アクセス制御権限

このトピックでは、Snowflakeアクセス制御モデルで使用可能な権限について説明します。システム内のオブジェクトに対してユーザーが実行できる操作を指定するために、ロールに権限が付与され、ユーザーにロールが付与されます。

このトピックの内容:

すべての権限(アルファベット順)

Snowflakeアクセス制御モデルでは、次の権限を使用できます。各権限の意味は、適用されるオブジェクトの種類によって異なり、すべてのオブジェクトがすべての権限をサポートしているわけではありません。

権限

オブジェクト型

説明

ALL [ PRIVILEGES ]

すべて

指定されたオブジェクトタイプのすべての権限を付与します。

APPLY AGGREGATION POLICY

グローバル

テーブルまたはビューに対して集計ポリシーを追加およびドロップする機能を付与します。

APPLYBUDGET

データベース、スキーマ、テーブル、ハイブリッドテーブル、Icebergテーブル、ウェアハウス、タスク、パイプ、マテリアライズドビュー

予算 にオブジェクトを追加または削除する機能を付与します。

APPLY AUTHENTICATION POLICY

グローバル

SnowflakeアカウントまたはSnowflakeアカウントのユーザーに認証ポリシーを追加またはドロップする機能を付与します。

APPLY MASKING POLICY

グローバル

テーブルまたはビューの列に対して列レベルのセキュリティマスキングポリシーを設定する機能と、タグにマスキングポリシーを設定する機能を付与します。このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY PACKAGES POLICY

グローバル

Snowflakeアカウントにパッケージポリシーを追加またはドロップする機能を付与します。

APPLY PASSWORD POLICY

グローバル

SnowflakeアカウントまたはSnowflakeアカウントのユーザーにパスワードポリシーを追加またはドロップする機能を付与します。

APPLY PROJECTION POLICY

グローバル

テーブルまたはビューに対して投影ポリシーを追加およびドロップする機能を付与します。

APPLY ROW ACCESS POLICY

グローバル

テーブルまたはビューに対して行アクセスポリシーを追加およびドロップする機能を付与します。このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY SESSION POLICY

グローバル

アカウントまたはユーザーに対してセッションポリシーを設定または設定解除する機能を付与します。

APPLY TAG

グローバル

Snowflakeオブジェクトにタグを追加またはドロップする機能を付与します。

ATTACH POLICY

グローバル

アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。

AUDIT

グローバル

ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR ユーザーパラメーターを設定する権限を付与します。

BIND SERVICE ENDPOINT

グローバル

パブリックエンドポイントをサポートするサービスを作成できるようにします。パブリックエンドポイントについての詳細は イングレス: Snowflake外部からのサービスの使用 をご参照ください。

CREATE <オブジェクト型>

グローバル、データベース、スキーマ

<オブジェクト型> のオブジェクトを作成する権限を付与します(例: CREATE TABLE はスキーマ内にテーブルを作成する権限を付与)。

DELETE

テーブル、ハイブリッドテーブル、Icebergテーブル

テーブルで DELETE コマンドを実行する機能を付与します。

EVOLVE SCHEMA

テーブル

データ読み込み中にテーブルで スキーマ進化 が発生する機能を付与します。

EXECUTE ALERT

グローバル

ロールが所有するアラートを実行する権限を付与します。

EXECUTE MANAGED TASK

グローバル

サーバーレスコンピューティングリソースに依存するタスクを作成する機能を付与します。サーバーレスタスクを作成するためにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。

EXECUTE TASK

グローバル

ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。

FAILOVER

フェールオーバーグループ

セカンダリフェールオーバーグループをプライマリとして昇格させる権限を付与します。

IMPORT SHARE

グローバル

データコンシューマーに適用されます。アカウントと共有されている共有を表示する機能を付与します。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。

OVERRIDE SHARE RESTRICTIONS

グローバル

Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、共有の SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。

IMPORTED PRIVILEGES

データベース、Data Exchange

所有するロール以外のロールが共有データベースにアクセス、またはSnowflake MarketplaceまたはData Exchangeを管理できるようにする権限を付与します。

INSERT

テーブル、ハイブリッドテーブル、Icebergテーブル

テーブルで INSERT コマンドを実行する権限を付与します。

MANAGE GRANTS

グローバル

呼び出しロールがオブジェクトの所有者であるかのように、オブジェクトの権限を付与または取り消す機能を付与します。

MANAGE LISTING AUTOFULFILLMENT

グローバル

クロスクラウド自動複製 を使用してリモートリージョンにリストを公開し、リストの自動複製設定を管理する機能を付与します。

MANAGE WAREHOUSES

グローバル

同一アカウント内の ウェアハウスに対する MODIFY、 MONITOR、および OPERATE の権限 を必要とする操作を実行する機能を付与します。

MODIFY

リソースモニター、ウェアハウス、Data Exchangeリスト、データベース、スキーマ、フェールオーバーグループ、複製グループ、コンピューティングプール

オブジェクトの設定またはプロパティを変更する権限を付与します(例: 仮想ウェアハウスで、仮想ウェアハウスのサイズを変更する機能を提供)。

MODIFY LOG LEVEL

グローバル

現在のアカウントのストアドプロシージャと UDFs に対してキャプチャされるログメッセージのレベルの設定を有効にします。詳細については、 LOG_LEVEL をご参照ください。

MODIFY SESSION LOG LEVEL

グローバル

現在のセッションで呼び出される、ストアドプロシージャと UDFs に対してキャプチャされるログメッセージのレベルの設定を有効にします。詳細については、 LOG_LEVEL をご参照ください。

MODIFY TRACE LEVEL

グローバル

現在のアカウントのストアドプロシージャと UDFs に対してキャプチャされるトレースイベントのレベルの設定を有効にします。イベントをトレースするときは、サポートされている値の1つに LOG_LEVEL パラメーターを設定する必要もあります。詳細については、 TRACE_LEVEL をご参照ください。

MODIFY SESSION TRACE LEVEL

グローバル

現在のセッションで呼び出される、ストアドプロシージャと UDFs に対してキャプチャされるトレースイベントのレベル設定を有効にします。イベントをトレースするときは、サポートされている値の1つに LOG_LEVEL パラメーターを設定する必要もあります。詳細については、 TRACE_LEVEL をご参照ください。

MONITOR

ユーザー、リソースモニター、ウェアハウス、データベース、スキーマ、タスク、フェールオーバーグループ、複製グループ、アラート、コンピューティングプール、サービス、動的テーブル

