データベース、スキーマ、テーブルをクローンする際の権限継承について確認してみた #SnowflakeDB

データベース、スキーマ、テーブルをクローンする際の権限継承について確認してみた #SnowflakeDB

モダンデータスタック(MDS)

モダンデータスタック(MDS)

#Snowflake
安原朋紀

安原朋紀

facebook logohatena logotwitter logo
Clock Icon2023.10.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Snowflake でオブジェクト、特にデータベース、スキーマ、およびテーブルをクローンする際の権限継承について確認してみました。

本記事の内容

Snowflake ではクローンとしてオブジェクト(データベース、スキーマ、テーブルなど)の複製が可能です。
この時の権限に関する主な仕様として、以下があります。

  • クローン元のオブジェクト(ソースオブジェクト)がデータベースやスキーマの場合、クローンとして作成されたオブジェクトは、ソースオブジェクト内の子オブジェクトのクローンに対して付与された権限を継承する
  • データベースやスキーマのクローン自体は、ソースオブジェクトに対して付与された権限を継承しない
  • テーブルについては、クローン時にCOPY GRANTSオプションを使用することで、元のテーブルに付与されたアクセス権限を継承することも可能

また、テーブルクローン時のCOPY GRANTSについては、その有無によって将来の権限が付与されるかどうかも異なり、具体的には以下の通りとなっています。

  • COPY GRANTSなし
    • 元のテーブルに付与されたアクセス権限は継承されないが、将来の権限は付与される
  • COPY GRANTSあり
    • OWNERSHIP を除く元のテーブルのアクセス権限が継承されるが、将来の権限は付与されない

上記の内容は、実際には以下のドキュメント記載の通りなのですが、どういった挙動かを触ってみて理解しておきたく記事としました。

環境の用意

ここでは、データベース、スキーマ、テーブル単位でオブジェクトのクローンを行うこととし、そのための環境を用意します。
以降のコマンドで検証用の環境を用意します。

ロール階層の定義

以下の通りロールを用意しておきます。

ロール名 概要
ts_admin 検証用データベースの管理者ロール
ts_dev 検証環境における開発者用のロール
ts_analyst 検証環境における分析者用のロール
ts_crud 開発者用のアクセスロール
テーブルに対する crud 操作の権限を付与します
ts_readonly 分析者用のアクセスロール
テーブルに対する読み取り権限を付与します

コマンドは以下を使用しました。

use role useradmin;

/*role 定義*/
--access role
create role ts_readonly;
create role ts_crud;

--functional role
create role ts_analyst;
create role ts_dev;

create role ts_admin;

/*role 階層を定義*/
grant role ts_readonly to role ts_crud;
grant role ts_readonly to role ts_analyst;
grant role ts_crud to role ts_dev;

grant role ts_analyst to role ts_admin;
grant role ts_dev to role ts_admin;

grant role ts_admin to role sysadmin;

ロール階層は以下のようになります。 カスタムロールになるので、検証用環境における管理者ロールである ts_admin の子ロールとし、ts_admin 自体は sysadmin に紐づけておきます。

ウェアハウス、データベースの作成

以下のコマンドで、検証用のデータベース「ts_db」を作成し、その中の Public スキーマに user という名称のテーブルを作成しています。

/*warehouseを作成*/
use role sysadmin;

create warehouse ts_wh
    with warehouse_size = 'XSMALL'
    warehouse_type = 'standard'
    auto_suspend = 60
    initially_suspended = TRUE 
    auto_resume = TRUE ;

--warehouseの所有権をPJ管理者ロールに移譲
grant ownership on warehouse ts_wh to role ts_admin;

/*PJ用データベースを作成*/
create database ts_db;

grant ownership on database ts_db to role ts_admin;
grant ownership on schema ts_db.public to role ts_admin;

--PJ管理者にスイッチ
use role ts_admin;
use warehouse ts_wh;
use schema ts_db.public;

/*テーブル作成*/
create table user (id INT);
insert into user (id) values (1);

