バージョン: 3.1

GRANT

説明

特定のオブジェクトに対する1つ以上の権限をユーザーまたはロールに付与します。

ロールをユーザーまたは他のロールに付与します。

付与可能な権限の詳細については、 Privilege items を参照してください。

GRANT 操作が実行された後、 SHOW GRANTS を実行して詳細な権限情報を表示したり、 REVOKE を実行して権限やロールを取り消したりできます。

GRANT 操作を実行する前に、関連するユーザーまたはロールが作成されていることを確認してください。詳細については、 CREATE USER および CREATE ROLE を参照してください。

ヒント

user_admin ロールを持つユーザーのみが、他のユーザーやロールに任意の権限を付与できます。
ロールがユーザーに付与された後、このロールとして操作を行う前に SET ROLE を実行してこのロールを有効化する必要があります。ログイン時にすべてのデフォルトロールを有効化したい場合は、 ALTER USER または SET DEFAULT ROLE を実行してください。システム内のすべての権限をログイン時にすべてのユーザーに対して有効化したい場合は、グローバル変数 SET GLOBAL activate_all_roles_on_login = TRUE; を設定してください。
一般ユーザーは、WITH GRANT OPTION キーワードを持つ権限のみを他のユーザーやロールに付与できます。

構文

ロールまたはユーザーに権限を付与

システム

GRANT
    { CREATE RESOURCE GROUP | CREATE RESOURCE | CREATE EXTERNAL CATALOG | REPOSITORY | BLACKLIST | FILE | OPERATE | CREATE STORAGE VOLUME } 
    ON SYSTEM
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

リソースグループ

GRANT
    { ALTER | DROP | ALL [PRIVILEGES] } 
    ON { RESOURCE GROUP <resource_group_name> [, <resource_group_name >,...] ｜ ALL RESOURCE GROUPS} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

リソース

GRANT
    { USAGE | ALTER | DROP | ALL [PRIVILEGES] } 
    ON { RESOURCE <resource_name> [, < resource_name >,...] ｜ ALL RESOURCES} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

グローバル UDF

GRANT
    { USAGE | DROP | ALL [PRIVILEGES]} 
    ON { GLOBAL FUNCTION <function_name>(input_data_type) [, <function_name>(input_data_type),...]    
       | ALL GLOBAL FUNCTIONS }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

例: GRANT usage ON GLOBAL FUNCTION a(string) to kevin;

Internal catalog

GRANT
    { USAGE | CREATE DATABASE | ALL [PRIVILEGES]} 
    ON CATALOG default_catalog
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

External catalog

GRANT
   { USAGE | DROP | ALL [PRIVILEGES] } 
   ON { CATALOG <catalog_name> [, <catalog_name>,...] | ALL CATALOGS}
   TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

データベース

GRANT
    { ALTER | DROP | CREATE TABLE | CREATE VIEW | CREATE FUNCTION | CREATE MATERIALIZED VIEW | ALL [PRIVILEGES] } 
    ON { DATABASE <database_name> [, <database_name>,...] | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
External Catalog 内のデータベースに対しては、CREATE TABLE 権限を Hive のみで付与できます (v3.1 以降)。

テーブル

-- 特定のテーブルに権限を付与します。
  GRANT
    { ALTER | DROP | SELECT | INSERT | EXPORT | UPDATE | DELETE | ALL [PRIVILEGES]}
    ON TABLE <table_name> [, < table_name >,...]
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

-- 特定のデータベースまたはすべてのデータベース内のすべてのテーブルに権限を付与します。
  GRANT
    { ALTER | DROP | SELECT | INSERT | EXPORT | UPDATE | DELETE | ALL [PRIVILEGES]}
    ON ALL TABLES IN { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
<db_name>.<table_name> を使用してテーブルを表すこともできます。
Internal および External Catalogs 内のすべてのテーブルに対して SELECT 権限を付与して、これらのテーブルからデータを読み取ることができます。Hive Catalogs 内のテーブルに対しては、INSERT 権限を付与してデータを書き込むことができます (v3.1 以降でサポート)。
```
GRANT <priv> ON TABLE <db_name>.<table_name> TO {ROLE <role_name> | USER <user_name>}
```