オブジェクト内の詳細を表示する権限を付与します(例: ウェアハウス内のクエリや使用)。

MONITOR EXECUTION

グローバル

アカウント内のパイプ(Snowpipe)またはタスクをモニターする機能を付与します。

MONITOR SECURITY

グローバル

顧客が管理するキー に関するシステム関数を呼び出す機能を付与します。

MONITOR USAGE

グローバル

データベースおよびウェアハウスのアカウントレベルの使用と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化による、従来のコンソール内での使用状況と請求履歴のモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。

OPERATE

ウェアハウス、タスク、動的テーブル、アラート、コンピューティングプールサービス

仮想ウェアハウスを開始、停止、中断、または再開する権限を付与します。タスクを中断または再開する権限を付与します。動的テーブルとして中断、再開、またはリフレッシュする機能を付与します。コンピューティングプールにタスクを中断または再開する権限を付与します。Snowpark Container Servicesサービスの中断、再開、サービスのアップグレード、サービスプロパティの設定、設定解除を行う機能を提供します。

OWNERSHIP

すべて

オブジェクトへのアクセスをドロップ、変更、付与または取り消す機能を付与します。オブジェクトの名前を変更し、オブジェクト自身と同じ名前の仮オブジェクトを作成するために必要です。OWNERSHIP は、オブジェクトを作成したロールに自動的に付与されるオブジェクトに対する特別な権限ですが、所有ロールまたは MANAGE GRANTS 権限のある任意のロールにより GRANT OWNERSHIP コマンドを使用して、別のロールに譲渡することもできます。

PURCHASE DATA EXCHANGE LISTING

グローバル

有料リストを購入する機能を付与します。

READ

ステージ(内部のみ)、コンピューティングプール、イメージリポジトリ

内部ステージ(GETLISTCOPY INTO <テーブル> など)からの読み取りを必要とする、すべての操作を実行する機能を付与します。イメージリポジトリからイメージをダウンロードする権限を付与します。Snowpark Container servicesサービスを作成するには、ステージ上の READ 権限とイメージリポジトリが必要です。

REFERENCES

テーブル、ハイブリッドテーブル、Icebergテーブル、外部テーブル、ビュー

オブジェクトの構造を表示する機能を付与します(データは除く)。 . . テーブルの場合、権限は、外部キー制約の一意のキー/主キーのテーブルとしてオブジェクトを参照する機能も付与します。

REPLICATE

複製グループ、フェールオーバーグループ

セカンダリ複製またはフェールオーバーグループを更新する機能を付与します。

RESOLVE ALL

グローバル

対応する SHOW <オブジェクト> コマンドでオブジェクトを出力する、アカウント内のすべてのオブジェクトを解決できる権限を付与します。

SELECT

テーブル、ハイブリッドテーブル、Icebergテーブル、外部テーブル、ビュー、ストリーム

テーブル/ビューで SELECT ステートメントを実行する権限を付与します。

TRUNCATE

テーブル、ハイブリッドテーブル、Icebergテーブル

テーブルで TRUNCATE TABLE コマンドを実行する機能を付与します。

UPDATE

テーブル、ハイブリッドテーブル、Icebergテーブル

テーブルで UPDATE コマンドを実行する権限を付与します。

USAGE

ウェアハウス、Data Exchangeリスト、統合、データベース、スキーマ、ステージ(外部のみ)、ファイル形式、シーケンス、ストアドプロシージャ、ユーザー定義関数、外部関数、コンピューティングプール、サービス

オブジェクトで USE <オブジェクト> コマンドを実行する機能を付与します。オブジェクトで SHOW <オブジェクト> コマンドを実行する機能を付与します。Snowpark Container Servicesサービスを作成するには、コンピューティングプールの使用が必要です。サービスのエンドポイントをリストするには、Snowpark Container Servicesサービスの使用が必要です。

WRITE

ステージ(内部のみ)、イメージリポジトリ

内部ステージ(PUTREMOVECOPY INTO <場所> など)への書き込みを必要とする、すべての操作を実行する機能を付与します。イメージリポジトリにイメージをアップロードする権限を付与します。

このトピックの残りのセクションでは、各タイプのオブジェクトで使用可能な特定の権限とその使用法について説明します。

グローバル権限(アカウントレベルの権限)

権限

使用状況

メモ

APPLY AGGREGATION POLICY

テーブルまたはビューに対して集計ポリシーを追加およびドロップする機能を付与します。

このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY AUTHENTICATION POLICY

SnowflakeアカウントまたはSnowflakeアカウントのユーザーに認証ポリシーを追加またはドロップする機能を付与します。

APPLY MASKING POLICY

テーブルまたはビューの列に対して列レベルのセキュリティマスキングポリシーを設定する機能と、タグにマスキングポリシーを設定する機能を付与します。

このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY ROW ACCESS POLICY

テーブルまたはビューに対して行アクセスポリシーを追加およびドロップする機能を付与します。

このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY PACKAGES POLICY

Snowflakeアカウントにパッケージポリシーを追加またはドロップする機能を付与します。

APPLY PASSWORD POLICY

SnowflakeアカウントまたはSnowflakeアカウントのユーザーにパスワードポリシーを追加またはドロップする機能を付与します。

APPLY PROJECTION POLICY

テーブルまたはビューに対して投影ポリシーを追加およびドロップする機能を付与します。

このグローバル権限により、テーブルとビューで DESCRIBE 操作を実行することもできます。

APPLY SESSION POLICY

アカウントまたはユーザーに対してセッションポリシーを設定または設定解除する機能を付与します。

ATTACH POLICY

アカウントに関連付けることでネットワークポリシーをアクティブ化する機能を付与します。

AUDIT

ENABLE_UNREDACTED_QUERY_SYNTAX_ERROR ユーザーパラメーターを設定する権限を付与します。

BIND SERVICE ENDPOINT

パブリックエンドポイントをサポートするサービスを作成できるようにします。パブリックエンドポイントの詳細については、 イングレス: Snowflake外部からのサービスの使用 をご参照ください

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE ACCOUNT

データプロバイダーが新しい管理アカウント(つまり、リーダーアカウント)を作成できるようにします。詳細については、 リーダーアカウントの管理 をご参照ください。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE COMPUTE POOL

Snowpark Container Servicesサービスを実行するためのコンピューティングプールを作成できます。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE DATABASE