権限付与

アクセスロールとして用意したロールにそれぞれ以下の権限を付与します。

  • ts_readonly
    • 検証用データベース(ts_db)の USAGE
    • ts_db データベースの Public スキーマへの USAGE, SELECT 権限
    • 検証用のウェアハウスの USAGE
  • ts_crud
    • Public スキーマ内のテーブルへの INSERT, UPDATE, DELETE 権限

ts_crud には、読み書きアクセスを与えたいので、ts_readonly に付与した SELECT 以外のテーブルへの権限を与えています。ts_crud をはじめとした検証用に作成した各ロールは ts_readonly ロールの親にあたるので、ts_readonly に付与した権限を継承します。

コマンドは以下の通りです。

/*accessroleへの権限付与*/
--子ロールのtest_readに権限を与えたので親ロールも同じ権限を持つ

use role securityadmin;

--ts_readonly
grant usage on warehouse ts_wh to role ts_readonly;
grant usage on database ts_db to role ts_readonly;
grant usage on schema ts_db.public to role ts_readonly;
grant select on all tables in schema ts_db.public to role ts_readonly;

--ts_crud
grant insert,update,delete on all tables in schema ts_db.public to role ts_crud;

権限の確認

show grants onコマンドで、指定のオブジェクトに対する各権限が付与されているロールを見てみます。

  • 検証用テーブル

テーブルには、アクセスロールに権限を付与したので下図のようになっています。

show grants on table ts_db.public.user;
  • スキーマ

ts_readonly に USAGE 権限を付与し、各ロールに継承させているので、下図のようになります。

show grants on schema ts_db.public;
  • データベース

スキーマと同様の形となります。

show grants on database ts_db;

将来の権限を付与

クローン時における将来の付与についても見ておきたいので、ここでは ts_readonly ロールに対して、Public スキーマに将来作成されるテーブルへの SELECT 権限を付与しておきます。

grant select on future tables in schema ts_db.public to role ts_readonly;
show future grants in schema ts_db.public;

オブジェクトをクローンする

データベースのクローン

以下のコマンドでデータベースのクローンを行います。
クローン時のロールには sysadmin を使用します。

use role sysadmin;
create database clone_ts_db clone ts_db;

データベースの権限
クローン先のデータベースの権限を確認します。

所有者はクローンを実行した sysadmin となり、その他の権限は継承されていません。
※ソースオブジェクトにあった ts_readonly ロールの USAGE 権限はありません。

show grants on database clone_ts_db;

スキーマの権限
ソースオブジェクトはデータベースなので、その子オブジェクトであるスキーマに対する権限を確認します。
こちらは、所有権も含めソースオブジェクトの権限が継承されていることが確認できます。

show grants on schema clone_ts_db.public;

テーブルの権限
スキーマと同様にデータベースの子オブジェクトのため、所有権も含めた各種権限は、ソースオブジェクトの内容が継承されます。

show grants on table clone_ts_db.public.user;

将来の権限
ここでは、ソースオブジェクト(データベース)の子オブジェクトであるスキーマに将来の権限を付与したので継承されます。
※データベースに将来の権限を付与していた場合、継承されません。

show future grants in schema clone_ts_db.public;

スキーマのクローン

以下のコマンドでスキーマのクローンを行います。
この際、ロールには sysadmin を使用し、ソースオブジェクトと同じデータベース内に異なるスキーマとして作成します。

use role sysadmin;
create schema ts_db.clone_public clone ts_db.public;

スキーマの権限
スキーマのクローンを行ったので、クローン先のスキーマに関する権限は継承されません。
クローンを実行した sysadmin がクローン先スキーマの所有者となります

show grants on schema ts_db.clone_public;

テーブルの権限
データベースのクローン時と同様に、スキーマの子オブジェクトであるテーブルの各種権限は所有権も含めて継承されます。

show grants on table ts_db.clone_public.user;

将来の権限
ソースオブジェクトであるスキーマに将来の権限を付与しており、クローンとして異なるスキーマを作成したので、この将来の権限は継承されません。
※スキーマをクローンすると、ソーススキーマからの将来の権限はクローンにコピーされません。

show future grants in schema ts_db.clone_public;