ビュー

GRANT  
    { ALTER | DROP | SELECT | ALL [PRIVILEGES]} 
    ON { VIEW <view_name> [, < view_name >,...]
       ｜ ALL VIEWS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
<db_name>.<view_name> を使用してビューを表すこともできます。
External Catalog 内のテーブルに対しては、Hive テーブルビューに対してのみ SELECT 権限を付与できます (v3.1 以降)。
```
GRANT <priv> ON VIEW <db_name>.<view_name> TO {ROLE <role_name> | USER <user_name>}
```

マテリアライズドビュー

GRANT
    { SELECT | ALTER | REFRESH | DROP | ALL [PRIVILEGES]} 
    ON { MATERIALIZED VIEW <mv_name> [, < mv_name >,...]
       ｜ ALL MATERIALIZED VIEWS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。

<db_name>.<mv_name> を使用して mv を表すこともできます。

GRANT <priv> ON MATERIALIZED VIEW <db_name>.<mv_name> TO {ROLE <role_name> | USER <user_name>}

関数

GRANT
    { USAGE | DROP | ALL [PRIVILEGES]} 
    ON { FUNCTION <function_name>(input_data_type) [, < function_name >(input_data_type),...]
       ｜ ALL FUNCTIONS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。

<db_name>.<function_name> を使用して関数を表すこともできます。

GRANT <priv> ON FUNCTION <db_name>.<function_name>(input_data_type) TO {ROLE <role_name> | USER <user_name>}

ユーザー

GRANT IMPERSONATE
ON USER <user_identity>
TO USER <user_identity_1> [ WITH GRANT OPTION ]

ストレージボリューム

GRANT  
    { USAGE | ALTER | DROP | ALL [PRIVILEGES] } 
    ON { STORAGE VOLUME < name > [, < name >,...] ｜ ALL STORAGE VOLUMES} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

ロールをロールまたはユーザーに付与

GRANT <role_name> [,<role_name>, ...] TO ROLE <role_name>
GRANT <role_name> [,<role_name>, ...] TO USER <user_identity>

例

例 1: すべてのデータベースのすべてのテーブルからデータを読み取る権限をユーザー jack に付与します。

GRANT SELECT ON *.* TO 'jack'@'%';

例 2: データベース db1 のすべてのテーブルにデータをロードする権限をロール my_role に付与します。

GRANT INSERT ON db1.* TO ROLE 'my_role';

例 3: データベース db1 のテーブル tbl1 に対してデータの読み取り、更新、およびロードする権限をユーザー jack に付与します。

GRANT SELECT,ALTER,INSERT ON db1.tbl1 TO 'jack'@'192.8.%';

例 4: すべてのリソースを使用する権限をユーザー jack に付与します。

GRANT USAGE ON RESOURCE * TO 'jack'@'%';

例 5: リソース spark_resource を使用する権限をユーザー jack に付与します。

GRANT USAGE ON RESOURCE 'spark_resource' TO 'jack'@'%';

例 6: リソース spark_resource を使用する権限をロール my_role に付与します。

GRANT USAGE ON RESOURCE 'spark_resource' TO ROLE 'my_role';

例 7: テーブル sr_member からデータを読み取る権限をユーザー jack に付与し、ユーザー jack がこの権限を他のユーザーやロールに付与できるようにします (WITH GRANT OPTION を指定)。

GRANT SELECT ON TABLE sr_member TO USER jack@'172.10.1.10' WITH GRANT OPTION;

例 8: システム定義のロール db_admin、user_admin、および cluster_admin をユーザー user_platform に付与します。

GRANT db_admin, user_admin, cluster_admin TO USER user_platform;

例 9: ユーザー jack がユーザー rose として操作を行えるようにします。

GRANT IMPERSONATE ON USER 'rose'@'%' TO USER 'jack'@'%';

ベストプラクティス

シナリオに基づいてロールをカスタマイズ

ロールをカスタマイズして、権限とユーザーを管理することをお勧めします。以下の例では、一般的なシナリオに対するいくつかの権限の組み合わせを分類しています。

StarRocks テーブルに対するグローバルな読み取り専用権限を付与

-- ロールを作成します。
CREATE ROLE read_only;
-- すべてのカタログに対する USAGE 権限をロールに付与します。
GRANT USAGE ON ALL CATALOGS TO ROLE read_only;
-- すべてのテーブルをクエリする権限をロールに付与します。
GRANT SELECT ON ALL TABLES IN ALL DATABASES TO ROLE read_only;
-- すべてのビューをクエリする権限をロールに付与します。
GRANT SELECT ON ALL VIEWS IN ALL DATABASES TO ROLE read_only;
-- すべてのマテリアライズドビューをクエリし、それらを使用してクエリを高速化する権限をロールに付与します。
GRANT SELECT ON ALL MATERIALIZED VIEWS IN ALL DATABASES TO ROLE read_only;

