Überblick über die Rollen in Snowflake Data Clean Room

Überblick über die Rollen und Komponenten

Die Snowflake DCR-Anwendung besteht aus zwei Hauptkomponenten:

  • Eine native Anwendung, die im Konto des Kunden ausgeführt wird und alle von der Webanwendung angefragten Aktionen ausführt.

  • Eine Webanwendung, die eine codelose browserbasierte Weboberfläche bietet. Die Webanwendung ist ein Wrapper, der die native Anwendung aufruft, um Aktionen durchzuführen. Die Webanwendung wird für die folgenden Zwecke verwendet:

    • Vom Snowflake-Administrator, um die Reinraumumgebung zu installieren und Snowflake-Features auf Kontoebene zu verwalten.

    • Durch den Webanwendungsmanager, um den Zugriff auf die Webanwendung innerhalb seines Kontos zu verwalten.

    • Von nicht-technischen Benutzern, um Reinräume zu erstellen oder Abfragen in einem Reinraum durchzuführen (als Anbieter oder Verbraucher).

Das folgende Diagramm zeigt die verschiedenen Reinraumfunktionen und -objekte sowie die dafür erforderlichen Snowflake-Rollen.

Der Snowflake-Administrator, der DCR-Administrator und der Reinraummanager greifen alle über die Webanwendung auf die native Anwendung zu. Die Webanwendung verwendet ein Dienstkonto, DCR_SERVICE_USER, das vom Snowflake-Administrator erstellt wurde. Dieses Dienstkonto verwendet die SAMOOHA_APP_ROLE für den Zugriff auf die native Anwendung. Entwickler greifen direkt auf die native Anwendung zu, indem sie die SAMOOHA_APP_ROLE verwenden.

Diagramm mit den verschiedenen Funktionen und Snowflake-Rollen

Das Diagramm zeigt die vier grundlegenden Funktionsrollen, die ein Benutzer in einem Reinraum einnehmen kann. Ein Benutzer kann in einer bestimmten Organisation mehrere Rollen übernehmen.

  • Snowflake-Administrator: Der Snowflake-Administrator installiert und verwaltet die Reinraumumgebung für ein Snowflake-Konto. Das Management erfolgt hauptsächlich über die Webanwendung. Diese Rolle erfordert die Rolle ACCOUNTADMIN, um ausführende Aktionen durchzuführen. Snowflake-Administratoren führen die folgenden Aufgaben aus:

    • Installieren Sie die Reinraumumgebung.

    • Benennen Sie Administratoren für Reinräume.

    • Erstellen Sie das DCR_SERVICE_USER-Dienstkonto, das für die Ausführung der Webanwendung benötigt wird (mehr dazu später).

    • Legen Sie fest, welche Snowflake-Daten in diesem Konto von Reinraum-Erstellern in Reinräume importiert werden können.

    • Installieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten).

  • DCR-Administrator: Der Reinraum-Administrator verwaltet die Reinraumumgebung für ein Snowflake-Konto, nachdem es vom Snowflake-Administrator installiert wurde. Diese Person verwendet die Webanwendung für Managementaufgaben. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Administratoren von Reinräumen führen die folgenden Aufgaben aus:

    • Fügen Sie weitere Reinraum-Administratoren hinzu.

    • Aktivieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten). Aktivierte Konnektoren können von Reinraummanagern verwendet werden.

    • Überprüfen Sie die Ergebnisse von Sicherheitsscans auf potenzielle Sicherheitsprobleme in benutzerdefinierten Reinraumvorlagen.

    • Fügen Sie Reinraummanager und andere DCR-Administratoren hinzu.

  • Reinraummanager: Die Rolle des Reinraummanagers in der Webanwendung ermöglicht es Benutzern, mit der Webanwendung als Anbieter und Verbraucher von Reinräumen zu agieren. Reinraummanager werden vom DCR-Administrator hinzugefügt oder entfernt. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Reinraummanager können die folgenden Aktionen durchführen:

    • Erstellen, teilen und löschen Sie Reinräume gemäß den allgemeinen Einstellungen, die der DCR-Administrator konfiguriert hat.

    • Spezifizieren oder erstellen Sie Vorlagen für einen Reinraum.

    • Konfigurieren Sie die differentielle Privatsphäre für einen Reinraum.

    • Geben Sie einen Reinraum für bestimmte Konten frei.

    • Verknüpfen (installieren und betreiben) Sie einen Reinraum.

    • Importieren Sie Daten in einen Reinraum.

    • Führen Sie Abfragen durch, die von einem Reinraum unterstützt werden.

    • Exportieren Sie Abfrageergebnisse, wie von einem Reinraum ermöglicht.

  • Entwickler: Ein Entwickler verfügt über die gleichen Funktionen wie ein Reinraummanager, verwendet jedoch die API anstelle der Webanwendung. Ein Entwickler muss die SAMOOHA_APP_ROLE explizit verwenden, wenn er die API aufruft. Der DCR-Administrator verwaltet die Entwickler eines Kontos, indem er die SAMOOHA_APP_ROLE für das Snowflake-Konto des Entwicklers freigibt bzw. nicht freigibt. Ein Entwickler kann die gleichen Aufgaben wie ein Reinraummanager ausführen, mit Ausnahme der Auswahl und Konfiguration von Konnektoren.

  • ACCOUNTADMIN: Die Rolle, die der Snowflake-Administrator für die Installation und Konfiguration der Reinraumumgebung verwendet. Im Hintergrund wird diese Rolle auch dazu verwendet, anderen Teammitgliedern die SAMOOHA_APP_ROLE zuzuweisen, wenn Benutzern der Zugriff auf ein Konto für Reinräume gewährt wird.

  • SAMOOHA_APP_ROLE: Die Rolle, die für alle Managementaufrufe der nativen App verwendet wird, die nicht die Umgebungsebene betreffen, sei es über die Webanwendung oder direkt durch einen API-Entwickler. Wenn ein Benutzer die Webanwendung verwendet, wird diese Rolle transparent auf seine Anfragen angewendet.

  • DCR_SERVICE_USER: Ein Dienstkonto, das vom Snowflake-Administrator bei der Installation von DCR erstellt wurde. Für dieses Konto gilt die SAMOOHA_APP_ROLE. Der DCR-Administrator und der Reinraummanager verwenden dieses Objekt transparent, wenn sie die Webanwendung verwenden.

Zusammenfassung der Funktionen

Funktion

Snowflake admin

DCR-Administrator

Reinraummanager

Entwickler

Umgebung und Webanwendung einrichten

Kontrollieren, was in neuen Reinräumen angezeigt werden kann

Verwalten von Snowflake-Features auf Kontoebene

Verwalten des Zugriffs auf Webanwendungen

Aktivieren oder Deaktivieren von Verbraucherkonten

Verwalten des Unternehmensprofils in der Web-App

Verwalten der Konnektoren von Drittanbietern

Genehmigen von Analysevorlagen

Einrichten und Installieren von Reinräumen

Anzeigen und Ausführen von Analysen

OSZAR »