GRANT

説明

特定のオブジェクトに対する1つ以上の権限をユーザーまたはロールに付与します。

ロールをユーザーまたは他のロールに付与します。

付与可能な権限の詳細については、 Privilege items を参照してください。

GRANT 操作が実行された後、 SHOW GRANTS を実行して詳細な権限情報を表示したり、 REVOKE を実行して権限やロールを取り消すことができます。

GRANT 操作を実行する前に、関連するユーザーまたはロールが作成されていることを確認してください。詳細については、 CREATE USER および CREATE ROLE を参照してください。

ヒント

user_admin ロールを持つユーザーのみが、他のユーザーやロールに任意の権限を付与できます。
ロールがユーザーに付与された後、このロールとして操作を行う前に SET ROLE を実行してこのロールを有効化する必要があります。すべてのデフォルトロールをログイン時に有効化したい場合は、 ALTER USER または SET DEFAULT ROLE を実行してください。システム内のすべての権限をすべてのユーザーに対してログイン時に有効化したい場合は、グローバル変数 SET GLOBAL activate_all_roles_on_login = TRUE; を設定してください。
一般ユーザーは、WITH GRANT OPTION キーワードを持つ権限のみを他のユーザーやロールに付与できます。

構文

ロールまたはユーザーに権限を付与する

システム

GRANT
    { CREATE RESOURCE GROUP | CREATE RESOURCE | CREATE EXTERNAL CATALOG | REPOSITORY | BLACKLIST | FILE | OPERATE | CREATE STORAGE VOLUME } 
    ON SYSTEM
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

リソースグループ

GRANT
    { ALTER | DROP | ALL [PRIVILEGES] } 
    ON { RESOURCE GROUP <resource_group_name> [, <resource_group_name >,...] ｜ ALL RESOURCE GROUPS} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

リソース

GRANT
    { USAGE | ALTER | DROP | ALL [PRIVILEGES] } 
    ON { RESOURCE <resource_name> [, < resource_name >,...] ｜ ALL RESOURCES} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

グローバル UDF

GRANT
    { USAGE | DROP | ALL [PRIVILEGES]} 
    ON { GLOBAL FUNCTION <function_name>(input_data_type) [, <function_name>(input_data_type),...]    
       | ALL GLOBAL FUNCTIONS }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

例: GRANT usage ON GLOBAL FUNCTION a(string) to kevin;

Internal catalog

GRANT
    { USAGE | CREATE DATABASE | ALL [PRIVILEGES]} 
    ON CATALOG default_catalog
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

External catalog

GRANT
   { USAGE | DROP | ALL [PRIVILEGES] } 
   ON { CATALOG <catalog_name> [, <catalog_name>,...] | ALL CATALOGS}
   TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

データベース

GRANT
    { ALTER | DROP | CREATE TABLE | CREATE VIEW | CREATE FUNCTION | CREATE MATERIALIZED VIEW | ALL [PRIVILEGES] } 
    ON { DATABASE <database_name> [, <database_name>,...] | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
External Catalog 内のデータベースに対しては、CREATE TABLE 権限を Hive (v3.1以降) および Iceberg データベース (v3.2以降) にのみ付与できます。

テーブル

-- 特定のテーブルに対する権限を付与します。
  GRANT
    { ALTER | DROP | SELECT | INSERT | EXPORT | UPDATE | DELETE | ALL [PRIVILEGES]}
    ON TABLE <table_name> [, < table_name >,...]
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

-- 特定のデータベースまたはすべてのデータベース内のすべてのテーブルに対する権限を付与します。
  GRANT
    { ALTER | DROP | SELECT | INSERT | EXPORT | UPDATE | DELETE | ALL [PRIVILEGES]}
    ON ALL TABLES IN { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
<db_name>.<table_name> を使用してテーブルを表すこともできます。
Internal および External Catalog 内のすべてのテーブルに対して SELECT 権限を付与して、これらのテーブルからデータを読み取ることができます。Hive および Iceberg Catalog のテーブルに対しては、INSERT 権限を付与してデータを書き込むことができます (Iceberg は v3.1以降、Hive は v3.2以降でサポート)。
```
GRANT <priv> ON TABLE <db_name>.<table_name> TO {ROLE <role_name> | USER <user_name>}
```

