<h1 id="%E6%9C%AC%E8%A8%98%E4%BA%8B%E3%81%A7%E5%8F%82%E8%80%83%E3%81%AB%E3%81%AA%E3%82%8B%E3%82%B1%E3%83%BC%E3%82%B9" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E6%9C%AC%E8%A8%98%E4%BA%8B%E3%81%A7%E5%8F%82%E8%80%83%E3%81%AB%E3%81%AA%E3%82%8B%E3%82%B1%E3%83%BC%E3%82%B9" aria-hidden="true"></a> 本記事で参考になるケース</h1>
<ul data-line="1" class="code-line">
<li data-line="1" class="code-line">ユーザの USE SECONDARY ROLESを制御・制限したい！</li>
</ul>
<h2 id="%E5%89%8D%E6%8F%90-secondary-role-%E3%81%A8%E3%81%AF%EF%BC%9F" data-line="3" class="code-line">
<a class="header-anchor-link" href="#%E5%89%8D%E6%8F%90-secondary-role-%E3%81%A8%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> 前提 SECONDARY ROLE とは？</h2>
通常ユーザは自身が利用できるROLEを選択してその権限を行使する. 
この時、他のROLEの権限は行使できない.
<h4 id="%3C%E4%BE%8B%3E" data-line="7" class="code-line">
<a class="header-anchor-link" href="#%3C%E4%BE%8B%3E" aria-hidden="true"></a> &lt;例&gt;</h4>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--qk6_UHwL--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/142164ebac3c470b432d57bc.png%3Fsha%3D4805c9ea1f6942710b8f83d8138bbaf45f810625" loading="lazy" class="md-img">
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="10">## ROLE_A と ROLE_A に継承されている ROLE_D の権限を行使する. この時、ROLE_B, C の権限は行使できない.
USE ROLE ROLE_A;　

## ROLE_B の権限を行使する. この時、ROLE_A, C, D の権限は行使できない.
USE ROLE ROLE_B;

## ROLE_C の権限を行使する. この時、ROLE_A, B, D の権限は行使できない.
USE ROLE ROLE_C;

## ROLE_D の権限を行使する. この時 ROLE_A, B, C の権限は行使できない
USE ROLE ROLE_D; 
</code></pre></div><h3 id="%E6%9C%80%E5%BC%B7%E3%81%AE%E5%91%AA%E6%96%87-use-secondary-roles-all%3B" data-line="24" class="code-line">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BC%B7%E3%81%AE%E5%91%AA%E6%96%87-use-secondary-roles-all%3B" aria-hidden="true"></a> 最強の呪文 <code>USE SECONDARY ROLES ALL;</code>
</h3>
しかしユーザは<code>USE SECONDARY ROLES ALL;</code>を利用することにより全てのROLEの権限が行使可能となる
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="27">## ROLE_A, B, C, D の全ての権限を行使する.
USE SECONDARY ROLES ALL;
</code></pre></div>※幾つかのROLEの権限を同時に行使する場合
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="33">## ROLE_B,Cの権限を行使する.
USE ROLE ROLE_B;
USE SECONDARY ROLES ROLE_C;
</code></pre></div><h1 id="secondary-roles-%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B" data-line="39" class="code-line">
<a class="header-anchor-link" href="#secondary-roles-%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> SECONDARY ROLES を制限する</h1>
August 07-08, 2024 — 8.29 Release Notes　によりついに制限することが可能となりました
<code>SESSION POLICY</code>を用いて制限を行います
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="45">CREATE OR REPLACE SESSION POLICY deny_secondary_roles_all
 ALLOWED_SECONDARY_ROLES = ();

CREATE OR REPLACE SESSION POLICY allow_secondary_roles_all
 ALLOWED_SECONDARY_ROLES = ('ALL');
</code></pre></div><h3 id="%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E5%85%A8%E4%BD%93%E3%81%A7%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%A7secondary-roles%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B" data-line="53" class="code-line">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E5%85%A8%E4%BD%93%E3%81%A7%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E3%81%A7secondary-roles%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B" aria-hidden="true"></a> アカウント全体でデフォルトで<code>SECONDARY ROLES</code>を禁止する</h3>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="55">ALTER ACCOUNT SET SESSION POLICY deny_secondary_roles_all;
</code></pre></div><div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="59">### USERは実行できない. ROLE_Bの権限のみ行使可能
USE ROLE ROLE_B; 
❌ USE SECONDARY ROLES ALL; 
</code></pre></div><h3 id="%E7%89%B9%E5%AE%9A%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AEsecondary-roles%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B" data-line="65" class="code-line">
<a class="header-anchor-link" href="#%E7%89%B9%E5%AE%9A%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AEsecondary-roles%E3%82%92%E7%A6%81%E6%AD%A2%E3%81%99%E3%82%8B" aria-hidden="true"></a> 特定のユーザの<code>SECONDARY ROLES</code>を禁止する</h3>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="67">ALTER USER user_α SET SESSION POLICY deny_secondary_roles_all;
</code></pre></div><div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="71">### user_α は実行できない. ROLE_Bの権限のみ行使可能
USE ROLE ROLE_B; 
❌ USE SECONDARY ROLES ALL; 