さらに、クエリで UDF を使用する権限を付与できます。

-- すべてのデータベースレベルの UDF に対する USAGE 権限をロールに付与します。
GRANT USAGE ON ALL FUNCTIONS IN ALL DATABASES TO ROLE read_only;
-- グローバル UDF に対する USAGE 権限をロールに付与します。
GRANT USAGE ON ALL GLOBAL FUNCTIONS TO ROLE read_only;

StarRocks テーブルに対するグローバルな書き込み権限を付与

-- ロールを作成します。
CREATE ROLE write_only;
-- すべてのカタログに対する USAGE 権限をロールに付与します。
GRANT USAGE ON ALL CATALOGS TO ROLE write_only;
-- すべてのテーブルに対する INSERT および UPDATE 権限をロールに付与します。
GRANT INSERT, UPDATE ON ALL TABLES IN ALL DATABASES TO ROLE write_only;
-- すべてのマテリアライズドビューに対する REFRESH 権限をロールに付与します。
GRANT REFRESH ON ALL MATERIALIZED VIEWS IN ALL DATABASES TO ROLE write_only;

特定の external catalog に対する読み取り専用権限を付与

-- ロールを作成します。
CREATE ROLE read_catalog_only;
-- 対象のカタログに対する USAGE 権限をロールに付与します。
GRANT USAGE ON CATALOG hive_catalog TO ROLE read_catalog_only;
-- 対応するカタログに切り替えます。
SET CATALOG hive_catalog;
-- external catalog 内のすべてのテーブルとビューをクエリする権限を付与します。
GRANT SELECT ON ALL TABLES IN ALL DATABASES TO ROLE read_catalog_only;

ヒント

external catalog のビューについては、Hive テーブルビューのみクエリできます (v3.1 以降)。

特定の external catalog に対する書き込み専用権限を付与

Iceberg テーブルにのみデータを書き込むことができます (v3.1 以降)。

-- ロールを作成します。
CREATE ROLE write_catalog_only;
-- 対象のカタログに対する USAGE 権限をロールに付与します。
GRANT USAGE ON CATALOG iceberg_catalog TO ROLE read_catalog_only;
-- 対応するカタログに切り替えます。
SET CATALOG iceberg_catalog;
-- Iceberg テーブルにデータを書き込む権限を付与します。
GRANT INSERT ON ALL TABLES IN ALL DATABASES TO ROLE write_catalog_only;

特定のデータベースに対する管理者権限を付与

-- ロールを作成します。
CREATE ROLE db1_admin;
-- 対象のデータベースに対するすべての権限をロールに付与します。このロールは、このデータベース内でテーブル、ビュー、マテリアライズドビュー、および UDF を作成できます。また、このデータベースを削除または変更することもできます。
GRANT ALL ON DATABASE db1 TO ROLE db1_admin;
-- 対応するカタログに切り替えます。
SET CATALOG iceberg_catalog;
-- このデータベース内のテーブル、ビュー、マテリアライズドビュー、および UDF に対するすべての権限をロールに付与します。
GRANT ALL ON ALL TABLES IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL VIEWS IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL MATERIALIZED VIEWS IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL FUNCTIONS IN DATABASE db1 TO ROLE db1_admin;

グローバル、データベース、テーブル、およびパーティションレベルでバックアップおよびリストア操作を実行する権限を付与

グローバルなバックアップおよびリストア操作を実行する権限を付与:

グローバルなバックアップおよびリストア操作を実行する権限は、任意のデータベース、テーブル、またはパーティションをバックアップおよびリストアすることを許可します。これには、SYSTEM レベルでの REPOSITORY 権限、default catalog でデータベースを作成する権限、任意のデータベースでテーブルを作成する権限、および任意のテーブルでデータをロードおよびエクスポートする権限が必要です。

