作成日
最終更新
記事区分
Snowflake について、アクセス制御の設定を記載します。
参考資料: Access Control in Snowflake
user と role の関係
Role Hierarchy and Privilege Inheritance
- role には 1 個以上の別の role が grant されています。
- すべての role には
PUBLICrole が grant されています。 - grant された role が持つ privilege も持ちます。
- すべての role には
- user には 1 個以上の role が grant されています。
- すべての user には
PUBLICrole が grant されています。 - user は current role が持つ privilege を持ちます。
- 複数の role が grant された user は switch roles で current role を選択します。
- すべての user には
- Role-based Access Control (RBAC) と表現されます。
role は 0 個以上の privilege を持ちます。
CREATE ROLE myrole;
SHOW GRANTS TO ROLE myrole;
+------------+-----------+------------+------+------------+--------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|------------+-----------+------------+------+------------+--------------+--------------+------------|
+------------+-----------+------------+------+------------+--------------+--------------+------------+
暗黙的に grant されている、PUBLIC role object に対する USAGE privilege を含める場合は "1 個以上" と表現できます。
GRANT ROLE public TO ROLE myrole;
+----------------------------------------------------------------------------------------------+
| status |
|----------------------------------------------------------------------------------------------|
| Granting role PUBLIC has no effect. Every user and role has role PUBLIC implicitly granted. |
+----------------------------------------------------------------------------------------------+
PUBLIC role object は特殊な role であり、通常は USAGE privilege が SHOW GRANTS で確認できます。
CREATE ROLE myrole2;
GRANT ROLE myrole2 TO ROLE myrole;
SHOW GRANTS TO ROLE myrole;
+-------------------------------+-----------+------------+---------+------------+--------------+--------------+--------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+-----------+------------+---------+------------+--------------+--------------+--------------|
| 2021-09-20 03:11:34.605 -0700 | USAGE | ROLE | MYROLE2 | ROLE | MYROLE | false | ACCOUNTADMIN |
+-------------------------------+-----------+------------+---------+------------+--------------+--------------+--------------+
関連資料:
role の種類
Role Hierarchy and Privilege Inheritance
- system-defined roles
- ACCOUNTADMIN
- MFA が有効化されている、少なくとも 2 つの user に grant することが推奨されます。
- SECURITYADMIN
MANAGE GRANTSprivilege を持ちます。- custom role を create する role としては SECURITYADMIN が推奨されます。
- custom role (object) の owner は SECURITYADMIN となります。
- USERADMIN
CREATE USERとCREATE ROLEprivilege を持ちます。
- SYSADMIN
- すべての custom role が grant されていることが推奨されます。
- database や warehouse に関する privilege を持ちます。
- PUBLIC
- ACCOUNTADMIN
- user-defined custom roles
上記の USAGE 関係が確認できます。
SHOW GRANTS ON ROLE securityadmin;
+-------------------------------+-----------+------------+---------------+------------+--------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+-----------+------------+---------------+------------+--------------+--------------+------------|
| 2021-09-11 02:19:20.752 -0700 | USAGE | ROLE | SECURITYADMIN | ROLE | ACCOUNTADMIN | true | |
+-------------------------------+-----------+------------+---------------+------------+--------------+--------------+------------+
SHOW GRANTS ON ROLE sysadmin;
+-------------------------------+-----------+------------+----------+------------+--------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+-----------+------------+----------+------------+--------------+--------------+------------|
| 2021-09-11 02:19:20.753 -0700 | USAGE | ROLE | SYSADMIN | ROLE | ACCOUNTADMIN | true | |
+-------------------------------+-----------+------------+----------+------------+--------------+--------------+------------+
SHOW GRANTS ON ROLE useradmin;
+-------------------------------+-----------+------------+-----------+------------+---------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+-----------+------------+-----------+------------+---------------+--------------+------------|
| 2021-09-11 02:19:20.750 -0700 | USAGE | ROLE | USERADMIN | ROLE | SECURITYADMIN | true | |
+-------------------------------+-----------+------------+-----------+------------+---------------+--------------+------------+
USERADMIN と SECURITYADMIN の privilege 一覧です。
SHOW GRANTS TO ROLE useradmin;
+-------------------------------+-------------+------------+----------+------------+--------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+-------------+------------+----------+------------+--------------+--------------+------------|
