Überblick über die Rollen in Snowflake Data Clean Room¶
Überblick über die Rollen und Komponenten¶
Die Snowflake DCR-Anwendung besteht aus zwei Hauptkomponenten:
Eine native Anwendung, die im Konto des Kunden ausgeführt wird und alle von der Webanwendung angefragten Aktionen ausführt.
Eine Webanwendung, die eine codelose browserbasierte Weboberfläche bietet. Die Webanwendung ist ein Wrapper, der die native Anwendung aufruft, um Aktionen durchzuführen. Die Webanwendung wird für die folgenden Zwecke verwendet:
Vom Snowflake-Administrator, um die Reinraumumgebung zu installieren und Snowflake-Features auf Kontoebene zu verwalten.
Durch den Webanwendungsmanager, um den Zugriff auf die Webanwendung innerhalb seines Kontos zu verwalten.
Von nicht-technischen Benutzern, um Reinräume zu erstellen oder Abfragen in einem Reinraum durchzuführen (als Anbieter oder Verbraucher).
Das folgende Diagramm zeigt die verschiedenen Reinraumfunktionen und -objekte sowie die dafür erforderlichen Snowflake-Rollen.
Der Snowflake-Administrator, der DCR-Administrator und der Reinraummanager greifen alle über die Webanwendung auf die native Anwendung zu. Die Webanwendung verwendet ein Dienstkonto, DCR_SERVICE_USER, das vom Snowflake-Administrator erstellt wurde. Dieses Dienstkonto verwendet die SAMOOHA_APP_ROLE für den Zugriff auf die native Anwendung. Entwickler greifen direkt auf die native Anwendung zu, indem sie die SAMOOHA_APP_ROLE verwenden.
Das Diagramm zeigt die vier grundlegenden Funktionsrollen, die ein Benutzer in einem Reinraum einnehmen kann. Ein Benutzer kann in einer bestimmten Organisation mehrere Rollen übernehmen.
Snowflake-Administrator: Der Snowflake-Administrator installiert und verwaltet die Reinraumumgebung für ein Snowflake-Konto. Das Management erfolgt hauptsächlich über die Webanwendung. Diese Rolle erfordert die Rolle ACCOUNTADMIN, um ausführende Aktionen durchzuführen. Snowflake-Administratoren führen die folgenden Aufgaben aus:
Installieren Sie die Reinraumumgebung.
Benennen Sie Administratoren für Reinräume.
Erstellen Sie das DCR_SERVICE_USER-Dienstkonto, das für die Ausführung der Webanwendung benötigt wird (mehr dazu später).
Legen Sie fest, welche Snowflake-Daten in diesem Konto von Reinraum-Erstellern in Reinräume importiert werden können.
Installieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten).
DCR-Administrator: Der Reinraum-Administrator verwaltet die Reinraumumgebung für ein Snowflake-Konto, nachdem es vom Snowflake-Administrator installiert wurde. Diese Person verwendet die Webanwendung für Managementaufgaben. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Administratoren von Reinräumen führen die folgenden Aufgaben aus:
Fügen Sie weitere Reinraum-Administratoren hinzu.
Aktivieren und konfigurieren Sie verschiedene Konnektoren von Drittanbietern, z. B. Aktivierungskonnektoren (für den Export von Reinraumdaten an Drittanbieter), Konnektoren von Identitätsanbietern (für die Verwaltung von Entitäten-PID) und externe Datenkonnektoren (für den Import von Nicht-Snowflake-Daten). Aktivierte Konnektoren können von Reinraummanagern verwendet werden.
Überprüfen Sie die Ergebnisse von Sicherheitsscans auf potenzielle Sicherheitsprobleme in benutzerdefinierten Reinraumvorlagen.
Fügen Sie Reinraummanager und andere DCR-Administratoren hinzu.
Reinraummanager: Die Rolle des Reinraummanagers in der Webanwendung ermöglicht es Benutzern, mit der Webanwendung als Anbieter und Verbraucher von Reinräumen zu agieren. Reinraummanager werden vom DCR-Administrator hinzugefügt oder entfernt. Im Hintergrund wird das unten beschriebene DCR_SERVICE_USER-Dienstkonto verwendet. Reinraummanager können die folgenden Aktionen durchführen:
Erstellen, teilen und löschen Sie Reinräume gemäß den allgemeinen Einstellungen, die der DCR-Administrator konfiguriert hat.
Spezifizieren oder erstellen Sie Vorlagen für einen Reinraum.
Konfigurieren Sie die differentielle Privatsphäre für einen Reinraum.
Geben Sie einen Reinraum für bestimmte Konten frei.
Verknüpfen (installieren und betreiben) Sie einen Reinraum.
Importieren Sie Daten in einen Reinraum.
Führen Sie Abfragen durch, die von einem Reinraum unterstützt werden.
Exportieren Sie Abfrageergebnisse, wie von einem Reinraum ermöglicht.
Entwickler: Ein Entwickler verfügt über die gleichen Funktionen wie ein Reinraummanager, verwendet jedoch die API anstelle der Webanwendung. Ein Entwickler muss die SAMOOHA_APP_ROLE explizit verwenden, wenn er die API aufruft. Der DCR-Administrator verwaltet die Entwickler eines Kontos, indem er die SAMOOHA_APP_ROLE für das Snowflake-Konto des Entwicklers freigibt bzw. nicht freigibt. Ein Entwickler kann die gleichen Aufgaben wie ein Reinraummanager ausführen, mit Ausnahme der Auswahl und Konfiguration von Konnektoren.
ACCOUNTADMIN: Die Rolle, die der Snowflake-Administrator für die Installation und Konfiguration der Reinraumumgebung verwendet. Im Hintergrund wird diese Rolle auch dazu verwendet, anderen Teammitgliedern die SAMOOHA_APP_ROLE zuzuweisen, wenn Benutzern der Zugriff auf ein Konto für Reinräume gewährt wird.
SAMOOHA_APP_ROLE: Die Rolle, die für alle Managementaufrufe der nativen App verwendet wird, die nicht die Umgebungsebene betreffen, sei es über die Webanwendung oder direkt durch einen API-Entwickler. Wenn ein Benutzer die Webanwendung verwendet, wird diese Rolle transparent auf seine Anfragen angewendet.
DCR_SERVICE_USER: Ein Dienstkonto, das vom Snowflake-Administrator bei der Installation von DCR erstellt wurde. Für dieses Konto gilt die SAMOOHA_APP_ROLE. Der DCR-Administrator und der Reinraummanager verwenden dieses Objekt transparent, wenn sie die Webanwendung verwenden.
Zusammenfassung der Funktionen¶
Funktion |
Snowflake admin |
DCR-Administrator |
Reinraummanager |
Entwickler |
---|---|---|---|---|
Umgebung und Webanwendung einrichten |
✅ |
|||
Kontrollieren, was in neuen Reinräumen angezeigt werden kann |
✅ |
|||
Verwalten von Snowflake-Features auf Kontoebene |
✅ |
|||
Verwalten des Zugriffs auf Webanwendungen |
✅ |
|||
Aktivieren oder Deaktivieren von Verbraucherkonten |
✅ |
|||
Verwalten des Unternehmensprofils in der Web-App |
✅ |
|||
Verwalten der Konnektoren von Drittanbietern |
✅ |
✅ |
||
Genehmigen von Analysevorlagen |
✅ |
✅ |
✅ |
|
Einrichten und Installieren von Reinräumen |
✅ |
✅ |
✅ |
|
Anzeigen und Ausführen von Analysen |
✅ |
✅ |
✅ |