ビュー

GRANT  
    { ALTER | DROP | SELECT | ALL [PRIVILEGES]} 
    ON { VIEW <view_name> [, < view_name >,...]
       ｜ ALL VIEWS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。
<db_name>.<view_name> を使用してビューを表すこともできます。
External Catalog のテーブルに対しては、Hive テーブルビューにのみ SELECT 権限を付与できます (v3.1以降)。
```
GRANT <priv> ON VIEW <db_name>.<view_name> TO {ROLE <role_name> | USER <user_name>}
```

マテリアライズドビュー

GRANT
    { SELECT | ALTER | REFRESH | DROP | ALL [PRIVILEGES]} 
    ON { MATERIALIZED VIEW <mv_name> [, < mv_name >,...]
       ｜ ALL MATERIALIZED VIEWS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。

<db_name>.<mv_name> を使用して mv を表すこともできます。

GRANT <priv> ON MATERIALIZED VIEW <db_name>.<mv_name> TO {ROLE <role_name> | USER <user_name>}

関数

GRANT
    { USAGE | DROP | ALL [PRIVILEGES]} 
    ON { FUNCTION <function_name>(input_data_type) [, < function_name >(input_data_type),...]
       ｜ ALL FUNCTIONS} IN 
           { { DATABASE <database_name> } | ALL DATABASES }
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

このコマンドを実行する前に SET CATALOG を実行する必要があります。

<db_name>.<function_name> を使用して関数を表すこともできます。

GRANT <priv> ON FUNCTION <db_name>.<function_name>(input_data_type) TO {ROLE <role_name> | USER <user_name>}

ユーザー

GRANT IMPERSONATE
ON USER <user_identity>
TO USER <user_identity_1> [ WITH GRANT OPTION ]

ストレージボリューム

GRANT  
    { USAGE | ALTER | DROP | ALL [PRIVILEGES] } 
    ON { STORAGE VOLUME < name > [, < name >,...] ｜ ALL STORAGE VOLUMES} 
    TO { ROLE | USER} {<role_name>|<user_identity>} [ WITH GRANT OPTION ]

ロールをロールまたはユーザーに付与する

GRANT <role_name> [,<role_name>, ...] TO ROLE <role_name>
GRANT <role_name> [,<role_name>, ...] TO USER <user_identity>

例

例 1: すべてのデータベースのすべてのテーブルからデータを読み取る権限をユーザー jack に付与します。

GRANT SELECT ON *.* TO 'jack'@'%';

例 2: データベース db1 のすべてのテーブルにデータをロードする権限をロール my_role に付与します。

GRANT INSERT ON db1.* TO ROLE 'my_role';

例 3: データベース db1 のテーブル tbl1 に対してデータの読み取り、更新、およびロードする権限をユーザー jack に付与します。

GRANT SELECT,ALTER,INSERT ON db1.tbl1 TO 'jack'@'192.8.%';

例 4: すべてのリソースを使用する権限をユーザー jack に付与します。

GRANT USAGE ON RESOURCE * TO 'jack'@'%';

例 5: リソース spark_resource を使用する権限をユーザー jack に付与します。

GRANT USAGE ON RESOURCE 'spark_resource' TO 'jack'@'%';

例 6: リソース spark_resource を使用する権限をロール my_role に付与します。

GRANT USAGE ON RESOURCE 'spark_resource' TO ROLE 'my_role';

例 7: テーブル sr_member からデータを読み取る権限をユーザー jack に付与し、ユーザー jack がこの権限を他のユーザーやロールに付与できるようにします (WITH GRANT OPTION を指定)。

GRANT SELECT ON TABLE sr_member TO USER jack@'172.10.1.10' WITH GRANT OPTION;

例 8: システム定義のロール db_admin、user_admin、および cluster_admin をユーザー user_platform に付与します。

GRANT db_admin, user_admin, cluster_admin TO USER user_platform;

例 9: ユーザー jack がユーザー rose として操作を行えるようにします。

GRANT IMPERSONATE ON USER 'rose'@'%' TO USER 'jack'@'%';