| 2021-09-11 02:19:20.762 -0700 | CREATE ROLE | ACCOUNT | XXX12345 | ROLE | USERADMIN | true | |
| 2021-09-11 02:19:20.761 -0700 | CREATE USER | ACCOUNT | XXX12345 | ROLE | USERADMIN | true | |
+-------------------------------+-------------+------------+----------+------------+--------------+--------------+------------+
SHOW GRANTS TO ROLE securityadmin;
+-------------------------------+----------------------+------------+-----------+------------+---------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+----------------------+------------+-----------+------------+---------------+--------------+------------|
| 2021-09-11 02:19:20.766 -0700 | APPLY SESSION POLICY | ACCOUNT | XXX12345 | ROLE | SECURITYADMIN | true | |
| 2021-09-11 02:19:20.766 -0700 | MANAGE GRANTS | ACCOUNT | XXX12345 | ROLE | SECURITYADMIN | true | |
| 2021-09-11 02:19:20.750 -0700 | USAGE | ROLE | USERADMIN | ROLE | SECURITYADMIN | true | |
+-------------------------------+----------------------+------------+-----------+------------+---------------+--------------+------------+
参考情報: SHOW GRANTS
補足: ORGADMIN は ACCOUNTADMIN の更に上位の role です。
SHOW ROLES;
+-------------------------------+---------------+------------+------------+--------------+-------------------+------------------+---------------+-------+-----------------------------------------------------------------------------------+
| created_on | name | is_default | is_current | is_inherited | assigned_to_users | granted_to_roles | granted_roles | owner | comment |
|-------------------------------+---------------+------------+------------+--------------+-------------------+------------------+---------------+-------+-----------------------------------------------------------------------------------|
| 2021-09-11 02:19:20.691 -0700 | ACCOUNTADMIN | Y | Y | N | 1 | 0 | 2 | | Account administrator can manage all aspects of the account. |
| 2021-09-10 11:51:15.004 -0700 | ORGADMIN | N | N | N | 0 | 0 | 0 | | Organization administrator can manage organizations and accounts in organizations |
| 2021-09-11 02:19:20.668 -0700 | PUBLIC | N | N | Y | 0 | 0 | 0 | | Public role is automatically available to every user in the account. |
| 2021-09-11 02:19:20.708 -0700 | SECURITYADMIN | N | N | Y | 0 | 1 | 1 | | Security administrator can manage security aspects of the account. |
| 2021-09-11 02:19:20.721 -0700 | SYSADMIN | N | N | Y | 0 | 1 | 0 | | System administrator can create and manage databases and warehouses. |
| 2021-09-11 02:19:20.737 -0700 | USERADMIN | N | N | Y | 0 | 1 | 0 | | User administrator can create and manage users and roles |
+-------------------------------+---------------+------------+------------+--------------+-------------------+------------------+---------------+-------+-----------------------------------------------------------------------------------+
user に grant して利用します。
GRANT ROLE orgadmin TO USER admin;
補足: Custom Role の設計例
privilege と object の関係
- object を create した user の current role には、その object に対する
OWNERSHIPprivilege が付与されます。- すべての object は owner を持ちます。
- "user" や "role" も object です。
- Discretionary Access Control (DAC) と表現されます。
OWNERSHIPprivilege を持つ role を current role としている user は、その object に対する grant または revoke 操作が可能です。- object が "role" の場合 → GRANT ROLE
- object が "role" でない場合 → GRANT
<privileges>… TO ROLE
object 一覧
- object には階層的な関係が存在します。
- object を所有する role は常に一つだけ存在します。
OWNERSHIPprivilege を有します。- owner となる role は object に対する全ての privilege を有します。
- 他の role に object に対する privilege を grant または revoke できます。
OWNERSHIPprivilege は他の role に移動させることが可能です。
すべての privilege は object に対応しています。一見すると object と関係のなさそうな CREATE ROLE, CREATE USER, CREATE WAREHOUSE, CREATE DATABASE という名称の privilege が存在しますが、これらに対応する object は ACCOUNT です。
SHOW GRANTS ON account;
(または SHOW GRANTS ON account XXX12345;)
+-------------------------------+--------------------------------+------------+----------+------------+---------------+--------------+------------+
| created_on | privilege | granted_on | name | granted_to | grantee_name | grant_option | granted_by |
|-------------------------------+--------------------------------+------------+----------+------------+---------------+--------------+------------|