新しい データベース を作成できるようにします。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE EXTERNAL VOLUME

Icebergテーブル の新しい外部ボリュームを作成できるようにします。

CREATE FAILOVER GROUP

新しい フェールオーバーグループ を作成できるようにします。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE REPLICATION GROUP

新しい 複製グループ を作成できるようにします。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE ROLE

新しいロールを作成できるようにします。

CREATE USER

新しいユーザーを作成できるようにします。

CREATE DATA EXCHANGE LISTING

新しいData Exchangeリストの作成を有効にします。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE INTEGRATION

新しいカタログ、通知、セキュリティ、またはストレージ統合を作成できるようにします。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE NETWORK POLICY

新しいネットワークポリシーの作成を有効にします。

CREATE SHARE

データプロバイダーが新しい共有を作成できるようにします。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

ACCOUNTADMIN ロールによって付与する必要があります。

CREATE WAREHOUSE

新しい仮想ウェアハウスを作成できるようにします。

EXECUTE ALERT

ロールが所有するアラートを実行する権限を付与します。

ACCOUNTADMIN ロールによって付与する必要があります。

EXECUTE MANAGED TASK

サーバーレスコンピューティングリソースに依存するタスクを作成する機能を付与します。サーバーレスタスクにのみ必要です。タスクに対して OWNERSHIP 権限を持つロールは、タスクを実行するために EXECUTE MANAGED TASK 権限と EXECUTE TASK 権限の両方を持っている必要があります。

ACCOUNTADMIN ロールによって付与する必要があります。

EXECUTE TASK

ロールが所有するタスクを実行する権限を付与します。サーバーレスタスクを実行するには、タスクに対して OWNERSHIP 権限を持つロールに、 EXECUTE MANAGED TASK グローバル権限も必要です。

ACCOUNTADMIN ロールによって付与する必要があります。

IMPORT SHARE

データコンシューマーが自分のアカウントと共有されている共有を表示できるようにします。また、共有からデータベースを作成する機能も付与します。CREATE DATABASE グローバル権限が必要です。詳細については、 ACCOUNTADMIN 以外のロールによる、データ共有タスクの実行の有効化 をご参照ください。

ACCOUNTADMIN ロールによって付与する必要があります。

MANAGE GRANTS

ロールが所有者ではないオブジェクトに対する権限の付与または取り消しを有効にします。

SECURITYADMIN ロール(またはそれ以上)によって付与される必要があります。

MANAGE WAREHOUSES

同一アカウント内の ウェアハウスに対する MODIFY、 MONITOR、および OPERATE の権限 を必要とする操作を実行する機能を付与します。

ACCOUNTADMIN ロールによって付与する必要があります。

MANAGE LISTING AUTOFULFILLMENT

クロスクラウド自動複製 を使用してリモートリージョンにリストを公開し、リストの自動複製設定を管理する機能を付与します。

ORGADMIN ロール によって権限を委任された後、 ACCOUNTADMIN ロールによって付与される必要があります。

MODIFY LOG LEVEL

現在のアカウントのストアドプロシージャと UDFs に対してキャプチャされるログメッセージのレベルの設定を有効にします。

詳細については、 LOG_LEVEL をご参照ください。

MODIFY SESSION LOG LEVEL

現在のセッションで呼び出される、ストアドプロシージャと UDFs に対してキャプチャされるログメッセージのレベルの設定を有効にします。

詳細については、 LOG_LEVEL をご参照ください。

MODIFY TRACE LEVEL

現在のアカウントのストアドプロシージャと UDFs に対してキャプチャされるトレースイベントのレベルの設定を有効にします。

イベントをトレースするときは、サポートされている値の1つに LOG_LEVEL パラメーターを設定する必要もあります。詳細については、 TRACE_LEVEL をご参照ください。

MODIFY SESSION TRACE LEVEL

現在のセッションで呼び出される、ストアドプロシージャと UDFs に対してキャプチャされるトレースイベントのレベル設定を有効にします。

イベントをトレースするときは、サポートされている値の1つに LOG_LEVEL パラメーターを設定する必要もあります。詳細については、 TRACE_LEVEL をご参照ください。

MONITOR EXECUTION

アカウント内のパイプまたはタスクをモニターする機能を付与します。

ACCOUNTADMIN ロールによって付与される必要があります。USAGE 権限は、これらのオブジェクトを格納する各データベースとスキーマにも必要です。

MONITOR SECURITY

顧客が管理するキー に関するシステム関数を呼び出す機能を付与します。

MONITOR USAGE

データベースおよびウェアハウスのアカウントレベルの使用と履歴情報を監視する機能を付与します。詳細については、 非アカウント管理者の有効化による、従来のコンソール内での使用状況と請求履歴のモニター をご参照ください。さらに、 SHOW MANAGED ACCOUNTS を使用して管理アカウントを表示する機能を付与します。

ACCOUNTADMIN ロールによって付与する必要があります。

OVERRIDE SHARE RESTRICTIONS

Business Criticalプロバイダーアカウントが、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できるようにする、共有の SHARE_RESTRICTIONS パラメーターの値を設定する機能を付与します。

詳細については、 Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする をご参照ください。

PURCHASE DATA EXCHANGE LISTING

有料リストを購入する機能を付与します。

リストの支払い をご参照ください。

RESOLVE ALL

対応する SHOW <オブジェクト> コマンドでオブジェクトを出力する、アカウント内のすべてのオブジェクトを解決できる権限を付与します。

ALL [ PRIVILEGES ]

すべてのグローバル権限を付与します。

ユーザー権限

権限

使用状況

MONITOR

ユーザーのログイン履歴を表示する権限を付与します。

OWNERSHIP

ユーザー/ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ユーザーで、 OWNERSHIP を除くすべての権限を付与します。

ロール権限

権限

使用状況

OWNERSHIP

ロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。所有者のロールは、所有済みロールに付与された権限を継承しないことに注意してください。ロールから権限を継承するには、そのロールを別のロールに付与して、ロール階層に親子関係を作成する必要があります。

リソースモニター権限

権限

使用状況

MODIFY

月次クレジットクォータの変更など、リソースモニターのプロパティを変更できるようにします。

MONITOR

リソースモニターを表示できるようにします。

ALL [ PRIVILEGES ]

