アクセス制御権限

このトピックでは、Snowflakeアクセス制御モデルで使用可能な権限について説明します。システム内のオブジェクトに対してユーザーが実行できる操作を指定するために、ロールに権限が付与され、ユーザーにロールが付与されます。

このトピックの内容:

すべての権限(アルファベット順)

Snowflakeアクセス制御モデルでは、次の権限を使用できます。各権限の意味は、適用されるオブジェクトの種類によって異なり、すべてのオブジェクトがすべての権限をサポートしているわけではありません。

権限

オブジェクト型

説明

ALL [ PRIVILEGES ]

すべて

指定されたオブジェクト型のすべての権限を付与します。

APPLY MASKING POLICY

グローバル

テーブルまたはビューの列に、列レベルのセキュリティマスキングポリシーを設定する機能を付与します。

APPLY ROW ACCESS POLICY

グローバル

テーブルまたはビューに、行レベルのセキュリティ行アクセスポリシーを追加およびドロップする機能を付与します。

APPLY TAG

グローバル

Snowflakeオブジェクトにタグを追加またはドロップする機能を付与します。

ATTACH POLICY

グローバル

アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。

CREATE <オブジェクト型>

グローバル、データベース、スキーマ

<オブジェクト型> のオブジェクトを作成する権限を付与します(例: CREATE TABLE はスキーマ内にテーブルを作成する権限を付与)。

CREATE ACCOUNT

グローバル

管理アカウントを作成する機能を付与します。現在は、コンシューマーとデータを共有するためのリーダーアカウントを作成するデータプロバイダーのみに適用されます。

CREATE SHARE

グローバル

共有を作成する機能を付与します。他のアカウントとデータを共有するためのデータプロバイダーに適用されます。

DELETE

テーブル

テーブルで DELETE コマンドを実行する機能を付与します。

EXECUTE MANAGED TASK

グローバル

Snowflakeが管理するコンピューティングリソース(サーバーレスコンピューティングモデル)に依存するタスクを作成する機能を付与します。サーバーレスタスクを作成するためにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。

EXECUTE TASK

グローバル

ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。

IMPORT SHARE

グローバル

データコンシューマーに適用されます。アカウントと共有されている共有を表示する機能を付与します。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。

OVERRIDE SHARE RESTRICTIONS

グローバル

Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。

IMPORTED PRIVILEGES

データベース、Data Exchange

所有するロール以外のロールが共有データベースにアクセス、またはSnowflake Data MarketplaceまたはData Exchangeを管理できるようにする権限を付与します。

INSERT

テーブル

テーブルで INSERT コマンドを実行する権限を付与します。

MANAGE GRANTS

グローバル

呼び出しロールがオブジェクトの所有者であるかのように、オブジェクトの権限を付与または取り消す機能を付与します。

MODIFY

リソースモニター、ウェアハウス、Data Exchangeリスト、データベース、スキーマ

オブジェクトの設定またはプロパティを変更する権限を付与します(例: 仮想ウェアハウスで、仮想ウェアハウスのサイズを変更する機能を提供)。

MONITOR

ユーザー、リソースモニター、ウェアハウス、データベース、スキーマ、タスク

オブジェクト内の詳細を表示する権限を付与します(例: ウェアハウス内のクエリや使用法)。

MONITOR EXECUTION

グローバル

アカウント内のパイプ(Snowpipe)またはタスクをモニターする機能を付与します。

MONITOR USAGE

グローバル

データベースおよびウェアハウスのアカウントレベルの使用法と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化により、従来のウェブインターフェイス内で使用量と請求履歴をモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。

OPERATE

ウェアハウス、タスク

仮想ウェアハウスを開始、停止、一時停止、または再開する権限を付与します。タスクを中断または再開する権限を付与します。

OWNERSHIP

すべて

オブジェクトへのアクセスを削除、変更、付与または取り消す機能を付与します。オブジェクトの名前を変更するために必要です。OWNERSHIP は、オブジェクトを作成したロールに自動的に付与されるオブジェクトに対する特別な権限ですが、所有ロール(または MANAGE GRANTS 権限のある任意のロール)によって GRANT OWNERSHIP コマンドを使用して別のロールに譲渡することもできます。

REFERENCES

テーブル、外部テーブル、ビュー

オブジェクトの構造を表示する機能を付与します(データは除く)。 . . テーブルの場合、権限は、外部キー制約の一意/プライマリのキーテーブルとしてオブジェクトを参照する機能も付与します。

