セキュリティ保護可能なオブジェクトは、Snowflake でアクセスを許可できるエンティティです。セキュリティ保護可能なオブジェクトには、データベース、スキーマ、テーブル、ビュー、ステージ、パイプ、関数、プロシージャ、シーケンス、タスク、ストリーム、ロール、ウェアハウス、共有などがあります1。
Snowflake オブジェクト階層は、セキュリティ保護可能なオブジェクトをネストされた方法で編成する論理構造です。最上位のコンテナはアカウントであり、顧客組織のすべてのデータベース、ロール、ウェアハウスが含まれています。各データベースにはスキーマが含まれており、スキーマにはテーブル、ビュー、ステージ、パイプ、関数、プロシージャ、シーケンス、タスク、ストリームが含まれています。各ロールには、他のロールまたはセキュリティ保護可能なオブジェクトに対する権限を付与できます。各ウェアハウスは、セキュリティ保護可能なオブジェクトに対するクエリの実行に使用できます2。
Snowflake オブジェクト階層に基づいて、Snowflake アカウントに直接属するセキュリティ保護可能なオブジェクトは、データベース、ロール、ウェアハウスです。これらのオブジェクトはアカウント レベルで作成および管理され、他のセキュリティ保護可能なオブジェクトには依存しません。他のオプションは次の理由により正しくありません。
スキーマはアカウントではなくデータベースに属します。スキーマは既存のデータベース内に作成する必要があります3。
テーブルはアカウントではなくスキーマに属します。テーブルは既存のスキーマ内に作成する必要があります4。
ステージはアカウントではなく、スキーマまたはテーブルに属します。ステージは既存のスキーマまたはテーブル内に作成する必要があります。
参考文献:
1: アクセス制御の概要 | スノーフレークのドキュメント
2: セキュリティ保護可能なオブジェクト | スノーフレークのドキュメント
3: スキーマの作成 | スノーフレークのドキュメント
4: テーブルの作成 | スノーフレークのドキュメント
[5]: ステージの作成 | スノーフレークのドキュメント

デフォルトでは、Snowflake は Business Critical エディションから非 Business Critical エディションへのデータの共有を許可しません。これは、Business Critical エディションでは、下位エディションでは利用できない強化されたセキュリティおよびデータ保護機能が提供されるためです。ただし、この制限は、共有オブジェクト (データベース、スキーマ、またはテーブル) の share_restriction パラメーターを false に設定することでオーバーライドできます。このパラメーターを使用すると、データ プロバイダーは下位エディションのアカウントとのデータ共有を明示的に許可できます。このパラメータはデータ プロバイダーのみが設定でき、データ コンシューマーは設定できないことに注意してください。また、このパラメータを false に設定すると、共有データのセキュリティとデータ保護のレベルが低下する可能性があります。
参考文献:
データ共有を有効にする: ビジネス クリティカル アカウントから下位エディションへのデータ共有を有効にする
BUSINESS CRITICAL Edition のアカウントから下位エディションのアカウントへの共有は許可されない SQL 実行エラー: BUSINESS CRITICAL Edition のアカウントから下位エディションのアカウントへの共有は許可されません。スノーフレークのドキュメント

SnowPro Advanced: Architect Exam Study Guide によると、テーブルで検索最適化サービスを有効にするには、ユーザーはテーブルとスキーマに対する ADD SEARCH OPTIMIZATION 権限を持っている必要があります。
権限は明示的に付与することも、データベースやロールなどの上位レベルのオブジェクトから継承することもできます。テーブルに対する OWNERSHIP 権限は ADD SEARCH OPTIMIZATION 権限を意味するため、テーブルを所有するユーザーはテーブルに対する検索最適化サービスを有効にすることができます。したがって、正しい答えは、VPN_ACCESS_LOGS の OWNERSHIP と SECURITY_LOGS スキーマの ADD SEARCH OPTIMIZATION を持つロールを引き受けることです。これにより、ユーザーは VPN_ACCESS_LOGS テーブルおよび SECURITY_LOGS スキーマで作成される今後のテーブルで検索最適化サービスを有効にすることができます。他のオプションは、過剰な権限を付与するか、テーブルまたはスキーマに必要な権限を付与しないため、正しくありません。参考文献:
SnowPro Advanced: Architect 試験学習ガイド、11 ページ、セクション 2.3.1
Snowflake ドキュメント: 検索最適化サービスの有効化

マスキング ポリシーは、ユーザーの役割とデータの状態に基づいてクエリ結果内の機密データをマスキングできる Snowflake の機能です。マスキング ポリシーはテーブルまたはビュー内の列に適用でき、同じテーブルまたはビュー内の別の列を条件付き列として使用できます。条件列は、値1に基づいて秘匿化ポリシーを適用するかどうかを決定する列です。
この場合、event_timestamp を条件列としてユーザー名列のマスキング ポリシーを使用することで要件を満たすことができます。マスキング ポリシーでは、event_timestamp が現在の日付に基づいて 6 か月以上古い場合にユーザー名をマスクし、それ以外の場合は元のユーザー名を返す関数を使用できます。マスキング ポリシーは user_events テーブルに適用でき、テーブルを使用してビューを作成するとき、または table2 を複製するときにも適用されます。
他のオプションは次の理由により正しくありません。
A)。有効な日付を含む資格テーブルを使用してユーザー名列にマスキング ポリシーを使用するには、各ユーザー名の有効な日付を格納する別のテーブルを作成し、それをマスキング ポリシー関数で user_events テーブルと結合する必要があります。これにより、マスキング ポリシーに複雑さとオーバーヘッドが追加され、マスキングの条件としてevent_timestamp列が使用されなくなります。
B)。有効な日付を持つ資格テーブルを使用して user_events テーブルで行レベルのポリシーを使用するには、各ユーザー名の有効な日付を保存する別のテーブルを作成し、それを行アクセス ポリシー関数で user_events テーブルと結合する必要があります。これにより、username 列をマスクするのではなく、有効な日付に基づいて、event_timestamp が 6 か月より古い行がフィルターで除外されます。これはユーザー名をマスクするという要件を満たさず、イベント データの可視性も低下します。
D)。username 列の case ステートメントを使用して user_events テーブルで安全なビューを使用するには、case 式を使用して、event_timestamp 列に基づいて username 列をマスクするビューを作成する必要があります。これはユーザー名をマスクするという要件を満たしますが、テーブルのクローン作成時には適用されません。安全なビューは、ビューに対するクエリによって基になるデータが公開されるのを防ぐビューです。ただし、安全なビューであっても、テーブルのクローンを作成することによって基になるデータが公開されるのを防ぐことはできません3。
参考文献:
1: マスキングポリシー | スノーフレークのドキュメント
2: マスキング ポリシーでの条件付き列の使用 | スノーフレークのドキュメント
3: 安全なビュー | スノーフレークのドキュメント