リソースモニターで、 OWNERSHIP を除くすべての権限を付与します。

仮想ウェアハウス権限

権限

使用状況

APPLYBUDGET

予算からウェアハウスを追加または削除できるようにします。

MODIFY

サイズの変更など、ウェアハウスのプロパティを変更できます。 . . ウェアハウスをリソースモニターに割り当てるために必要です。ACCOUNTADMIN ロールのみがウェアハウスをリソースモニターに割り当てることができることに注意してください。

MONITOR

ウェアハウスで実行された現在および過去のクエリと、ウェアハウスでの使用状況の統計を表示できます。

OPERATE

ウェアハウスの状態(停止、開始、中断、再開)を変更できるようにします。さらに、ウェアハウスで実行された現在および過去のクエリを表示し、実行中のクエリを中止できるようにします。

USAGE

仮想ウェアハウスを使用できるようにし、その結果として、ウェアハウスでクエリを実行します。SQL ステートメント(例: クエリ)が送信されたときにウェアハウスが自動再開するように構成されている場合、ウェアハウスは自動的に再開してステートメントを実行します。

OWNERSHIP

ウェアハウスに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

ウェアハウスで、 OWNERSHIP を除くすべての権限を付与します。

Tip

MANAGE WAREHOUSES グローバル権限を付与することは、アカウント内のすべてのウェアハウスに対する MODIFY、 MONITOR、 OPERATE 権限を付与することと同じです。この権限をウェアハウスの管理を目的とするロールに付与すると、Snowflakeのアクセス制御管理を簡素化できます。

詳細については、 ウェアハウス管理の委託 をご参照ください。

指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。

セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。

接続権限

ACCOUNTADMIN ロールのみが接続を所有しています。OWNERSHIP 権限を別のロールに付与することはできません。

外部ボリューム権限

権限

使用状況

USAGE

外部ボリュームを使用する他のコマンドの実行時に外部ボリュームを参照できるようにし、 SHOW または DESCRIBE コマンドで外部ボリュームの詳細を表示する権限を付与します。

OWNERSHIP

外部ボリュームに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

フェールオーバーグループ権限

権限

使用状況

MODIFY

フェールオーバーグループの任意のプロパティを変更できるようにします。

MONITOR

フェールオーバーグループの詳細を表示できるようにします。

OWNERSHIP

フェールオーバーグループに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

FAILOVER

セカンダリフェールオーバーグループを昇格して、プライマリフェールオーバーグループとして機能させられるようになります。

REPLICATE

セカンダリフェールオーバーグループを更新できるようにします。

ALL [ PRIVILEGES ]

フェールオーバーグループで、 OWNERSHIP を除くすべての権限を付与します。

複製グループ権限

権限

使用状況

MODIFY

複製グループの任意のプロパティを変更できるようにします。

MONITOR

複製グループの詳細を表示できるようにします。

OWNERSHIP

複製グループに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

REPLICATE

セカンダリ複製グループを更新できるようにします。

ALL [ PRIVILEGES ]

複製グループで、 OWNERSHIP を除くすべての権限を付与します。

統合権限

権限

使用状況

USAGE

統合を使用する他のコマンドを実行するときに、統合を参照できるようにします。詳細については、 CREATE STAGECREATE EXTERNAL ACCESS INTEGRATION のアクセス制御要件をご参照ください。

USE_ANY_ROLE

この権限がクライアントまたはユーザーに付与されている場合のみ、外部 OAuth クライアントまたはユーザーは、ロールを切り替えることができます。 CREATE SECURITY INTEGRATION または ALTER SECURITY INTEGRATION を使用して、 EXTERNAL_OAUTH_ANY_ROLE_MODE パラメーターを使用するように外部 OAuth セキュリティ統合を構成します。

OWNERSHIP

統合に対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

統合で、 OWNERSHIP を除くすべての権限を付与します。

認証ポリシー権限

権限

使用状況

OWNERSHIP

認証ポリシーの所有権を譲渡し、認証ポリシーに対する完全な制御を許可します。認証ポリシーのほとんどのプロパティを変更するために必要です。

ネットワークルールの権限

権限

使用状況

OWNERSHIP

ネットワークルールに対する包括的な制御を付与します。

ネットワークポリシー権限

権限

使用状況

OWNERSHIP

ネットワークポリシーに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

パッケージポリシー権限

権限

使用状況

OWNERSHIP

パッケージポリシーの所有権を譲渡すると、パッケージポリシーを完全に制御できるようになります。パッケージポリシーのほとんどのプロパティを変更するために必要です。

USAGE

SHOW または DESCRIBE コマンドでパッケージポリシーのコンテンツを表示する機能を付与します。

パスワードポリシー権限

権限

使用状況

OWNERSHIP

パスワードポリシーの所有権を譲渡します。これにより、パスワードポリシーを包括的に制御できます。パスワードポリシーのほとんどのプロパティを変更するために必要です。

セッションポリシー権限

権限

使用状況

OWNERSHIP

セッションポリシーの所有権を譲渡します。これにより、セッションポリシーを包括的に制御できます。セッションポリシーのほとんどのプロパティを変更するために必要です。

Data Exchange権限

権限

使用状況

IMPORTED PRIVILEGES

所有するロール以外のロールがData Exchangeを管理できるようにします。

リスト権限

注釈

リストレベルの権限を管理するには Snowsight を使用する必要があります。 他のロールへの権限付与 をご参照ください。

権限

使用状況

MODIFY

所有するロール以外のロールがリストを変更できるようにします。

USAGE

リストを表示できるようにします。

OWNERSHIP

リストに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

OWNERSHIP を除く、リストに対するすべての権限を付与します。

共有権限

権限

使用状況

OWNERSHIP

共有に対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。譲渡はできません。

データベース権限

権限

使用状況

APPLYBUDGET

予算からデータベースを追加または削除できるようにします。

MODIFY

データベースの設定を変更できるようにします。

MONITOR

データベースで DESCRIBE コマンドを実行できるようにします。

USAGE

SHOW DATABASES コマンド出力でデータベースの詳細を返すなど、データベースの使用を有効にします。データベース内にあるオブジェクトの表示またはオブジェクトに対するアクションの実行には、追加の権限が必要です。

REFERENCE_USAGE

オブジェクトが異なるデータベースにある別のオブジェクトを参照する際に、オブジェクト(例: 共有内のセキュアビュー)の使用を有効化します。他のデータベースに対する権限を共有に付与します。データベースに対するこの権限は、どの種類のロールにも付与することはできません。詳細については、 GRANT <権限> ... TO SHARE および 複数データベースからのデータの共有 をご参照ください。