SELECT

テーブル、外部テーブル、ビュー、ストリーム

テーブル/ビューで SELECT ステートメントを実行する権限を付与します。

TRUNCATE

テーブル

テーブルで TRUNCATE TABLE コマンドを実行する機能を付与します。

UPDATE

テーブル

テーブルで UPDATE コマンドを実行する権限を付与します。

USAGE

ウェアハウス、Data Exchangeリスト、データベース、スキーマ

オブジェクトに対して USE <オブジェクト> コマンドを実行する権限を付与します。また、データベースまたはスキーマ内のオブジェクトに対して SHOW <オブジェクト> コマンドを実行する機能を付与します。ただし、実行中のロールもそのオブジェクトに対して少なくとも1つの権限を持つ場合にのみ、含まれるオブジェクトが出力にリストされます。

このトピックの残りのセクションでは、各タイプのオブジェクトで使用可能な特定の権限とその使用法について説明します。

グローバル権限

権限

使用法

メモ

APPLY MASKING POLICY

テーブルまたはビューの列に、列レベルのセキュリティマスキングポリシーを設定する機能を付与します。

APPLY ROW ACCESS POLICY

テーブルまたはビューに、行レベルのセキュリティ行アクセスポリシーを追加およびドロップする機能を付与します。

APPLY TAG

Snowflakeオブジェクトにタグを追加またはドロップする機能を付与します。

ATTACH POLICY

アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。

CREATE USER

新しいユーザーを作成できるようにします。

CREATE ROLE

新しいロールを作成できるようにします。

MANAGE GRANTS

ロールが所有者ではないオブジェクトに対する権限の付与または取り消しを有効にします。

SYSADMIN ロール(またはそれ以上)によって付与される必要があります。

CREATE WAREHOUSE

新しい仮想ウェアハウスを作成できるようにします。

CREATE DATA EXCHANGE LISTING

新しいData Exchangeリストの作成を有効にします。

ACCOUNTADMIN ロールによって付与される必要があります。

CREATE DATABASE

新しいデータベース、または既存のデータベースの複製を作成できるようにします。

SYSADMIN ロール(またはそれ以上)によって付与される必要があります。

CREATE INTEGRATION

新しい通知、セキュリティ、またはストレージ統合を作成できるようにします。

ACCOUNTADMIN ロールによって付与される必要があります。

CREATE NETWORK POLICY

新しいネットワークポリシーの作成を有効にします。

EXECUTE MANAGED TASK

Snowflakeが管理するコンピューティングリソース(サーバーレスコンピューティングモデル)に依存するタスクを作成する機能を付与します。サーバーレスタスクにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。

ACCOUNTADMIN ロールによって付与される必要があります。

EXECUTE TASK

ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。

ACCOUNTADMIN ロールによって付与される必要があります。

MONITOR EXECUTION

アカウント内のパイプまたはタスクをモニターする機能を付与します。

ACCOUNTADMIN ロールによって付与される必要があります。USAGE 権限は、これらのオブジェクトを格納する各データベースとスキーマにも必要です。

CREATE SHARE

データプロバイダーが新しい共有を作成できるようにします。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

ACCOUNTADMIN ロールによって付与される必要があります。

IMPORT SHARE

データコンシューマーがアカウントで共有されている共有を表示できるようにします。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

ACCOUNTADMIN ロールによって付与される必要があります。

OVERRIDE SHARE RESTRICTIONS

Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。

詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。

CREATE ACCOUNT

データプロバイダーが新しい管理アカウント(つまり、リーダーアカウント)を作成できるようにします。詳細については、 リーダーアカウントの管理 をご参照ください。

ACCOUNTADMIN ロールによって付与される必要があります。

MONITOR USAGE

データベースおよびウェアハウスのアカウントレベルの使用法と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化により、従来のウェブインターフェイス内で使用量と請求履歴をモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。

ACCOUNTADMIN ロールによって付与される必要があります。

ALL [ PRIVILEGES ]

すべてのグローバル権限を付与します。

ユーザーの権限

権限

使用法

MONITOR

ユーザーのログイン履歴を表示する権限を付与します。

OWNERSHIP

ユーザー/ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ユーザーで、 OWNERSHIP を除くすべての権限を付与します。

ロールの権限

権限

使用法

OWNERSHIP

ユーザー/ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。所有者のロールは、所有済みロールに付与された権限を継承しないことに注意してください。ロールから権限を継承するには、そのロールを別のロールに付与して、ロール階層に親子関係を作成する必要があります。

リソースモニター権限

権限

使用法

MODIFY

月次クレジットクォータの変更など、リソースモニターのプロパティを変更できるようにします。

MONITOR

リソースモニターを表示できるようにします。

ALL [ PRIVILEGES ]