ベストプラクティス

シナリオに基づいてロールをカスタマイズする

ロールをカスタマイズして、権限とユーザーを管理することをお勧めします。以下の例は、一般的なシナリオにおけるいくつかの権限の組み合わせを分類しています。

StarRocks テーブルに対するグローバルな読み取り専用権限を付与する

-- ロールを作成します。
CREATE ROLE read_only;
-- すべてのカタログに対するUSAGE権限をロールに付与します。
GRANT USAGE ON ALL CATALOGS TO ROLE read_only;
-- すべてのテーブルをクエリする権限をロールに付与します。
GRANT SELECT ON ALL TABLES IN ALL DATABASES TO ROLE read_only;
-- すべてのビューをクエリする権限をロールに付与します。
GRANT SELECT ON ALL VIEWS IN ALL DATABASES TO ROLE read_only;
-- すべてのマテリアライズドビューをクエリし、それらを使用してクエリを高速化する権限をロールに付与します。
GRANT SELECT ON ALL MATERIALIZED VIEWS IN ALL DATABASES TO ROLE read_only;

さらに、クエリでUDFを使用する権限を付与できます。

-- すべてのデータベースレベルのUDFに対するUSAGE権限をロールに付与します。
GRANT USAGE ON ALL FUNCTIONS IN ALL DATABASES TO ROLE read_only;
-- グローバルUDFに対するUSAGE権限をロールに付与します。
GRANT USAGE ON ALL GLOBAL FUNCTIONS TO ROLE read_only;

StarRocks テーブルに対するグローバルな書き込み権限を付与する

-- ロールを作成します。
CREATE ROLE write_only;
-- すべてのカタログに対するUSAGE権限をロールに付与します。
GRANT USAGE ON ALL CATALOGS TO ROLE write_only;
-- すべてのテーブルに対するINSERTおよびUPDATE権限をロールに付与します。
GRANT INSERT, UPDATE ON ALL TABLES IN ALL DATABASES TO ROLE write_only;
-- すべてのマテリアライズドビューに対するREFRESH権限をロールに付与します。
GRANT REFRESH ON ALL MATERIALIZED VIEWS IN ALL DATABASES TO ROLE write_only;

特定の external catalog に対する読み取り専用権限を付与する

-- ロールを作成します。
CREATE ROLE read_catalog_only;
-- 対象のカタログに対するUSAGE権限をロールに付与します。
GRANT USAGE ON CATALOG hive_catalog TO ROLE read_catalog_only;
-- 対応するカタログに切り替えます。
SET CATALOG hive_catalog;
-- external catalog 内のすべてのテーブルとすべてのビューをクエリする権限を付与します。
GRANT SELECT ON ALL TABLES IN ALL DATABASES TO ROLE read_catalog_only;

ヒント

external catalog のビューについては、Hive テーブルビューのみをクエリできます (v3.1以降)。

特定の external catalog に対する書き込み専用権限を付与する

Iceberg テーブル (v3.1以降) および Hive テーブル (v3.2以降) にのみデータを書き込むことができます。

-- ロールを作成します。
CREATE ROLE write_catalog_only;
-- 対象のカタログに対するUSAGE権限をロールに付与します。
GRANT USAGE ON CATALOG iceberg_catalog TO ROLE read_catalog_only;
-- 対応するカタログに切り替えます。
SET CATALOG iceberg_catalog;
-- Iceberg テーブルにデータを書き込む権限を付与します。
GRANT INSERT ON ALL TABLES IN ALL DATABASES TO ROLE write_catalog_only;

特定のデータベースに対する管理者権限を付与する

-- ロールを作成します。
CREATE ROLE db1_admin;
-- 対象のデータベースに対するすべての権限をロールに付与します。このロールは、このデータベースでテーブル、ビュー、マテリアライズドビュー、およびUDFを作成できます。また、このデータベースを削除または変更することもできます。
GRANT ALL ON DATABASE db1 TO ROLE db1_admin;
-- 対応するカタログに切り替えます。
SET CATALOG iceberg_catalog;
-- このデータベース内のテーブル、ビュー、マテリアライズドビュー、およびUDFに対するすべての権限をロールに付与します。
GRANT ALL ON ALL TABLES IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL VIEWS IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL MATERIALIZED VIEWS IN DATABASE db1 TO ROLE db1_admin;
GRANT ALL ON ALL FUNCTIONS IN DATABASE db1 TO ROLE db1_admin;

グローバル、データベース、テーブル、およびパーティションレベルでバックアップおよびリストア操作を実行する権限を付与する

グローバルバックアップおよびリストア操作を実行する権限を付与する:

グローバルバックアップおよびリストア操作を実行する権限は、任意のデータベース、テーブル、またはパーティションをバックアップおよびリストアすることを許可します。これには、SYSTEM レベルでのREPOSITORY権限、default catalog でのデータベース作成権限、任意のデータベースでのテーブル作成権限、および任意のテーブルでのデータのロードおよびエクスポート権限が必要です。