CREATE DATABASE ROLE

データベースに新しいデータベースロールを作成できるようにします。

CREATE SCHEMA

スキーマの複製など、データベースでの新しいスキーマを作成できるようにします。

IMPORTED PRIVILEGES

所有するロール以外のロールが共有データベースにアクセスできるようにします。共有データベースにのみ適用されます。

OWNERSHIP

データベースに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

OWNERSHIP を除く、データベースに対するすべての権限を付与します。

注釈

  • データベースのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。

    COMMENT プロパティを更新するには、データベースに対する MODIFY 権限のみが必要です。

  • いずれか のデータベース権限がロールに付与されている場合、そのロールは完全修飾名を使用して、スキーマ内のオブジェクトに対して SQL アクションを実行できます。ロールには、スキーマに対する USAGE 権限と、オブジェクトに対する必須の権限が必要です。ユーザーセッションでデータベースをアクティブデータベースにするには、データベースに対する USAGE 権限が必要です。

  • データベースに対する OWNERSHIP 権限を持つアカウントレベルのロール(つまり、 r1)は、別のアカウントレベルのロール(つまり、 r2)に CREATE DATABASE ROLE 権限を付与できます。同様に、 r1 は、別のアカウントレベルのロールから CREATE DATABASE ROLE 権限を取り消すこともできます。

    このシナリオでは、 r2 は、そのデータベースで新しいデータベースロールを作成するために、データベースに対する USAGE 権限を持っている必要があります。

  • データベースロールを作成すると、そのデータベースロールを含むデータベースの USAGE 権限がデータベースロールに自動的に付与されます。

スキーマ権限

権限

使用状況

APPLYBUDGET

予算からスキーマを追加または削除できるようにします。

MODIFY

スキーマの設定を変更できるようにします。

MONITOR

スキーマで DESCRIBE コマンドを実行できるようにします。

USAGE

SHOW SCHEMAS コマンド出力にスキーマ詳細を返すなど、スキーマを使用できるようにします。 . . スキーマ内のオブジェクト(テーブル、ビュー、ステージ、ファイル形式、シーケンス、パイプ、または関数)に対して SHOW <オブジェクト> コマンドを実行するには、オブジェクトに対する少なくとも1つの権限がロールに付与されている必要があります。

CREATE AUTHENTICATION POLICY

スキーマでの新しい認証ポリシーの作成を有効にします。

CREATE TABLE

テーブルの複製など、スキーマで新しいテーブルを作成できるようにします。この権限は、現在のユーザーセッションにスコープされ、セッションの終了時に自動でドロップされる仮テーブルを作成するためには 不要 であることに注意してください。

CREATE DYNAMIC TABLE

スキーマで新しい 動的テーブル を作成できるようにします。

CREATE EXTERNAL TABLE

スキーマで新しい外部テーブルを作成できるようにします。

CREATE HYBRID TABLE

スキーマで新しい ハイブリッドテーブル を作成できるようにします。

CREATE ICEBERG TABLE

スキーマで新しい Icebergテーブル を作成できるようにします。

CREATE VIEW

スキーマで新しいビューを作成できるようにします。

CREATE MASKING POLICY

スキーマで、新しいマスキングポリシーを作成できるようにします。

CREATE MATERIALIZED VIEW

スキーマで新しいマテリアライズドビューを作成できるようにします。

CREATE NETWORK RULE

スキーマで新しいネットワークルールを作成できるようにします。

CREATE ROW ACCESS POLICY

スキーマで、新しい行アクセスポリシーを作成できるようにします。

CREATE SECRET

現在の/指定されたスキーマで新しいシークレットを作成できるようにするか、既存のシークレットを置き換えます。

CREATE SESSION POLICY

スキーマで、新しいセッションポリシーを作成できるようにします。

CREATE STAGE

ステージの複製など、スキーマで新しいステージを作成できるようにします。

CREATE STREAMLIT

Streamlitアプリの作成と表示ができるようにします。

CREATE FILE FORMAT

ファイル形式の複製など、スキーマで新しいファイル形式を作成できるようにします。

CREATE SEQUENCE

シーケンスの複製など、スキーマで新しいシーケンスを作成できるようにします。

CREATE FUNCTION

スキーマに新しい UDF または外部関数を作成できるようにします。

CREATE PACKAGES POLICY

スキーマでの新しいパッケージポリシーの作成を有効にします。

CREATE PASSWORD POLICY

スキーマでの新しいパスワードポリシーの作成を有効にします。

CREATE PIPE

スキーマで新しいパイプを作成できるようにします。

CREATE STREAM

ストリームの複製など、スキーマで新しいストリームを作成できるようにします。

CREATE TAG

スキーマで新しい タグキー を作成できるようにします。

CREATE TASK

タスクの複製など、スキーマで新しいタスクを作成できるようにします。

CREATE PROCEDURE

スキーマで新しいストアドプロシージャを作成できるようにします。

CREATE ALERT

スキーマで新しいアラートを作成できるようにします。

CREATE SNOWFLAKE.CORE.BUDGET

スキーマで新しい 予算 を作成できるようにします。

CREATE SNOWFLAKE.ML.FORECAST

スキーマで新しい 予測 モデルインスタンスを作成できるようにします。

CREATE SNOWFLAKE.ML.ANOMALY_DETECTION

スキーマで新しい 異常検出 モデルインスタンスを作成できるようにします。

CREATE MODEL

スキーマで機械学習モデルを作成できるようにします。

ADD SEARCH OPTIMIZATION

スキーマにあるテーブルへの 検索最適化の追加 を有効にします。

OWNERSHIP

スキーマに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

スキーマで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • コメントを含むスキーマのプロパティを変更するには、データベースの OWNERSHIP 権限が必要です。

  • スキーマの操作には、親データベースでの USAGE 権限も必要です。

テーブル権限

権限

使用状況

SELECT

テーブルで SELECT ステートメントを実行し、テーブルを 分類 できるようにします。

INSERT

テーブルで INSERT コマンドを実行できるようにします。また、 RECLUSTER 句を指定した ALTER TABLE コマンドを使用して、クラスタリングキーでテーブルを手動で再クラスター化することもできます。