リソースモニターで、 OWNERSHIP を除くすべての権限を付与します。

仮想ウェアハウスの権限

権限

使用法

MODIFY

サイズの変更など、ウェアハウスのプロパティを変更できます。 . . ウェアハウスをリソースモニターに割り当てるために必要です。ACCOUNTADMIN ロールのみがウェアハウスをリソースモニターに割り当てることができることに注意してください。

MONITOR

ウェアハウスで実行された現在および過去のクエリと、ウェアハウスでの使用状況の統計を表示できます。

OPERATE

ウェアハウスの状態(停止、開始、一時停止、再開)を変更し、実行中のクエリを中止できるようにします。

USAGE

仮想ウェアハウスを使用できるようにし、その結果として、ウェアハウスでクエリを実行します。

OWNERSHIP

ウェアハウスに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ウェアハウスで、 OWNERSHIP を除くすべての権限を付与します。

接続の権限

なし。

統合権限

権限

使用法

USAGE

ステージの作成時( CREATE STAGE を使用)またはステージの変更時( ALTER STAGE を使用)に、ストレージ統合を参照できるようにします。

USE_ANY_ROLE

この権限がクライアントまたはユーザーに付与されている場合のみ、外部 OAuth クライアントまたはユーザーは、ロールを切り替えることができます。 CREATE SECURITY INTEGRATION または ALTER SECURITY INTEGRATION を使用して、 EXTERNAL_OAUTH_ANY_ROLE_MODE パラメーターを使用するように外部 OAuth セキュリティ統合を構成します。

OWNERSHIP

統合に対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

統合で、 OWNERSHIP を除くすべての権限を付与します。

ネットワークポリシーの権限

権限

使用法

OWNERSHIP

ネットワークポリシーに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

Data Exchangeの権限

権限

使用法

IMPORTED PRIVILEGES

所有するロール以外のロールがSnowflake Data MarketplaceまたはDataExchangeを管理できるようにします。

Data Exchangeリスト権限

注釈

現在、Data Exchangeリストに対する権限は、Snowflakeウェブインターフェイスでのみ付与できます。手順については、 他のロールに権限を付与 をご参照ください。

権限

使用法

MODIFY

所有するロール以外のロールがSnowflake Data MarketplaceまたはDataExchangeリストを変更できるようにします。

USAGE

Snowflake Data MarketplaceまたはDataExchangeリストを表示できるようにします。

OWNERSHIP

Snowflake Data MarketplaceまたはDataExchangeリストの包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

Snowflake Data MarketplaceまたはDataExchangeリストで、 OWNERSHIP を除くすべての権限を付与します。

データベース権限

権限

使用法

MODIFY

データベースの設定を変更できるようにします。

MONITOR

データベースで DESCRIBE コマンドを実行できるようにします。

USAGE

データベースを使用できるようにします。データベース内のオブジェクトを表示またはアクションを実行するには、追加の権限が必要です。

CREATE SCHEMA

スキーマの複製など、データベースでの新しいスキーマを作成できるようにします。

IMPORTED PRIVILEGES

所有するロール以外のロールが共有データベースにアクセスできるようにします。共有データベースにのみ適用されます。

OWNERSHIP

データベースに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

データベースで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • コメントを含め、データベースのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。

  • いずれか のデータベース権限がロールに付与されている場合、そのロールは完全修飾名を使用して、スキーマ内のオブジェクトに対して SQL アクションを実行できます。ロールには、スキーマに対する USAGE 権限と、オブジェクトに対する必須の権限が必要です。ユーザーセッションでデータベースをアクティブデータベースにするには、データベースに対する USAGE 権限が必要です。

スキーマ権限

権限

使用法

MODIFY

スキーマの設定を変更できるようにします。

MONITOR

スキーマで DESCRIBE コマンドを実行できるようにします。

USAGE

SHOW SCHEMAS コマンドを実行してデータベースのスキーマ詳細をリストするなど、スキーマを使用できるようにします。 . . スキーマ内のオブジェクト(テーブル、ビュー、ステージ、ファイル形式、シーケンス、パイプ、または関数)に対して SHOW <オブジェクト> コマンドを実行するには、ロールにはオブジェクトに対して少なくとも1つの権限が付与されている必要があります。

CREATE TABLE

テーブルの複製など、スキーマで新しいテーブルを作成できるようにします。この権限は、現在のユーザーセッションにスコープされ、セッションの終了時に自動的に削除される一時テーブルを作成するためには 不必要 であることに注意してください。

