Snowflake RBACの基本|ロール設計入門ガイド

はじめに:なぜRBACを学ぶの?
RBACの基本概念:登場人物は4つだけ
システム定義ロールを覚えよう
具体的なSQLでやってみよう
Snowsightでの確認方法
よくある注意点
まとめ
参考リンク
関連記事

はじめに:なぜRBACを学ぶの?

Snowflakeを業務で使い始めると、必ずぶつかるのが「誰がどのデータにアクセスできるべきか?」という問題です。営業チームには売上テーブルだけ見せたい、エンジニアにはウェアハウスを使わせたい、でも本番テーブルへのDROPは絶対にさせたくない──こんな要件を整理するための仕組みが ロールベースアクセス制御 (RBAC) です。

この記事では、Snowflakeを触り始めたばかりの方に向けて、RBACの考え方と最低限知っておきたいSQLをやさしく解説します!

RBACの基本概念:登場人物は4つだけ

Snowflakeのアクセス制御は、たった4つの要素を理解すれば一気に見通しが良くなります。

ユーザー (User):Snowflakeにログインする人やアプリ
ロール (Role):権限の入った「役割バッジ」のようなもの
権限 (Privilege):SELECT・INSERT・USAGEといった「やっていいこと」
オブジェクト (Object):データベース・スキーマ・テーブル・ウェアハウスなど

ポイントは、権限はユーザーに直接ではなくロールに付与すること。そしてユーザーにはロールを割り当てます。「人事異動でロールを付け替えるだけで権限管理が完了する」という、とても運用しやすい仕組みです。

システム定義ロールを覚えよう

Snowflakeにはあらかじめ用意されたロールがあります。最初はこの階層を意識するだけでOKです。

ACCOUNTADMIN:アカウント全体の最強ロール。普段使いはNG
SECURITYADMIN:ロールやユーザーの管理担当
SYSADMIN:データベースやウェアハウスを作る人向け
USERADMIN:ユーザー作成専門
PUBLIC:全ユーザーが自動で持つ最小ロール

実務では、これらの下に「分析チーム用」「ETL用」など独自ロールを作って権限を整理していくのが定石です。

具体的なSQLでやってみよう

たとえば「分析者が SALES データベースを読み取り専用で使えるようにしたい」とき、流れはこんな感じです。データベース・スキーマ・テーブルの階層を思い出しながら見てみましょう。

-- 1. ロール作成 (USERADMINで実行)
USE ROLE USERADMIN;
CREATE ROLE analyst_role;

-- 2. 権限付与 (SECURITYADMINで実行)
USE ROLE SECURITYADMIN;
GRANT USAGE ON WAREHOUSE analytics_wh TO ROLE analyst_role;
GRANT USAGE ON DATABASE sales TO ROLE analyst_role;
GRANT USAGE ON SCHEMA sales.public TO ROLE analyst_role;
GRANT SELECT ON ALL TABLES IN SCHEMA sales.public TO ROLE analyst_role;

-- 3. 将来作られるテーブルにも自動で適用
GRANT SELECT ON FUTURE TABLES IN SCHEMA sales.public TO ROLE analyst_role;

-- 4. ユーザーにロールを割り当て
GRANT ROLE analyst_role TO USER hanako;

注目ポイントは USAGE 権限。ウェアハウスやスキーマには「使ってもいいよ」という許可が必要で、これが無いとSELECTすらできません。階段を上るには、各階の鍵が要るイメージです。

Snowsightでの確認方法

Snowsightでは画面右下のユーザーメニューから「Switch Role」で現在のロールを切り替えられます。Admin → Users & Roles 画面では、ロールの継承関係がグラフィカルに見られて、誰がどのロールを持っているか一目でわかります。SQLで SHOW GRANTS TO ROLE analyst_role; と打つのも便利ですよ。