■ はじめに

https://dk521123.hatenablog.com/entry/2021/11/02/130111
https://dk521123.hatenablog.com/entry/2021/11/22/212520
https://dk521123.hatenablog.com/entry/2021/11/15/221245

の続き。

今回は、Snowflake の ロールや権限などのアクセス制御
について、メモっておく。

【０】アクセス制御
　１）アクセス制御の種類
　２）アクセス制御を理解するための重要な概念
【１】セキュリティ保護可能なオブジェクト
【２】ロール - role
　デフォルトロール
　　a）AccountAdmin - アカウント管理者
　　b）SysAdmin - システム管理者
　　c）Public
　　d）SecurityAdmin - セキュリティ管理者
　　e）UserAdmin - ユーザー管理者
【３】ユーザー - user
【４】権限 - grant

【０】アクセス制御

https://docs.snowflake.com/ja/user-guide/security-access-control-overview.html

より抜粋

１）アクセス制御の種類

* アクセス制御に対するSnowflakeのアプローチは、
　次の両方のモデルの側面を組み合わせたものです。

a) 任意アクセス制御（DAC：Discretionary Access Control）

* 各オブジェクトに所有者がおり、
　所有者はそのオブジェクトへのアクセスを許可できます。

b) ロールベースのアクセス制御（RBAC：Role Based Access Control）

* アクセス権限がロールに割り当てられ、
　ロールはユーザーに割り当てられます。

補足：強制アクセス制御（MAC: Mandatory Access Control）

* Snowflakeとは関係ないが、上記以外のアクセス制御としては、
　強制アクセス制御（MAC: Mandatory Access Control）ってのがある。
 => リソース所有者の意図に関らず、
　システムの管理者により一定のアクセス制御を強制する方式
 => 例として、SELinux (以下の関連記事を参照のこと)

https://dk521123.hatenablog.com/entry/2017/12/10/222000

２）アクセス制御を理解するための重要な概念

【１】セキュリティ保護可能なオブジェクト
【２】ロール - role
【３】ユーザー - user
【４】権限 - grant

【１】セキュリティ保護可能なオブジェクト

* Werehouse
* Database
 + Schema
   + Table
   + View
   + etc...
* Role
* User
 => ほぼすべてが、セキュリティ保護可能なオブジェクト

【２】ロール - role

https://docs.snowflake.com/ja/user-guide/security-access-control-configure.html

Snowflake のロールの特徴

* ロールを別のロールに付与すると、ロール間に「親子」関係ができる
 => 「ロール階層」とも呼ばれている
 => ロールを「継承」する形になる

１）サンプル

https://docs.snowflake.com/ja/sql-reference/sql/create-role.html

-- ロール「demo_role」を作成（存在してたら作らない）
CREATE ROLE IF NOT EXISTS demo_role;

https://docs.snowflake.com/ja/sql-reference/sql/show-roles.html

-- 確認
SHOW ROLES LIKE 'demo_role';

２）デフォルトロール

https://docs.snowflake.com/ja/user-guide/security-access-control-considerations.html
https://docs.snowflake.com/ja/user-guide/security-access-control-configure.html
https://docs.snowflake.com/ja/user-guide/security-access-control-overview.html

a）アカウント管理者 - AccountAdmin

* システムで最も強力なロール
* 他の管理者ロールは、このロールの子

具体的な範囲

* アカウント内にあるすべてのオブジェクトの表示と操作
* Snowflakeの請求
* クレジットデータの表示と管理
* 実行中の SQL ステートメントの停止

b）SysAdmin

以下を作成する権限が含まれている
* ウェアハウス
* データベース
* すべてのデータベースオブジェクト（スキーマ、テーブルなど）

c）Public

* アカウント内のすべてのユーザーおよびすべてのロールに
　自動的に付与される疑似ロール

d）SecurityAdmin

以下の権限が付与されている
* アカウント内のオブジェクトに対する権限
* 取り消すためのグローバルMANAGE GRANTS権限

e）UserAdmin

* ユーザーとロールを作成および管理するための権限が含まれている

【３】ユーザー - user

* snowflake を使用するユーザーを定義する

１）サンプル

https://docs.snowflake.com/ja/sql-reference/sql/create-user.html

-- システム内の指定したユーザーがいなければ、新しいユーザーを作成する
CREATE USER IF NOT EXISTS demo_user
  LOGIN_NAME = "demo_user"
  DEFAULT_ROLE = "demo_role"
  MUST_CHANGE_PASSWORD = TRUE
;

https://docs.snowflake.com/ja/sql-reference/sql/show-users.html

-- システム内のユーザーをリストを表示
SHOW USER LIKE 'demo_user';

例１：ユーザー作成の一連の流れ

-- ユーザ用のロール作成
CREATE ROLE IF NOT EXISTS "demo_role_for_user";