### user_β は実行できる. ROLE_A,B,C,Dの権限を行使可能
USE ROLE ROLE_B; 
⭕️ USE SECONDARY ROLES ALL; 

### user_γ は実行できる. ROLE_A,B,C,Dの権限を行使可能
USE ROLE ROLE_B;
⭕️ USE SECONDARY ROLES ALL; 
</code></pre></div><h3 id="%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E5%85%A8%E4%BD%93%E3%81%A7%E7%A6%81%E6%AD%A2%E3%81%97%E3%80%81%E7%89%B9%E5%AE%9A%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AE%E3%81%BFuse-secondary-roles%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B" data-line="85" class="code-line">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E5%85%A8%E4%BD%93%E3%81%A7%E7%A6%81%E6%AD%A2%E3%81%97%E3%80%81%E7%89%B9%E5%AE%9A%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%81%AE%E3%81%BFuse-secondary-roles%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B" aria-hidden="true"></a> アカウント全体で禁止し、特定のユーザのみ<code>USE SECONDARY ROLES</code>を許可する</h3>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="86">## デフォルトでアカウント全体で USE SECONDARY ROLES を禁止
ALTER ACCOUNT SET SESSION POLICY deny_secondary_roles_all;

## 特定のユーザのみ USE SECONDARY ROLES を許可
ALTER USER user_α SET SESSION POLICY allow_secondary_roles_all;
</code></pre></div><div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="94">### user_α は実行できる. ROLE_A,B,C,Dの権限を行使可能
USE ROLE ROLE_B;
⭕️ USE SECONDARY ROLES ALL; 

### user_β は実行できない. ROLE_Bの権限のみ行使可能
USE ROLE ROLE_B;
❌ USE SECONDARY ROLES ALL; 

### user_γ は実行できない. ROLE_Bの権限のみ行使可能
USE ROLE ROLE_B;
❌ USE SECONDARY ROLES ALL; 
</code></pre></div><h1 id="%E7%89%B9%E5%AE%9A%E3%81%AE-secondary-role%E3%81%AE%E3%81%BF%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B.-%5B-use-secondary-roles-all%5D-%E3%81%AE%E6%84%8F%E5%91%B3%E3%81%8C%E5%A4%89%E3%82%8F%E3%82%8A%E3%81%BE%E3%81%99!!!" data-line="108" class="code-line">
<a class="header-anchor-link" href="#%E7%89%B9%E5%AE%9A%E3%81%AE-secondary-role%E3%81%AE%E3%81%BF%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B.-%5B-use-secondary-roles-all%5D-%E3%81%AE%E6%84%8F%E5%91%B3%E3%81%8C%E5%A4%89%E3%82%8F%E3%82%8A%E3%81%BE%E3%81%99!!!" aria-hidden="true"></a> 特定の SECONDARY ROLEのみ許可する.　[ <code>USE SECONDARY ROLES ALL</code>] の意味が変わります!!!</h1>
<h3 id="%E7%89%B9%E5%AE%9A%E3%81%AErole%E3%81%AE%E3%81%BFsecondary-role%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B" data-line="109" class="code-line">
<a class="header-anchor-link" href="#%E7%89%B9%E5%AE%9A%E3%81%AErole%E3%81%AE%E3%81%BFsecondary-role%E3%82%92%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B" aria-hidden="true"></a> 特定のROLEのみSECONDARY ROLEを許可する</h3>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="111">CREATE OR REPLACE SESSION POLICY allow_secondary_roles_role_b_role_c;
 ALLOWED_SECONDARY_ROLES = (ROLE_B, ROLE_C);

ALTER USER user_α SET SESSION POLICY allow_secondary_roles_role_b_role_c;
</code></pre></div><h4 id="%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A0" data-line="118" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A0" aria-hidden="true"></a> ケース①</h4>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="119">### user_α は実行できる. ROLE_B,Cの権限を行使できる.
USE ROLE ROLE_B;
⭕️ USE SECONDARY ROLES ROLE_C;
</code></pre></div><h4 id="%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A1" data-line="125" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A1" aria-hidden="true"></a> ケース②</h4>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="126">### user_α は実行できる. ROLE_B,Cの権限を行使できる.
USE ROLE ROLE_B;
⭕️ USE SECONDARY ROLES ALL; 