UPDATE

テーブルで UPDATE コマンドを実行できるようにします。

TRUNCATE

テーブルで TRUNCATE TABLE コマンドを実行できるようにします。

DELETE

テーブルで DELETE コマンドを実行できるようにします。

EVOLVE SCHEMA

データ読み込み中にテーブルで スキーマ進化 が発生できるようにします。

REFERENCES

テーブルを外部キー制約の一意/プライマリのキーテーブルとして参照できるようにします。さらに、 DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、テーブルの構造(データを除く)を表示できます。

APPLYBUDGET

予算からテーブルを追加または削除できるようにします。

OWNERSHIP

テーブルに対する包括的な制御を付与します。再クラスタリングを除き、テーブルのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

テーブルで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • テーブルを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

  • スキーマに既存のオブジェクトと同じ名前の仮オブジェクトを作成するには、ロールにオブジェクトの権限(OWNERSHIP)を付与するか継承する必要があります。

動的テーブル権限

権限

使用状況

SELECT

動的テーブルで SELECT ステートメントを実行できるようにします。

OPERATE

動的テーブルのプロパティを変更できるようにします。

動的テーブルでこの権限を持っていない場合、次の操作を実行できる ALTER DYNAMIC TABLE コマンドは使用できません。

  • ALTER ... SUSPEND を使用して動的テーブルを中断します。

  • ALTER ... RESUME を使用して動的テーブルを再開します。

  • ALTER ... REFRESH を使用して動的テーブルをリフレッシュします。

  • ALTER ... SET を使用してウェアハウスおよび/またはターゲットラグを設定または変更します。

MONITOR

Snowsight と SQL コマンドと関数で動的テーブルのメタデータにアクセスできるようにします。

動的テーブルで MONITOR 権限を持っていない場合、次を実行できません。

  • DYNAMIC_TABLE_GRAPH_HISTORY テーブル関数を呼び出して、その動的テーブルのグラフ履歴を表示する。

  • DYNAMIC_TABLE_REFRESH_HISTORY テーブル関数を呼び出して、その動的テーブルの更新履歴を表示する。

  • SHOW DYNAMIC TABLES コマンドの出力でその動的テーブルを表示する。

  • DESCRIBE DYNAMIC TABLE コマンドの出力または Snowsight 動的テーブルの詳細ページで、その動的テーブルのメタデータを表示する。

    • MONITOR 権限を持っており、 SELECT 権限を持っていない場合、次のフィールドは非表示になります: textwarehousescheduling_statelast_suspended_onsuspend_reason_code (Snowsight でのみ非表示)。

OWNERSHIP

動的テーブルに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

動的テーブルをドロップするために必要です。

ALL [ PRIVILEGES ]

動的テーブルに対する OWNERSHIP を除くすべての権限を付与します。

イベントテーブル権限

権限

使用状況

SELECT

イベントテーブルで SELECT ステートメントを実行できるようにします。

INSERT

アカウントの OWNERSHIP と連携して、アカウントをイベントテーブルに関連付ける機能を付与します。

ALL [ PRIVILEGES ]

OWNERSHIP を除く、イベントテーブルに対するすべての権限を付与します。

OWNERSHIP

イベントテーブルの所有権を譲渡し、イベントテーブルに対する包括的な制御を許可します。 . . イベントテーブルを変更するために必要です。 . . アカウントの OWNERSHIP と連携して、アカウントをイベントテーブルに関連付ける機能を付与します。

注釈

イベントテーブルを操作するには、 親データベースとスキーマに対する USAGE 権限も必要です。

外部テーブル権限

権限

使用状況

SELECT

外部テーブルで SELECT ステートメントを実行できるようにし、外部テーブルを 分類 できるようにします。

REFERENCES

DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、外部テーブルの構造(データを除く)を表示できます。

OWNERSHIP

外部テーブルに対する包括的な制御を付与します。外部テーブルを更新するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

外部テーブルで、OWNERSHIP を除くすべての権限を付与します。

注釈

外部テーブルを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

ハイブリッドテーブル権限

権限

使用状況

SELECT

ハイブリッドテーブルで SELECT ステートメントを実行できるようにします。

INSERT

ハイブリッドテーブルで INSERT コマンドを実行できるようにします。

UPDATE

ハイブリッドテーブルで UPDATE コマンドを実行できるようにします。

TRUNCATE

ハイブリッドテーブルで TRUNCATE TABLE コマンドを実行できるようにします。

DELETE

ハイブリッドテーブルで DELETE コマンドを実行できるようにします。

REFERENCES

ハイブリッドテーブルを外部キー制約の一意/プライマリのキーテーブルとして参照できるようにします。さらに、 DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、ハイブリッドテーブルの構造(データを除く)を表示できます。

APPLYBUDGET

予算からハイブリッドテーブルを追加または削除できるようにします。

OWNERSHIP

ハイブリッドテーブルに対する包括的な制御を付与します。ハイブリッドテーブルのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

OWNERSHIP を除く、ハイブリッドテーブルに対するすべての権限を付与します。

注釈

  • ハイブリッドテーブルを操作するには、親データベースとスキーマでの USAGE 権限も必要です。

  • カタログ統合を使用するハイブリッドテーブルに INSERT、 UPDATE、 DELETE の権限を付与しても効果はありません。カタログ統合を使用するハイブリッドテーブルは読み取り専用です。

Icebergテーブル権限

権限

使用状況

SELECT

Icebergテーブルで SELECT ステートメントを実行できるようにします。

INSERT

Icebergテーブルで INSERT コマンドを実行できるようにします。

UPDATE

Icebergテーブルで UPDATE コマンドを実行できるようにします。

TRUNCATE

Icebergテーブルで TRUNCATE TABLE コマンドを実行できるようにします。

DELETE

Icebergテーブルで DELETE コマンドを実行できるようにします。

REFERENCES

Icebergテーブルを外部キー制約の一意/プライマリのキーテーブルとして参照できるようにします。DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、Icebergテーブルの構造(データを除く)も表示できます。

APPLYBUDGET

予算からIcebergテーブルを追加または削除できるようにします。

OWNERSHIP

Icebergテーブルに対する包括的な制御を付与します。Icebergテーブルのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。

ALL [ PRIVILEGES ]

Icebergテーブルで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • Icebergテーブルを操作するには、親データベースとスキーマに対する USAGE 権限も必要です。

  • カタログ統合を使用するIcebergテーブルに次の権限を付与しても効果はありません: INSERT、 UPDATE、 DELETE。カタログ統合を使用するIcebergテーブルは読み取り専用です。