-- ユーザー作成
CREATE USER IF NOT EXISTS demo_user
  LOGIN_NAME = "demo_user"
  DEFAULT_ROLE = "demo_role_for_user"
  PASSWORD = "password"
  MUST_CHANGE_PASSWORD = TRUE
;

-- 作成したロールとユーザーを紐づける形でGRANTする
GRANT ROLE demo_role
  TO USER demo_user;

-- 後は、必要なものをGRANTしていく
GRANT USAGE
 ON WAREHOUSE demo_warehouse
 TO ROLE demo_role;

例２：読み取り専用ロール・ユーザ作成

* 以下の関連記事を参照のこと。

Snowflake ～入門編 / Hello world ～
https://dk521123.hatenablog.com/entry/2021/11/22/212520

【４】権限 - grant

https://docs.snowflake.com/ja/sql-reference/sql/grant-privilege.html

* ユーザーやロールへの権限を付与
* cf. GRANT = 承諾する, 授ける, 許可する
* 「GRANT <権限> ... TO ROLE」の形

サンプル

例１：GRANT ROLE TO USER
https://docs.snowflake.com/ja/sql-reference/sql/grant-role.html

-- ユーザーまたは別のロールにロールを割り当てます
-- ユーザーにロールを付与すると、ユーザーはロールに許可された
-- すべての操作を（ロールに付与されたアクセス権を介して）実行できます
GRANT ROLE demo_role
  TO USER demo_user;

例２：GRANT USAGE TO ROLE

-- WAREHOUSE の使用許可を付与する
-- (USE <オブジェクト> コマンドを実行する権限)
GRANT USAGE
  ON WAREHOUSE demo_warehouse
  TO ROLE demo_role
;

例３：GRANT OWNERSHIP TO ROLE

GRANT OWNERSHIP
 ON USER demo_user
 TO ROLE demo_owner_role;

GRANT OWNERSHIP
 ON ROLE demo_role
 TO ROLE demo_owner_role;

-- GRANT OWNERSHIP については、以下の関連記事を参照のこと。

https://dk521123.hatenablog.com/entry/2022/02/25/094250

例４：GRANT MONITOR, MODIFY TO ROLE
https://docs.snowflake.com/ja/user-guide/security-access-control-privileges.html#resource-monitor-privileges

-- デモ用のリソースモニターを作成
CREATE RESOURCE MONITOR demo_resource_monitor WITH
  REDIT_QUOTA = 8
  FREQUENCY = DAILY
  START_TIMESTAMP = IMMEDIATELY
  TRIGGERS
   ON 50 percent do notify
   ON 75 percent do notify
   ON 99 percent do notify
;

-- 権限付与
-- MONITOR : リソースモニターを表示できるようにします
-- MODIFY : リソースモニターのプロパティを変更できるようにします
GRANT MONITOR, MODIFY
  ON RESOURCE MONITOR demo_resource_monitor
  TO ROLE demo_role
;

例５：GRANT ALL TO ROLE

GRANT ALL
 ON DATABASE demo_database
 TO ROLE demo_role;

例６：ON FUTURE
https://docs.snowflake.com/ja/sql-reference/sql/grant-privilege.html

GRANT ALL
  -- ON FUTUREによって将来的な許可も可能
  ON FUTURE VIEWS
  IN SCHEMA demo_detabase.demo_schema
  TO ROLE demo_role
;

-- Read Only なユーザにはSELECTしかさせないみたいな管理ができる
GRANT ALL
  ON FUTURE TABLES
  IN SCHEMA demo_detabase.demo_schema
  TO ROLE demo_readonly_role
;

参考文献

https://dev.classmethod.jp/articles/create-snowflake-objects-by-snowsql-matome/
https://dev.classmethod.jp/articles/how-to-check-the-pliviledges-granted-to-a-role/
https://datumstudio.jp/blog/1029_snowflake3/

プログラムの超個人的なメモ

Memo for Programming.

【Snowflake】Snowflake ～基本編 / アクセス制御～

■ はじめに

目次

【０】アクセス制御

１）アクセス制御の種類

２）アクセス制御を理解するための重要な概念

【１】セキュリティ保護可能なオブジェクト

【２】ロール - role

１）サンプル

２）デフォルトロール

【３】ユーザー - user

１）サンプル

【４】権限 - grant

サンプル

参考文献

関連記事

■ はじめに

目次

【０】アクセス制御

１）アクセス制御の種類

２）アクセス制御を理解するための重要な概念

【１】セキュリティ保護可能なオブジェクト

【２】ロール - role

１） サンプル

２）デフォルトロール

【３】ユーザー - user

１）サンプル

【４】権限 - grant

サンプル

参考文献

関連記事

１）サンプル