注意！！！　
この場合、ROLE_A の権限を行使は不可能
</code></pre></div>ケース① = ケース② であり、<code>user_α</code>は同じROLE_B,Cの権限を行使できる.
<h2 id="point-(%E5%88%B6%E9%99%90%E3%81%97%E3%81%9F%E3%82%88%E3%81%86%E3%81%A7%E5%88%B6%E9%99%90%E3%81%A7%E3%81%8D%E3%81%A6%E3%81%84%E3%81%AA%E3%81%84%E4%BE%8B)" data-line="137" class="code-line">
<a class="header-anchor-link" href="#point-(%E5%88%B6%E9%99%90%E3%81%97%E3%81%9F%E3%82%88%E3%81%86%E3%81%A7%E5%88%B6%E9%99%90%E3%81%A7%E3%81%8D%E3%81%A6%E3%81%84%E3%81%AA%E3%81%84%E4%BE%8B)" aria-hidden="true"></a> POINT　(制限したようで制限できていない例)</h2>
下記の場合、<code>user_α</code>は同じ権限を行使可能 ケース③ = ケース④
<h4 id="%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A2-secondary-role-%E3%82%92-role_b%2C-role_c-%E3%81%AB%E5%88%B6%E9%99%90" data-line="141" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A2-secondary-role-%E3%82%92-role_b%2C-role_c-%E3%81%AB%E5%88%B6%E9%99%90" aria-hidden="true"></a> ケース③ 　　SECONDARY ROLE を ROLE_B, ROLE_C に制限</h4>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="142">### 管理者実行
CREATE OR REPLACE SESSION POLICY allow_secondary_roles_role_b_role_c;
 ALLOWED_SECONDARY_ROLES = (ROLE_B, ROLE_C);

ALTER USER user_α SET SESSION POLICY allow_secondary_roles_role_b_role_c;
</code></pre></div><div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="150">### user_α の実行

USE ROLE ROLE_A;
USE SECONDARY ROLES ALL; ## 許可されている ROLE_B, ROLE_C の権限を利用できる
-- USE SECONDARY ROLES ROLE_B, ROLE_C; でもOK
</code></pre></div><h4 id="%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A3-%E4%BD%95%E3%82%82%E5%88%B6%E9%99%90%E3%81%97%E3%81%AA%E3%81%84" data-line="158" class="code-line">
<a class="header-anchor-link" href="#%E3%82%B1%E3%83%BC%E3%82%B9%E2%91%A3-%E4%BD%95%E3%82%82%E5%88%B6%E9%99%90%E3%81%97%E3%81%AA%E3%81%84" aria-hidden="true"></a> ケース④　　何も制限しない</h4>
<div class="code-block-container"><pre class="language-sql"><code class="language-sql code-line" data-line="160">### user_α の実行
USE SECONDARY ROLES ALL;
</code></pre></div>どちらのケースも ROLE_A, (ROLE_D), ROLE_B, ROLE_C の権限を行使　が可能
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="167" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
最強の呪文、<code>SECONDARY ROLES</code>を制御可能となりました. 
適宜利用していきましょう！
<h2 id="%E5%8F%82%E8%80%83" data-line="171" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h2>
<iframe id="zenn-embedded__41c29575f7b19" src="https://embed.zenn.studio/card#zenn-embedded__41c29575f7b19" data-content="https%3A%2F%2Fdocs.snowflake.com%2Fen%2Fuser-guide%2Fsession-policies-using%23label-session-policies-no-sec-roles-user" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://docs.snowflake.com/en/user-guide/session-policies-using#label-session-policies-no-sec-roles-user" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.snowflake.com/en/user-guide/session-policies-using#label-session-policies-no-sec-roles-user</a>

【Snowflake】最強の呪文 SECONDARY ROLES を制御・制限しよう

アカウント全体でデフォルトでSECONDARY ROLESを禁止する

特定のユーザのSECONDARY ROLESを禁止する

アカウント全体で禁止し、特定のユーザのみUSE SECONDARY ROLESを許可する

特定のROLEのみSECONDARY ROLEを許可する

POINT　(制限したようで制限できていない例)

特定の SECONDARY ROLEのみ許可する.　[ USE SECONDARY ROLES ALL] の意味が変わります!!!

Discussion