Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS脳でSnowflakeの権限管理をしたら沼にハマった話
Search
あべ
March 18, 2026
Technology
160
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS脳でSnowflakeの権限管理をしたら沼にハマった話
https://cloud-shokudo.connpass.com/event/382188/
あべ
March 18, 2026
More Decks by あべ
See All by あべ
Snowflakeと仲良くなる第一歩
coco_se
4
600
社会人9年目の僕が贈る処世術
coco_se
1
240
Cortex Code君、今日から内製化支援担当ね。
coco_se
0
650
Other Decks in Technology
See All in Technology
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
330
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
230
クラウドファンディング版StackChan 3体(4体)をインタラクティブな体験型作品にして展示もした話 / スタックチャンお誕生日会2026
you
PRO
0
270
「ビジネスがわかるエンジニア」とは何か?
ryooob
0
440
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.9k
LiDAR SLAMの実装とセンサ融合 ~Lie群からContinuous-Time LIOまで~
naokiakai
1
840
組織における AI-DLC 実践
askul
0
280
開発組織のAI活用レベルを可視化する「エンジニア版AI番付」の取り組み
fuzzy31u
0
100
WebGIS AI Agentの紹介
_shimizu
0
610
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
360
認証認可だけじゃない! ID管理の構成要素と ライフサイクルを意識しよう
ritou
1
440
Text-to-SQLをAgentCoreで実現し、生成されるSQLの精度を定量的に評価する
yakumo
2
380
Featured
See All Featured
The World Runs on Bad Software
bkeepers
PRO
72
12k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
190
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
Docker and Python
trallard
47
3.9k
Embracing the Ebb and Flow
colly
88
5.1k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
How to make the Groovebox
asonas
2
2.3k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
630
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
[SF Ruby Conf 2025] Rails X
palkan
2
1.1k
Transcript
Copyright © 2026 BeeX Inc. All Rights Reserved. AWS脳でSnowflakeの権限管理したら 沼にハマった話
クラウド食堂 LT 2026年3月18日 株式会社BeeX 安倍 航太
Copyright © 2026 BeeX Inc. All Rights Reserved. 2 ・名前
安倍 航太(あべ こうた) ・所属 株式会社BeeX(2025年11月入社) ・業務 データ分析基盤導入支援 ・好きな技術 Snowflake、AWS ・SNS : @_coco_se 自己紹介 会社ブログアイコン SNSアイコン Data \人生初LT登壇!/
Copyright © 2026 BeeX Inc. All Rights Reserved. 3 Q.
What is Snowflake?? A. THE AI CLOUD!! Snowflakeって何なのさ?
Copyright © 2026 BeeX Inc. All Rights Reserved. 4 AWSで例えるならば、これらのサービスの集合体!
※すべてが同じように使えるわけではない AWS好きの皆さんへ Amazon Redshift AWS Glue Amazon Data Firehose AWS Step Functions Amazon Managed Workflows for Apache Airflow (Amazon MWAA) Amazon Forecast Amazon SageMaker AI Amazon Textract Amazon Translate Amazon Bedrock Amazon Q Amazon Elastic Container Service (Amazon ECS) Amazon Aurora (PostgreSQL) AWS Security Hub Amazon Simple Storage Service (Amazon S3) (S3 Tables、S3 Vectors) Amazon Quick Suite ※Amazon Quick Amazon Kinesis AWS Lake Formation etc…
Copyright © 2026 BeeX Inc. All Rights Reserved. 5 前置きはここまで
今回ハマったこと ↓ Snowflakeの権限管理
Copyright © 2026 BeeX Inc. All Rights Reserved. 6 Snowflakeの権限管理
アクセス制御方式は色々あるけど使っていたのは ロールベースのアクセス制御(RBAC) 皆さんおなじみIAMロールと同じ感覚で大丈夫!!(今は…です) Permissions (IAMポリシー) IAM Role Amazon Simple Storage Service (Amazon S3) Amazon Cloudwatch Logs アクセス設定を ロールにアタッチ ロールを使えば アクセス設定に従って アクセス可能に 【AWSの場合】
Copyright © 2026 BeeX Inc. All Rights Reserved. 7 権限に対する考え方の違い
AWSは、APIの操作をIAMポリシーで許可してロールにアタッチ Snowflakeは、オブジェクトの操作権限をGRANT文でロールに アタッチ Snowflakeはすべてを「オブジェクト」としてとらえる。
Copyright © 2026 BeeX Inc. All Rights Reserved. 8 ん…?
ほぼ一緒だし、簡単では?
Copyright © 2026 BeeX Inc. All Rights Reserved. 9 Snowflakeの権限管理…簡単では?
そう思ったそこのあなた。甘いです。 Snowflakeにおける権限付与の考え方は、 大きく分けて以下の二つです。 • 既に存在するオブジェクトに対する権限 • 将来的に作成するオブジェクトに対する権限 これが難しい!
Copyright © 2026 BeeX Inc. All Rights Reserved. 10 将来的な権限設定
例えば、以下のような設定をします。 ロールA:将来的にTEST_DB配下に作成されるテーブルには SELECT権限を付与する (データベースレベルの権限設定) ロールB:将来的にTEST_DBのTEST_SCHEMAに作成される テーブルにはSELECT権限を付与する (スキーマレベルの権限設定)
Copyright © 2026 BeeX Inc. All Rights Reserved. 11 図示するとこうなるはずだよね?(想像)
ロールAの権限範囲 TEST_DB TEST_SCHEMA TABLE1 TEST_SCHEMA2 TABLE2 TABLE3 ロールBの権限範囲 新規作成対象
Copyright © 2026 BeeX Inc. All Rights Reserved. 12 実際はこうなる
ロールAの権限範囲 TEST_DB TEST_SCHEMA TABLE1 TEST_SCHEMA2 TABLE2 TABLE3 ロールBの権限範囲 将来的な権限設定は、オブジェクトから見たときに より狭い範囲で定義された設定に従う!!
Copyright © 2026 BeeX Inc. All Rights Reserved. 13 そういう場合はこうしてね
ロールA:将来的にTEST_DB配下に作成されるテーブルには SELECT権限を付与する (データベースレベルの権限設定) + 将来的にTEST_DBのTEST_SCHEMAに作成される テーブルにはSELECT権限を付与する (スキーマレベルの権限設定) ロールB:将来的にTEST_DBのTEST_SCHEMAに作成される テーブルにはSELECT権限を付与する (スキーマレベルの権限設定)
Copyright © 2026 BeeX Inc. All Rights Reserved. 14 まとめ
•同じロールベースのアクセス制御でも 製品によって考え方が異なる •Snowflakeの将来的なアクセス権限の付与は オブジェクトから見たときにどれが近いのかが重要 •Snowflakeはめちゃめちゃ奥深くて面白い
Copyright © 2026 BeeX Inc. All Rights Reserved.