CREATE EXTERNAL TABLE

スキーマで新しい外部テーブルを作成できるようにします。

CREATE VIEW

スキーマで新しいビューを作成できるようにします。

CREATE MATERIALIZED VIEW

スキーマで新しいマテリアライズドビューを作成できるようにします。

CREATE MASKING POLICY

スキーマで、新しい 列レベルのセキュリティ マスキングポリシーを作成できるようにします。

CREATE ROW ACCESS POLICY

スキーマで、新しい 行アクセスポリシー 行アクセスポリシーを作成できるようにします。

CREATE STAGE

ステージの複製など、スキーマで新しいステージを作成できるようにします。

CREATE FILE FORMAT

ファイル形式の複製など、スキーマで新しいファイル形式を作成できるようにします。

CREATE SEQUENCE

シーケンスの複製など、スキーマで新しいシーケンスを作成できるようにします。

CREATE FUNCTION

スキーマに新しい UDF または外部関数を作成できるようにします。

CREATE PIPE

スキーマで新しいパイプを作成できるようにします。

CREATE STREAM

ストリームの複製など、スキーマで新しいストリームを作成できるようにします。

CREATE TASK

タスクの複製など、スキーマで新しいタスクを作成できるようにします。

CREATE PROCEDURE

スキーマで新しいストアドプロシージャを作成できるようにします。

OWNERSHIP

スキーマに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

スキーマで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • コメントを含め、スキーマのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。

  • スキーマの操作には、親データベースでの USAGE 権限も必要です。

テーブル権限

権限

使用法

SELECT

テーブルで SELECT ステートメントを実行できるようにします。

INSERT

テーブルで INSERT コマンドを実行できるようにします。また、 RECLUSTER 句を指定した ALTER TABLE コマンドを使用して、クラスタリングキーでテーブルを手動で再クラスター化することもできます。

UPDATE

テーブルで UPDATE コマンドを実行できるようにします。

TRUNCATE

テーブルで TRUNCATE TABLE コマンドを実行できるようにします。

DELETE

テーブルで DELETE コマンドを実行できるようにします。

REFERENCES

テーブルを外部キー制約の一意/プライマリのキーテーブルとして参照できるようにします。さらに、 DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、テーブルの構造(データを除く)を表示できます。

OWNERSHIP

テーブルに対する包括的な制御を付与します。再クラスタリングを除き、テーブルのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

テーブルで、 OWNERSHIP を除くすべての権限を付与します。

注釈

テーブルを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

外部テーブル権限

権限

使用法

SELECT

外部テーブルで SELECT ステートメントを実行できるようにします。

REFERENCES

DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、外部テーブルの構造(データを除く)を表示できます。

OWNERSHIP

外部テーブルに対する包括的な制御を付与します。外部テーブルを更新するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

外部テーブルで、 OWNERSHIP を除くすべての権限を付与します。

注釈

外部テーブルを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

ビュー権限

次の権限は、標準ビューとマテリアライズドビューの両方に適用されます。

権限

使用法

SELECT

ビューで SELECT ステートメントを実行できるようにします。

REFERENCES

DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、ビューの構造(データを除く)を表示できます。

OWNERSHIP

ビューに対する包括的な制御を付与します。ビューを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ビューで、 OWNERSHIP を除くすべての権限を付与します。

注釈

ビューで SELECT 権限のあるユーザーは、ビューが使用するテーブルでの SELECT 権限は不要です。これは、ビューを使用して、ロールに対しテーブルのサブセットのみへのアクセスを付与できることを意味します。たとえば、同じテーブル内に医療診断情報ではなく医療請求情報にアクセスするビューを作成し、そのビューに対する権限を ACCOUNTANT ロールに付与して、会計士が患者の診断を表示せずに請求情報を確認できるようにします。

ビューを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

ステージ権限

権限

使用法

USAGE

SQL ステートメントで外部ステージオブジェクトを使用できるようにします。内部ステージには適用されません。

READ

内部ステージ(GETLISTCOPY INTO <テーブル> など)からの読み取りを必要とする操作を実行できるようにします。外部ステージには適用されません。

WRITE

内部ステージ(PUTREMOVECOPY INTO <場所> など)への書き込みが必要な操作を実行できるようにします。外部ステージには適用されません。

OWNERSHIP

ステージに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ステージ(内部または外部)で、 OWNERSHIP を除くすべての該当する権限を付与します。