テーブルのクローン

クローン先のテーブルは、ソーステーブルと同じスキーマに作成します。
注意点として、クローンを作成するスキーマには ts_readonly ロールに対してスキーマ内に将来作成されるテーブルに対する SELECT 権限を付与します。

テーブルのクローン時は copy grantsオプションを使用できるのでそれぞれ試してみます。

CREATE TABLE | Snowflake DOCUMENTATION

copy grants オプションなし

create table public.clone_user_nocp clone ts_db.public.user;

この場合の権限は以下の通りです。

  • これまでのクローン時と同様にソースオブジェクトからの権限は継承されない
  • クローン先のスキーマには将来の権限を付与しているので、下図赤枠の権限(テーブルに対する ts_readonly ロールの SELECT 権限)が付与されている
show grants on public.clone_user_nocp;

copy grants オプションあり

次にcopy grantsオプションを使用し、テーブルをクローンします。

--もとのテーブルの権限が複製される。ただし、future grant は適用されない!!
create table public.clone_user_withcp clone ts_db.public.user copy grants;

copy grantsオプションを使用時の権限は以下の通りです。

  • copy grants オプションにより、OWNERSHIP を除くソーステーブルの権限が継承されます
  • クローン先のスキーマの将来の権限は付与されません
show grants on public.clone_user_withcp;

この例ですと、ソース テーブルの権限として将来の権限と同じもの(ts_readonly ロールに対する SELECT 権限)があるので、もう少しわかりやすく、一度ソース テーブルから、ts_readonly ロールに対する SELECT 権限を取り消します。

use role securityadmin;
revoke select on table ts_db.public.user from role ts_readonly;
show grants on table ts_db.public.user;

この状態で、再度 copy grants オプションを使用し、別名でテーブルのクローンを作成します。

use role sysadmin;
create table public.clone_user_withcp_2 clone ts_db.public.user copy grants;
show grants on table public.clone_user_withcp_2;

権限は以下の通りとなり、元のテーブルに付与された明示的なアクセス権限を継承しつつも、スキーマの将来の権限(readonly ロールに対する SELECT 権限)は付与されていないことがわかります。

さいごに

主要なオブジェクトのクローンとその際の権限の継承について実際に確認してみました。

子オブジェクトの権限が継承される点や、テーブルのクローン時はcopy grantsオプションによってソースオブジェクトの権限も継承できるので非常に便利です。
またテーブルのクローン時にcopy grantsオプションを使用すると、将来の権限は付与されないので、不用意に権限が付与されない形にもなっています。

ただし、クローン先の環境では使用するロール自体をわける場面もあるので、そういった際にどのようにして権限が引き継がれる、または引き継がれないのか、という点は注意しなければと感じます。

こちらの内容が何かの参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

外部ネットワークアクセスで RDS PostgreSQL に IAM認証で接続してみた #SnowflakeDB

外部ネットワークアクセスで RDS PostgreSQL に IAM認証で接続してみた #SnowflakeDB

User avatar
安原朋紀
2024.11.18
AWS PrivateLink を使った Snowflake のアウトバウンド接続を試してみた #SnowflakeDB

AWS PrivateLink を使った Snowflake のアウトバウンド接続を試してみた #SnowflakeDB

User avatar
安原朋紀
2024.11.16
[新機能]Snowflakeでプレビュー機能の有効化・無効化を制御できるシステム関数がリリースされました

[新機能]Snowflakeでプレビュー機能の有効化・無効化を制御できるシステム関数がリリースされました

User avatar
さがら
2024.11.15
[新機能]dbtのdata testで任意の設定をconfigで指定できるようになり、各data testでSnowflakeのウェアハウスを指定できるようになりました

[新機能]dbtのdata testで任意の設定をconfigで指定できるようになり、各data testでSnowflakeのウェアハウスを指定できるようになりました

User avatar
さがら
2024.11.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.