-- ロールを作成します。
CREATE ROLE recover;
-- SYSTEM レベルでのREPOSITORY権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover;
-- default catalog でデータベースを作成する権限を付与します。
GRANT CREATE DATABASE ON CATALOG default_catalog TO ROLE recover;
-- 任意のデータベースでテーブルを作成する権限を付与します。
GRANT CREATE TABLE ON ALL DATABASES TO ROLE recover;
-- 任意のテーブルでデータをロードおよびエクスポートする権限を付与します。
GRANT INSERT, EXPORT ON ALL TABLES IN ALL DATABASES TO ROLE recover;

データベースレベルのバックアップおよびリストア操作を実行する権限を付与する:

データベースレベルのバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでのREPOSITORY権限、default catalog でのデータベース作成権限、任意のデータベースでのテーブル作成権限、任意のテーブルへのデータロード権限、およびバックアップ対象のデータベース内の任意のテーブルからデータをエクスポートする権限が必要です。

-- ロールを作成します。
CREATE ROLE recover_db;
-- SYSTEM レベルでのREPOSITORY権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_db;
-- データベースを作成する権限を付与します。
GRANT CREATE DATABASE ON CATALOG default_catalog TO ROLE recover_db;
-- テーブルを作成する権限を付与します。
GRANT CREATE TABLE ON ALL DATABASES TO ROLE recover_db;
-- 任意のテーブルにデータをロードする権限を付与します。
GRANT INSERT ON ALL TABLES IN ALL DATABASES TO ROLE recover_db;
-- バックアップ対象のデータベース内の任意のテーブルからデータをエクスポートする権限を付与します。
GRANT EXPORT ON ALL TABLES IN DATABASE <db_name> TO ROLE recover_db;

テーブルレベルのバックアップおよびリストア操作を実行する権限を付与する:

テーブルレベルのバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでのREPOSITORY権限、対応するデータベースでのテーブル作成権限、データベース内の任意のテーブルにデータをロードする権限、およびバックアップ対象のテーブルからデータをエクスポートする権限が必要です。

-- ロールを作成します。
CREATE ROLE recover_tbl;
-- SYSTEM レベルでのREPOSITORY権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_tbl;
-- 対応するデータベースでテーブルを作成する権限を付与します。
GRANT CREATE TABLE ON DATABASE <db_name> TO ROLE recover_tbl;
-- データベース内の任意のテーブルにデータをロードする権限を付与します。
GRANT INSERT ON ALL TABLES IN DATABASE <db_name> TO ROLE recover_db;
-- バックアップしたいテーブルからデータをエクスポートする権限を付与します。
GRANT EXPORT ON TABLE <table_name> TO ROLE recover_tbl;     

パーティションレベルのバックアップおよびリストア操作を実行する権限を付与する:

パーティションレベルのバックアップおよびリストア操作を実行する権限には、SYSTEM レベルでのREPOSITORY権限、および対応するテーブルでのデータのロードおよびエクスポート権限が必要です。
```
-- ロールを作成します。
CREATE ROLE recover_par;
-- SYSTEM レベルでのREPOSITORY権限を付与します。
GRANT REPOSITORY ON SYSTEM TO ROLE recover_par;
-- 対応するテーブルでデータをロードおよびエクスポートする権限を付与します。
GRANT INSERT, EXPORT ON TABLE <table_name> TO ROLE recover_par;
```

説明​

構文​

ロールまたはユーザーに権限を付与する​

システム​

リソースグループ​

リソース​

グローバル UDF​

Internal catalog​

External catalog​

データベース​

テーブル​

ビュー​

マテリアライズドビュー​

関数​

ユーザー​

ストレージボリューム​

ロールをロールまたはユーザーに付与する​

例​

ベストプラクティス​

シナリオに基づいてロールをカスタマイズする​

StarRocks テーブルに対するグローバルな読み取り専用権限を付与する​

StarRocks テーブルに対するグローバルな書き込み権限を付与する​

特定の external catalog に対する読み取り専用権限を付与する​

特定の external catalog に対する書き込み専用権限を付与する​

特定のデータベースに対する管理者権限を付与する​

グローバル、データベース、テーブル、およびパーティションレベルでバックアップおよびリストア操作を実行する権限を付与する​

説明

構文