-- ロールを作成します。
CREATE ROLE recover;
-- SYSTEM レベルでの REPOSITORY 権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover;
-- default catalog でデータベースを作成する権限を付与します。
GRANT CREATE DATABASE ON CATALOG default_catalog TO ROLE recover;
-- 任意のデータベースでテーブルを作成する権限を付与します。
GRANT CREATE TABLE ON ALL DATABASES TO ROLE recover;
-- 任意のテーブルでデータをロードおよびエクスポートする権限を付与します。
GRANT INSERT, EXPORT ON ALL TABLES IN ALL DATABASES TO ROLE recover;

データベースレベルでバックアップおよびリストア操作を実行する権限を付与:

データベースレベルでバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでの REPOSITORY 権限、default catalog でデータベースを作成する権限、任意のデータベースでテーブルを作成する権限、任意のテーブルにデータをロードする権限、およびバックアップ対象のデータベース内の任意のテーブルからデータをエクスポートする権限が必要です。

-- ロールを作成します。
CREATE ROLE recover_db;
-- SYSTEM レベルでの REPOSITORY 権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_db;
-- データベースを作成する権限を付与します。
GRANT CREATE DATABASE ON CATALOG default_catalog TO ROLE recover_db;
-- テーブルを作成する権限を付与します。
GRANT CREATE TABLE ON ALL DATABASES TO ROLE recover_db;
-- 任意のテーブルにデータをロードする権限を付与します。
GRANT INSERT ON ALL TABLES IN ALL DATABASES TO ROLE recover_db;
-- バックアップ対象のデータベース内の任意のテーブルからデータをエクスポートする権限を付与します。
GRANT EXPORT ON ALL TABLES IN DATABASE <db_name> TO ROLE recover_db;

テーブルレベルでバックアップおよびリストア操作を実行する権限を付与:

テーブルレベルでバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでの REPOSITORY 権限、対応するデータベースでテーブルを作成する権限、データベース内の任意のテーブルにデータをロードする権限、およびバックアップ対象のテーブルからデータをエクスポートする権限が必要です。

-- ロールを作成します。
CREATE ROLE recover_tbl;
-- SYSTEM レベルでの REPOSITORY 権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_tbl;
-- 対応するデータベースでテーブルを作成する権限を付与します。
GRANT CREATE TABLE ON DATABASE <db_name> TO ROLE recover_tbl;
-- データベース内の任意のテーブルにデータをロードする権限を付与します。
GRANT INSERT ON ALL TABLES IN DATABASE <db_name> TO ROLE recover_db;
-- バックアップ対象のテーブルからデータをエクスポートする権限を付与します。
GRANT EXPORT ON TABLE <table_name> TO ROLE recover_tbl;     

パーティションレベルでバックアップおよびリストア操作を実行する権限を付与:

パーティションレベルでバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでの REPOSITORY 権限、および対応するテーブルでデータをロードおよびエクスポートする権限が必要です。
```
-- ロールを作成します。
CREATE ROLE recover_par;
-- SYSTEM レベルでの REPOSITORY 権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_par;
-- 対応するテーブルでデータをロードおよびエクスポートする権限を付与します。
GRANT INSERT, EXPORT ON TABLE <table_name> TO ROLE recover_par;
```

マルチサービスアクセス制御のベストプラクティスについては、 Multi-service access control を参照してください。

説明​

構文​

ロールまたはユーザーに権限を付与​

システム​

リソースグループ​

リソース​

グローバル UDF​

Internal catalog​

External catalog​

データベース​

テーブル​

ビュー​

マテリアライズドビュー​

関数​

ユーザー​

ストレージボリューム​

ロールをロールまたはユーザーに付与​

例​

ベストプラクティス​

シナリオに基づいてロールをカスタマイズ​

StarRocks テーブルに対するグローバルな読み取り専用権限を付与​

StarRocks テーブルに対するグローバルな書き込み権限を付与​

特定の external catalog に対する読み取り専用権限を付与​

特定の external catalog に対する書き込み専用権限を付与​

特定のデータベースに対する管理者権限を付与​

グローバル、データベース、テーブル、およびパーティションレベルでバックアップおよびリストア操作を実行する権限を付与​

このドキュメントについてどう思いましたか？

説明

構文