする操作を実行できるようにします。外部ステージには適用されません。 |
WRITE |
内部ステージ(PUT、 REMOVE、 COPY INTO <場所> など)への書き込みが必要な操作を実行できるようにします。外部ステージには適用されません。 |
OWNERSHIP |
ステージに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ステージ(内部または外部)で、 OWNERSHIP を除くすべての該当する権限を付与します。 |
注釈
内部ステージに READ 権限と WRITE 権限の両方を付与する場合、 READ 権限は WRITE 権限の前か、同時に付与する必要があります。
内部ステージの READ 権限と WRITE 権限の両方を取り消す場合、WRITE 権限は READ 権限の前か、同時に取り消す必要があります。
ステージでの操作には、親データベースおよび親スキーマでの USAGE 権限も必要です。
ファイル形式権限¶
権限 |
使用法 |
|---|---|
USAGE |
SQL ステートメントでファイル形式が使用できるようになります。 |
OWNERSHIP |
ファイル形式に対する包括的な制御を付与します。ファイル形式を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ファイル形式で OWNERSHIP を除くすべての権限を付与します。 |
注釈
ファイル形式を操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
パイプ権限¶
パイプオブジェクトは、Snowpipeを使用してデータをロードするために作成および管理されます。
権限 |
使用法 |
|---|---|
MONITOR |
パイプの詳細の表示を有効にします(DESCRIBE PIPE または SHOW PIPES を使用)。 |
OPERATE |
パイプの詳細の表示(DESCRIBE PIPE または SHOW PIPES を使用)、パイプの一時停止または再開、およびパイプの更新を有効にします。 |
OWNERSHIP |
パイプに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
パイプで、 OWNERSHIP を除くすべての権限を付与します。 |
注釈
パイプで操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
ストリーム権限¶
権限 |
使用法 |
|---|---|
SELECT |
ストリームでの SELECT ステートメントを実行できるようにします。 |
OWNERSHIP |
ストリームに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
ストリームで、 OWNERSHIPを除くすべての権限を付与します。 |
タスク権限¶
権限 |
使用法 |
|---|---|
MONITOR |
タスクの詳細の表示を有効にします( DESCRIBE TASK または SHOW TASKSを使用)。 |
OPERATE |
タスクの詳細の表示( SHOW TASKSを使用)およびタスクの再開または一時停止を有効にします。 |
OWNERSHIP |
タスクに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
ALL [ PRIVILEGES ] |
タスクで、 OWNERSHIP を除くすべての権限を付与します。 |
マスキングポリシーの権限¶
権限 |
使用法 |
|---|---|
APPLY |
列の マスキングポリシー に対する設定解除および設定の操作を実行できるようにします。 APPLY MASKING POLICY グローバル権限(つまり、 ACCOUNT の APPLY MASKING POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。 構文例については、 マスキングポリシー権限 をご参照ください。 |
OWNERSHIP |
マスキングポリシーに対する包括的な制御を付与します。マスキングポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
マスキングポリシー上で動作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
行アクセスポリシーの権限¶
権限 |
使用法 |
|---|---|
APPLY |
テーブルまたはビューの 行アクセスポリシー の追加およびドロップ操作を実行できるようにします。 APPLY MASKING POLICY グローバル権限(つまり、 ACCOUNT の APPLY ROW ACCESS POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。 構文例については、 DDL コマンド、操作、および権限の概要 をご参照ください。 |
OWNERSHIP |
行アクセスポリシーに対する包括的な制御を付与します。行アクセスポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
行アクセスポリシー上で動作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
タグの権限¶
権限 |
使用法 |
|---|---|
APPLY |
Snowflakeオブジェクトのタグの追加およびドロップ操作を実行できるようにします。 |
OWNERSHIP |
タグに対する包括的な制御を付与します。タグのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
タグはスキーマレベルで保存されます。
タグを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
シーケンス権限¶
権限 |
使用法 |
|---|---|
USAGE |
SQL ステートメントでシーケンスが使用できるようになります。 |
ALL [ PRIVILEGES ] |
シーケンスで、 OWNERSHIP を除くすべての権限を付与します。 |
OWNERSHIP |
シーケンスに対する包括的な制御を付与します。シーケンスを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
シーケンスを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
ストアドプロシージャの権限¶
権限 |
使用法 |
|---|---|
USAGE |
ストアドプロシージャの呼び出しができるようになります。 |
ALL [ PRIVILEGES ] |
ストアドプロシージャで、 OWNERSHIP を除くすべての権限を付与します。 |
OWNERSHIP |
ストアドプロシージャに対する包括的な制御を付与します。ストアドプロシージャを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
ストアドプロシージャを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
ストアドプロシージャが呼び出し元の権限で実行される場合、ストアドプロシージャを呼び出すユーザーは、ストアドプロシージャがアクセスするデータベースオブジェクト(例:テーブル)に対する権限を持っている必要があります。詳細については、 呼び出し元権限と所有者権限のストアドプロシージャの理解 をご参照ください。
ユーザー定義関数(UDF)および外部関数権限¶
権限 |
使用法 |
|---|---|
USAGE |
UDF または外部関数の呼び出しができるようになります。 |
ALL [ PRIVILEGES ] |
UDF または外部関数で、 OWNERSHIP を除くすべての権限を付与します。 |
OWNERSHIP |
UDF または外部関数に対する包括的な制御を付与します。 UDF または外部関数を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 |
注釈
UDF または外部関数を操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。
UDF の所有者は、関数がアクセスするオブジェクトに対する権限を持っている必要があります。UDF を呼び出すユーザーは、これらの権限を必要としません。詳細については、 SQL UDFs のセキュリティ/権限要件 をご参照ください。
外部関数の所有者は、外部関数に関連付けられた API 統合オブジェクトに対する USAGE 権限を持っている必要があります。詳細については、外部関数に関するドキュメントの アクセス制御 をご参照ください。