ビュー権限

権限

使用状況

SELECT

ビューに対して SELECT ステートメントを実行し、ビューを 分類 できるようにします。 . . この権限はビューをクエリするのに十分であり、ビューの作成元となるオブジェクトに対する SELECT 権限は必要ありません。

REFERENCES

DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、ビューの構造(データを除く)を表示できます。

OWNERSHIP

ビューに対する包括的な制御を付与します。ビューを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

ビューで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • INSERT、UPDATE、DELETE など、テーブルの DML 権限をビューに付与することはできますが、ビューは読み取り専用であるため効果はありません。

  • ビューを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

  • スキーマに既存のオブジェクトと同じ名前の仮オブジェクトを作成するには、ロールにオブジェクトの権限(OWNERSHIP)を付与するか継承する必要があります。

マテリアライズドビュー権限

権限

使用状況

SELECT

ビューに対して SELECT ステートメントを実行し、マテリアライズドビューを 分類 できるようにします。 . . この権限はビューをクエリするのに十分であることに注意してください。ビューの基になるオブジェクトに対する SELECT 権限は必要ありません。

REFERENCES

DESCRIBE または SHOW コマンドを介するか、Information Schemaをクエリすることにより、ビューの構造(データを除く)を表示できます。

APPLYBUDGET

予算からマテリアライズドビューを追加または削除できるようにします。

OWNERSHIP

ビューに対する包括的な制御を付与します。ビューを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

ビューで、 OWNERSHIP を除くすべての権限を付与します。

注釈

  • INSERT、UPDATE、DELETE など、テーブルの DML 権限をビューに付与することはできますが、ビューは読み取り専用であるため効果はありません。

  • ビューを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

  • スキーマに既存のオブジェクトと同じ名前の仮オブジェクトを作成するには、ロールにオブジェクトの権限(OWNERSHIP)を付与するか継承する必要があります。

ステージ権限

権限

使用状況

USAGE

SQL ステートメントで外部ステージオブジェクトを使用できるようにします。内部ステージには適用されません。

READ

内部ステージ(GETLISTCOPY INTO <テーブル> など)からの読み取りを必要とする操作を実行できるようにします。外部ステージには適用されません。

WRITE

内部ステージ(PUTREMOVECOPY INTO <場所> など)への書き込みが必要な操作を実行できるようにします。外部ステージには適用されません。

OWNERSHIP

ステージに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

ステージ(内部または外部)で、OWNERSHIP を除くすべての該当する権限を付与します。

注釈

  • 内部ステージに READ 権限と WRITE 権限の両方を付与する場合、 READ 権限は WRITE 権限の前か、同時に付与する必要があります。

  • 内部ステージの READ 権限と WRITE 権限の両方を取り消す場合、WRITE 権限は READ 権限の前か、同時に取り消す必要があります。

  • ステージでの操作には、親データベースおよび親スキーマでの USAGE 権限も必要です。

  • スキーマに既存のオブジェクトと同じ名前の仮オブジェクトを作成するには、ロールにオブジェクトの権限(OWNERSHIP)を付与するか継承する必要があります。

ファイル形式権限

権限

使用状況

USAGE

SQL ステートメントでファイル形式が使用できるようになります。

OWNERSHIP

ファイル形式に対する包括的な制御を付与します。ファイル形式を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

ファイル形式で OWNERSHIP を除くすべての権限を付与します。

注釈

  • ファイル形式を操作するには、親データベースとスキーマでの USAGE 権限も必要です。

  • スキーマに既存のオブジェクトと同じ名前の仮オブジェクトを作成するには、ロールにオブジェクトの権限(OWNERSHIP)を付与するか継承する必要があります。

パイプ権限

パイプオブジェクトは、Snowpipeを使用してデータをロードするために作成および管理されます。

権限

使用状況

APPLYBUDGET

予算からパイプを追加または削除できるようにします。

MONITOR

パイプの詳細の表示を有効にします(DESCRIBE PIPE または SHOW PIPES を使用)。

OPERATE

パイプの詳細の表示(DESCRIBE PIPE または SHOW PIPES を使用)、パイプの一時停止または再開、およびパイプの更新を有効にします。

OWNERSHIP

パイプに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

パイプで、 OWNERSHIP を除くすべての権限を付与します。

注釈

パイプで操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

データベースロール権限

権限

使用状況

OWNERSHIP

データベースロールに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。所有者ロールは、所有済みのデータベースロールに付与された権限を継承しないことに注意してください。データベースロールから権限を継承するには、そのデータベースロールを別のロールに付与して、ロール階層に親子関係を作成する必要があります。

ストリーム権限

権限

使用状況

SELECT

ストリームでの SELECT ステートメントを実行できるようにします。

OWNERSHIP

ストリームに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

ストリームで、OWNERSHIP を除くすべての権限を付与します。

タスク権限

権限

使用状況

APPLYBUDGET

予算からタスクを追加または削除できるようにします。

MONITOR

タスクの詳細の表示を有効にします( DESCRIBE TASK または SHOW TASKSを使用)。

OPERATE

タスクの詳細の表示( DESCRIBE TASK または SHOW TASKS を使用)およびタスクの再開または中断を有効にします。

OWNERSHIP

タスクに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

タスクで、 OWNERSHIP を除くすべての権限を付与します。

シークレット権限

権限

使用状況

READ

シークレットを使用する UDF またはストアドプロシージャを有効にし、シークレットに格納されている認証情報にアクセスできるようにします。詳細については、 認証情報を表すシークレットの作成 をご参照ください。

USAGE

シークレットを使用できるようにします。

OWNERSHIP

シークレットの所有権を譲渡します。これにより、シークレットを包括的に制御できるようになります。シークレットのほとんどのプロパティを変更するか、システムからシークレットをドロップするために必要です。

集計ポリシーの権限

権限

使用状況

APPLY

テーブルまたはビューの集計ポリシーの設定解除および設定の操作を実行できるようにします。

APPLY AGGREGATION POLICY グローバル権限(つまり、ACCOUNT の APPLY AGGREGATION POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。

OWNERSHIP

集計ポリシーに対する包括的な制御を付与します。集計ポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

集計ポリシーを操作するには、親データベースとスキーマに対する USAGE 権限も必要です。

マスキングポリシー権限

権限

使用状況

APPLY

列の マスキングポリシー に対する設定解除および設定の操作を実行できるようにします。

APPLY MASKING POLICY グローバル権限(つまり、ACCOUNT の APPLY MASKING POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。