| 2021-09-11 02:19:20.780 -0700 | APPLY MASKING POLICY | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.772 -0700 | CREATE ACCOUNT | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.787 -0700 | CREATE CREDENTIAL | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.784 -0700 | CREATE DATA EXCHANGE LISTING | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.773 -0700 | CREATE INTEGRATION | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.769 -0700 | CREATE SHARE | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.778 -0700 | EXECUTE MANAGED TASK | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.777 -0700 | EXECUTE TASK | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.771 -0700 | IMPORT SHARE | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.779 -0700 | MONITOR EXECUTION | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.782 -0700 | MONITOR SECURITY | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.769 -0700 | MONITOR USAGE | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.771 -0700 | OVERRIDE SHARE RESTRICTIONS | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:20.784 -0700 | PURCHASE DATA EXCHANGE LISTING | ACCOUNT | XXX12345 | ROLE | ACCOUNTADMIN | true | |
| 2021-09-11 02:19:21.917 -0700 | CREATE DATABASE | ACCOUNT | XXX12345 | ROLE | APPADMIN | true | |
| 2021-09-11 02:19:21.918 -0700 | CREATE INTEGRATION | ACCOUNT | XXX12345 | ROLE | APPADMIN | true | |
| 2021-09-11 02:19:21.916 -0700 | CREATE ROLE | ACCOUNT | XXX12345 | ROLE | APPADMIN | true | |
| 2021-09-11 02:19:21.915 -0700 | CREATE USER | ACCOUNT | XXX12345 | ROLE | APPADMIN | true | |
| 2021-09-11 02:19:20.766 -0700 | APPLY SESSION POLICY | ACCOUNT | XXX12345 | ROLE | SECURITYADMIN | true | |
| 2021-09-11 02:19:20.766 -0700 | MANAGE GRANTS | ACCOUNT | XXX12345 | ROLE | SECURITYADMIN | true | |
| 2021-09-11 02:19:20.768 -0700 | CREATE DATABASE | ACCOUNT | XXX12345 | ROLE | SYSADMIN | true | |
| 2021-09-11 02:19:20.767 -0700 | CREATE WAREHOUSE | ACCOUNT | XXX12345 | ROLE | SYSADMIN | true | |
| 2021-09-11 02:19:20.762 -0700 | CREATE ROLE | ACCOUNT | XXX12345 | ROLE | USERADMIN | true | |
| 2021-09-11 02:19:20.761 -0700 | CREATE USER | ACCOUNT | XXX12345 | ROLE | USERADMIN | true | |
+-------------------------------+--------------------------------+------------+----------+------------+---------------+--------------+------------+
補足: ACCOUNT object は特殊であり、MANAGE GRANTS privilege を持つ SECURITYADMIN であっても、例えば CREATE DATABASE privilege を grant することはできません。
SHOW GRANTS TO ROLE sysadmin;
→ privilege: CREATE DATABASE, granted_on: ACCOUNT
SHOW GRANTS TO ROLE securityadmin;
→ privilege: MANAGE GRANTS, granted_on: ACCOUNT
USE ROLE securityadmin;
CREATE ROLE myrole;
GRANT CREATE DATABASE ON ACCOUNT TO ROLE myrole;
→ Grant not executed: Insufficient privileges.
関連資料:
Access Control Privileges
GRANT <privileges> … TO ROLE
User Management
- 初期パスワードには任意の文字列を指定できます。
- 弱いパスワードを指定した場合には
MUST_CHANGE_PASSWORDを true に設定することが強く推奨されます。 - 変更後のパスワードに対しては、snowflake が定めるポリシーが強制されます。
- 弱いパスワードを指定した場合には
MINS_TO_BYPASS_MFAは MFA 設定済みの user について、一時的に MFA の利用を強制しないようにするための設定です。- MFA 利用を強制するための用途で利用することはできません。
初期パスワードの変更を強制する設定で user を create する例です。
CREATE USER myuser
PASSWORD = 'abc123'
DEFAULT_ROLE = SYSADMIN
MUST_CHANGE_PASSWORD = true;
GRANT ROLE SYSADMIN TO USER myuser;
パスワードを連続して 5 回間違えると 15 分間 lock されます。unlock したい場合は以下のコマンドを利用します。
ALTER USER myuser SET MINS_TO_UNLOCK = 0;
参考資料:
0
関連記事
- Snowflake Task による SQL の定期実行Snowflake において、cron のように定期的に SQL を実行する仕組みとして Task が提供されています。基本的な使い方を記載します。 サンプル データベースとテーブルを作成しておきます。 CREATE DATABASE mydb; CREATE TABLE mytbl (c1 DATETIME, c2 STRING); 1分毎に INSERT を実行する task を作成します。W...
- Snowflake におけるセキュリティ関連の機能
Snowflake のセキュリティ関連の機能について記載します。 パラメータ管理 Snowflake における設定値はパラメータとよばれます。設定する対象によって分類すると、以下の三種類が存在します。 Account パラメータ。 Account-level でのみ設定可能です。 Session パラメータ。 Account-level および User-level, Session-level ... - Looker から Snowflake への OAuth 接続
Looker から Snowflake の DB を OAuth 認証で参照する設定例を記載します。 参考資料: Looker / feedbackSnowflake / Configuring OAuth for Snowflake connections Snowflake 内の Looker 用 Role/User/Warehouse/DB 作成 Role と - Snowflake に対する SSO 設定 (Auth0)
Snowflake に対して、外部の ID 基盤 (IdP; ID Provider) による認証でログインするための設定例を記載します。IdP としては Auth0 を用います。 参考資料: [HOWTO: CONFIGURE AUTH0 AS IDENTITY PROVIDER FOR SNOWFLAKE SINGLE SIGN-ON](https://community.snowflake.... - Snowflake Custom Role による ACCOUNTADMIN からの権限委譲
Snowflake アカウントの運用時において、ACCOUNTADMIN は必要な場合以外は利用しないことが推奨されます。SYSADMIN 直下ではなく ACCOUNTADMIN 直下に位置付けた Custom Role を作成することで、ACCOUNTADMIN が持つ権限を委譲する例を記載します。 関連資料: [Access Control Privileges](https://docs.s...