注釈

  • 内部ステージに READ 権限と WRITE 権限の両方を付与する場合、 READ 権限は WRITE 権限の前か、同時に付与する必要があります。

  • 内部ステージの READ 権限と WRITE 権限の両方を取り消す場合、WRITE 権限は READ 権限の前か、同時に取り消す必要があります。

  • ステージでの操作には、親データベースとスキーマでの USAGE 権限も必要です。

ファイル形式権限

権限

使用法

USAGE

SQL ステートメントでファイル形式が使用できるようになります。

OWNERSHIP

ファイル形式に対する包括的な制御を付与します。ファイル形式を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ファイル形式で OWNERSHIP を除くすべての権限を付与します。

注釈

ファイル形式を操作するには、親データベースとスキーマでの USAGE 権限も必要です。

パイプ権限

パイプオブジェクトは、Snowpipeを使用してデータをロードするために作成および管理されます。

権限

使用法

MONITOR

パイプの詳細の表示を有効にします(DESCRIBE PIPE または SHOW PIPES を使用)。

OPERATE

パイプの詳細の表示(DESCRIBE PIPE または SHOW PIPES を使用)、パイプの一時停止または再開、およびパイプの更新を有効にします。

OWNERSHIP

パイプに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

パイプで、 OWNERSHIP を除くすべての権限を付与します。

注釈

パイプで操作するには、親データベースとスキーマでの USAGE 権限も必要です。

ストリーム権限

権限

使用法

SELECT

ストリームでの SELECT ステートメントを実行できるようにします。

OWNERSHIP

ストリームに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ストリームで、 OWNERSHIPを除くすべての権限を付与します。

タスク権限

権限

使用法

MONITOR

タスクの詳細の表示を有効にします( DESCRIBE TASK または SHOW TASKSを使用)。

OPERATE

タスクの詳細の表示( SHOW TASKSを使用)およびタスクの再開または一時停止を有効にします。

OWNERSHIP

タスクに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

タスクで、 OWNERSHIP を除くすべての権限を付与します。

マスキングポリシーの権限

権限

使用法

APPLY

列レベルのセキュリティ マスキングポリシーの設定解除および設定操作の適用、およびテーブルとビューでの DESCRIBE 操作の実行を有効にします。

OWNERSHIP

マスキングポリシーに対する包括的な制御を付与します。マスキングポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

マスキングポリシー上で動作するには、親データベースとスキーマでの USAGE 権限も必要です。

行アクセスポリシーの権限

権限

使用法

APPLY

テーブルまたはビューの 行アクセスポリシー 行アクセスポリシーの追加およびドロップ操作を有効にし、テーブルとビューの DESCRIBE 操作を実行します。

OWNERSHIP

行アクセスポリシーに対する包括的な制御を付与します。行アクセスポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

行アクセスポリシー上で動作するには、親データベースとスキーマでの USAGE 権限も必要です。

タグの権限

権限

使用法

APPLY

Snowflakeオブジェクトのタグの追加およびドロップ操作を有効にします。

OWNERSHIP

タグに対する包括的な制御を付与します。タグのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

タグはスキーマレベルで保存されます。

タグを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

シーケンス権限

権限

使用法

USAGE

SQL ステートメントでシーケンスが使用できるようになります。

ALL [ PRIVILEGES ]

シーケンスで、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

シーケンスに対する包括的な制御を付与します。シーケンスを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

シーケンスを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

ストアドプロシージャの権限

権限

使用法

USAGE

ストアドプロシージャの呼び出しができるようになります。

ALL [ PRIVILEGES ]

ストアドプロシージャで、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

ストアドプロシージャに対する包括的な制御を付与します。ストアドプロシージャを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

  • ストアドプロシージャを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

  • ストアドプロシージャが呼び出し元の権限で実行される場合、ストアドプロシージャを呼び出すユーザーは、ストアドプロシージャがアクセスするデータベースオブジェクト(例:テーブル)に対する権限を持っている必要があります。詳細については、 呼び出し元権限と所有者権限のストアドプロシージャの理解 をご参照ください。

ユーザー定義関数(UDF)および外部関数権限

権限

使用法

USAGE

UDF または外部関数の呼び出しができるようになります。

ALL [ PRIVILEGES ]

UDF または外部関数で、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

UDF または外部関数に対する包括的な制御を付与します。 UDF または外部関数を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

注釈

  • UDF または外部関数を操作するには、親データベースとスキーマでの USAGE 権限も必要です。

  • UDF の所有者は、関数がアクセスするオブジェクトに対する権限を持っている必要があります。UDF を呼び出すユーザーは、これらの権限を必要としません。詳細については、 SQL UDFs のセキュリティ/権限要件 をご参照ください。

  • 外部関数の所有者は、外部関数に関連付けられた API 統合オブジェクトに対する USAGE 権限を持っている必要があります。詳細については、外部関数に関するドキュメントの アクセス制御 をご参照ください。