構文例については、 マスキングポリシー権限 をご参照ください。

OWNERSHIP

マスキングポリシーに対する包括的な制御を付与します。マスキングポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

マスキングポリシー上で動作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

投影ポリシーの権限

権限

使用状況

APPLY

列の投影ポリシーに対する設定解除および設定の操作を実行できるようにします。

APPLY PROJECTION POLICY グローバル権限(つまり、ACCOUNT の APPLY PROJECTION POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。

OWNERSHIP

投影ポリシーに対する包括的な制御を付与します。投影ポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

投影ポリシー上で動作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

行アクセスポリシーの権限

権限

使用状況

APPLY

テーブルまたはビューの 行アクセスポリシー の追加およびドロップ操作を実行できるようにします。

APPLY ROW ACCESS POLICY グローバル権限(つまり、ACCOUNT の APPLY ROW ACCESS POLICY)を付与すると、テーブルとビューで DESCRIBE 操作を実行できることに注意してください。

構文例については、 DDL コマンド、操作、および権限の概要 をご参照ください。

OWNERSHIP

行アクセスポリシーに対する包括的な制御を付与します。行アクセスポリシーのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

行アクセスポリシー上で動作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

タグの権限

権限

使用状況

APPLY

Snowflakeオブジェクトのタグの追加およびドロップ操作を実行できるようにします。

READ

データ共有コンシューマーが、 SHOW TAGS コマンドを使用して共有タグ割り当てを表示できるようにします。データ共有プロバイダーはこの権限をデータベースロールに付与するか、共有に直接付与します。

OWNERSHIP

タグに対する包括的な制御を付与します。タグのほとんどのプロパティを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

タグはスキーマレベルで保存されます。

タグを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

シーケンス権限

権限

使用状況

USAGE

SQL ステートメントでシーケンスが使用できるようになります。

ALL [ PRIVILEGES ]

シーケンスで、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

シーケンスに対する包括的な制御を付与します。シーケンスを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

シーケンスを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

ストアドプロシージャ権限

権限

使用状況

USAGE

ストアドプロシージャの呼び出しができるようになります。

ALL [ PRIVILEGES ]

ストアドプロシージャで、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

ストアドプロシージャに対する包括的な制御を付与します。ストアドプロシージャを変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

  • ストアドプロシージャを操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

  • ストアドプロシージャが呼び出し元の権限で実行される場合、ストアドプロシージャを呼び出すユーザーは、ストアドプロシージャがアクセスするデータベースオブジェクト(例:テーブル)に対する権限を持っている必要があります。詳細については、 Understanding Caller's Rights and Owner's Rights Stored Procedures をご参照ください。

ユーザー定義関数(UDF)および外部関数権限

権限

使用状況

USAGE

UDF または外部関数の呼び出しができるようになります。

ALL [ PRIVILEGES ]

UDF または外部関数で、 OWNERSHIP を除くすべての権限を付与します。

OWNERSHIP

UDF または外部関数に対する包括的な制御を付与します。 UDF または外部関数を変更するために必要です。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

注釈

  • UDF または外部関数を操作するには、親データベースおよび親スキーマでの USAGE 権限も必要です。

  • UDF の所有者は、関数がアクセスするオブジェクトに対する権限を持っている必要があります。UDF を呼び出すユーザーは、これらの権限を必要としません。詳細については、 SQL UDFs のセキュリティ/権限要件 をご参照ください。

  • 外部関数の所有者は、外部関数に関連付けられた API 統合オブジェクトに対する USAGE 権限を持っている必要があります。詳細については、外部関数に関するドキュメントの アクセス制御 をご参照ください。

アラート権限

権限

使用状況

MONITOR

アラートの詳細の表示を有効にします(DESCRIBE ALERT または SHOW ALERTS を使用)。

OPERATE

アラートの詳細の表示(DESCRIBE ALERT または SHOW ALERTS を使用)およびアラートの再開または中断(ALTER ALERT を使用)を有効にします。

OWNERSHIP

アラートに対する包括的な制御を付与します。特定のオブジェクトに対して一度にこの権限を保持できるのは、1つのロールのみです。 Note that in a managed access schema, only the schema owner (i.e. the role with the OWNERSHIP privilege on the schema) or a role with the MANAGE GRANTS privilege can grant or revoke privileges on objects in the schema, including future grants.

ALL [ PRIVILEGES ]

アラートで、OWNERSHIP を除くすべての権限を付与します。

コンピューティングプール権限

権限

使用状況

OPERATE

コンピューティングプールを中断または再開できるようにします。

MODIFY

コンピューティングプールを変更し、プロパティを設定できるようにします。

USAGE

サービスまたはジョブの実行を実行できるようにします。サービスとの通信(サービス関数の作成、パブリックエンドポイントの使用、他のサービスからの接続)を可能にします。

MONITOR

コンピューティングプールの使用状況(実行中のサービスとジョブの件数)やプロパティの表示、ロールがアクセス権限を持つアカウント内のコンピューティングプールのリスト表示を可能にします。

OWNERSHIP

コンピューティングプールに対する包括的な制御を付与します。特定のコンピューティングプールに対してこの権限を保持できるのは、一度に1つのロールのみです。

イメージリポジトリ権限

権限

使用状況

OWNERSHIP

イメージリポジトリの完全な制御を可能にします。この権限を持つロールは、イメージリポジトリを削除することもできます。

READ

イメージリポジトリからのイメージのリスト表示とダウンロードを可能にします。

WRITE

イメージのリスト表示とリポジトリからのダウンロードを可能にします。また、リポジトリへのイメージのプッシュも可能になります。

サービス権限

権限

使用状況

OPERATE

サービスの中断や再開、サービスのアップグレード、サービスプロパティの変更が可能になります。

OWNERSHIP

サービスの完全な制御を可能にします。この権限を持つロールは、スキーマからサービスを削除することもできます。

MONITOR

サービスのモニターとランタイムステータスの取得を可能にします。

USAGE

サービス内のエンドポイントのリスト表示を可能にします。

ジョブ権限

ジョブを作成したユーザーは、ジョブの実行ステータスをモニターし、取得することができます。ジョブは、他のユーザーやロールへの権限付与をサポートしていません。

Streamlit権限

権限

使用状況

USAGE

Streamlitアプリの表示と実行を可能にします。

モデル権限

権限

使用状況

USAGE

モデルに関する情報を表示し、そのメソッドを呼び出せるようにします。