Überblick über die Rollen in Snowflake Data Clean Room¶

Überblick über die Rollen und Komponenten¶

Die Snowflake DCR-Anwendung besteht aus zwei Hauptkomponenten:

• Eine native Anwendung, die im Konto des Kunden ausgeführt wird und alle von der Webanwendung angefragten Aktionen ausführt.

• Eine Webanwendung, die eine codelose browserbasierte Weboberfläche bietet. Die Webanwendung ist ein Wrapper, der die native Anwendung aufruft, um Aktionen durchzuführen. Die Webanwendung wird für die folgenden Zwecke verwendet:

  • Vom Snowflake-Administrator, um die Reinraumumgebung zu installieren und Snowflake-Features auf Kontoebene zu verwalten.

  • Durch den Webanwendungsmanager, um den Zugriff auf die Webanwendung innerhalb seines Kontos zu verwalten.

  • Von nicht-technischen Benutzern, um Reinräume zu erstellen oder Abfragen in einem Reinraum durchzuführen (als Anbieter oder Verbraucher).

Das folgende Diagramm zeigt die verschiedenen Reinraumfunktionen und -objekte sowie die dafür erforderlichen Snowflake-Rollen.

Der Snowflake-Administrator, der DCR-Administrator und der Reinraummanager greifen alle über die Webanwendung auf die native Anwendung zu. Die Webanwendung verwendet ein Dienstkonto, DCR_SERVICE_USER, das vom Snowflake-Administrator erstellt wurde. Dieses Dienstkonto verwendet die SAMOOHA_APP_ROLE für den Zugriff auf die native Anwendung. Entwickler greifen direkt auf die native Anwendung zu, indem sie die SAMOOHA_APP_ROLE verwenden.

Das Diagramm zeigt die vier grundlegenden Funktionsrollen, die ein Benutzer in einem Reinraum einnehmen kann. Ein Benutzer kann in einer bestimmten Organisation mehrere Rollen übernehmen.

• Snowflake-Administrator: Der Snowflake-Administrator installiert und verwaltet die Reinraumumgebung für ein Snowflake-Konto. Das Management erfolgt hauptsächlich über die Webanwendung. Diese Rolle erfordert die Rolle ACCOUNTADMIN, um ausführende Aktionen durchzuführen. Snowflake-Administratoren führen die folgenden Aufgaben aus:

  • Installieren Sie die Reinraumumgebung.

  • Benennen Sie Administratoren für Reinräume.

  • Erstellen Sie das DCR_SERVICE_USER-Dienstkonto, das für die Ausführung der Webanwendung benötigt wird (mehr dazu später).

  • Legen Sie fest, welche Snowflake-Daten in diesem Konto von Reinraum-Erstellern in Reinräume importiert werden können.

  • Installieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten).

• DCR-Administrator: Der Reinraum-Administrator verwaltet die Reinraumumgebung für ein Snowflake-Konto, nachdem es vom Snowflake-Administrator installiert wurde. Diese Person verwendet die Webanwendung für Managementaufgaben. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Administratoren von Reinräumen führen die folgenden Aufgaben aus:

  • Fügen Sie weitere Reinraum-Administratoren hinzu.

  • Aktivieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten). Aktivierte Konnektoren können von Reinraummanagern verwendet werden.

  • Überprüfen Sie die Ergebnisse von Sicherheitsscans auf potenzielle Sicherheitsprobleme in benutzerdefinierten Reinraumvorlagen.

  • Fügen Sie Reinraummanager und andere DCR-Administratoren hinzu.

• Reinraummanager: Die Rolle des Reinraummanagers in der Webanwendung ermöglicht es Benutzern, mit der Webanwendung als Anbieter und Verbraucher von Reinräumen zu agieren. Reinraummanager werden vom DCR-Administrator hinzugefügt oder entfernt. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Reinraummanager können die folgenden Aktionen durchführen:

  • Erstellen, teilen und löschen Sie Reinräume gemäß den allgemeinen Einstellungen, die der DCR-Administrator konfiguriert hat.

  • Spezifizieren oder erstellen Sie Vorlagen für einen Reinraum.

  • Konfigurieren Sie die differentielle Privatsphäre für einen Reinraum.

  • Geben Sie einen Reinraum für bestimmte Konten frei.

  • Verknüpfen (installieren und betreiben) Sie einen Reinraum.

  • Importieren Sie Daten in einen Reinraum.

  • Führen Sie Abfragen durch, die von einem Reinraum unterstützt werden.

  • Exportieren Sie Abfrageergebnisse, wie von einem Reinraum ermöglicht.

• Entwickler: Ein Entwickler verfügt über die gleichen Funktionen wie ein Reinraummanager, verwendet jedoch die API anstelle der Webanwendung. Ein Entwickler muss die SAMOOHA_APP_ROLE explizit verwenden, wenn er die API aufruft. Der DCR-Administrator verwaltet die Entwickler eines Kontos, indem er die SAMOOHA_APP_ROLE für das Snowflake-Konto des Entwicklers freigibt bzw. nicht freigibt. Ein Entwickler kann die gleichen Aufgaben wie ein Reinraummanager ausführen, mit Ausnahme der Auswahl und Konfiguration von Konnektoren.

• ACCOUNTADMIN: Die Rolle, die der Snowflake-Administrator für die Installation und Konfiguration der Reinraumumgebung verwendet. Im Hintergrund wird diese Rolle auch dazu verwendet, anderen Teammitgliedern die SAMOOHA_APP_ROLE zuzuweisen, wenn Benutzern der Zugriff auf ein Konto für Reinräume gewährt wird.

• SAMOOHA_APP_ROLE: Die Rolle, die für alle Managementaufrufe der nativen App verwendet wird, die nicht die Umgebungsebene betreffen, sei es über die Webanwendung oder direkt durch einen API-Entwickler. Wenn ein Benutzer die Webanwendung verwendet, wird diese Rolle transparent auf seine Anfragen angewendet.

• DCR_SERVICE_USER: Ein Dienstkonto, das vom Snowflake-Administrator bei der Installation von DCR erstellt wurde. Für dieses Konto gilt die SAMOOHA_APP_ROLE. Der DCR-Administrator und der Reinraummanager verwenden dieses Objekt transparent, wenn sie die Webanwendung verwenden.