Snowflake Data Clean Rooms: Aufgaben des Administrators

Unter diesem Thema werden die Aufgaben des Administrators eines Snowflake Data Clean Room beschrieben. Informationen zur Installation der Clean Room-Umgebung in Ihrem Snowflake-Konto finden Sie unter Snowflake Data Clean Rooms-Umgebung installieren.

Aktualisierung der Clean Rooms-Umgebung

Snowflake Data Clean Rooms aktualisiert seine Binärdateien wöchentlich, um neue Features, Prozeduren und UI-Aktualisierungen zu unterstützen. Versionshinweise für wichtige neue Releases finden Sie unter Abschnitt mit Aktualisierungen der Features der Snowflake-Versionshinweise (suchen Sie nach „clean rooms“).

Clean Rooms-UI-Aktualisierungen

Die Clean Rooms-UI-Umgebung wird von Snowflake automatisch aktualisiert. Um die aktualisierte Version zu erhalten, müssen sich die Benutzer lediglich ab- und wieder bei der Clean Rooms-UI anmelden.

Clean Rooms-API-Aktualisierungen

Clean Rooms-Admins können entweder die automatischen API-Aktualisierungen aktivieren (empfohlen) oder die API-Umgebung manuell bei jedem neuen Release aktualisieren, wie im Folgenden beschrieben.

Automatische API-Aktualisierungen

Clean Rooms-API-Admins können festlegen, dass Clean Rooms-Aktualisierungen automatisch beim Release installiert werden, indem sie die folgenden SQL-Befehle einmal in ihrem Konto ausführen:

USE ROLE SAMOOHA_APP_ROLE;
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.library.enable_local_db_auto_upgrades();
Copy

Clean Rooms-API-Benutzende in diesem Konto sehen die Aktualisierungen kurz nach der Bereitstellung. Sie müssen sich dafür nicht abmelden.

Manuelle API-Aktualisierungen

Wir empfehlen, für Ihr Konto die automatischen Clean Rooms-Updates zu aktivieren. Wenn Sie es vorziehen, die API-Umgebung Ihres Kontos manuell zu aktualisieren, können Sie jeweils den folgenden SQL-Befehle ausführen, wenn Sie die Umgebung aktualisieren möchten:

USE ROLE SAMOOHA_APP_ROLE;
CALL SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.library.apply_patch();
Copy

Ihre Release-Nummer können Sie mit dem folgenden SQL-Befehl ermitteln:

SELECT * FROM SAMOOHA_BY_SNOWFLAKE_LOCAL_DB.ADMIN.VERSION;
Copy

Verwenden eines anderen Warehouse

Clean Rooms verfügen über mehrere Warehouses, die auf die API zugreifen können. Wählen Sie das Warehouse aus, das für Ihre Bedürfnisse geeignet ist. Sie können auch eine kundenspezifische Warehouse-Größe für bestimmte Aktionen auswählen, z. B. für Anbieteraktivierung.

Ihr Clean Room kann jedoch jedes von Ihnen gewählte Warehouse nutzen, wenn Sie USAGE- und OPERATE -Berechtigungen für dieses Warehouse für die Rolle SAMOOHA_APP_ROLE gewähren.

Um zum Beispiel ein Warehouse my_big_warehouse hinzuzufügen, das zur Durchführung von Analysen verwendet werden kann, führen Sie die folgenden Befehle von einem Arbeitsblatt aus:

USE ROLE ACCOUNTADMIN;

CREATE WAREHOUSE my_big_warehouse WITH WAREHOUSE_SIZE = X5LARGE;
GRANT USAGE, OPERATE ON WAREHOUSE my_big_warehouse TO ROLE SAMOOHA_APP_ROLE;
Copy

Überwachen der Clean Rooms-UI-Aktivität

Als Administrator können Sie verfolgen, was die Benutzer in der Clean Rooms-UI tun, indem Sie den Abfrageverlauf in Ihrem Snowflake-Konto überwachen. Sie können die Einträge im Abfrageverlauf identifizieren, die einer Aktivität in der Clean Rooms-UI entsprechen, da der Wert von user_name`der Name des Dienstbenutzers ist, der bei der :ref:`Konfiguration des Snowflake-Kontos <label-dcr_install_clean_rooms_ui_step> erstellt wurde.

Sie können das Abfrage-Tag user_email verwenden, um festzustellen, welcher Benutzer im Reinraum eine Aktion ausgeführt hat.

Um auf den Abfrageverlauf für Ihre Reinraumumgebung zuzugreifen, führen Sie einen der folgenden Schritte aus, je nachdem, ob Sie SQL oder Snowsight verwenden möchten:

Snowsight:

  1. Melden Sie sich bei dem Snowflake-Konto, das mit Ihrer Reinraumumgebung verbunden ist, als Benutzer mit der Rolle ACCOUNTADMIN an.

  2. Wählen Sie im Navigationsmenü die Option Monitoring » Query History aus.

  3. Verwenden Sie den Filter User, um den Dienstkontobenutzer auszuwählen, der mit der Reinraumumgebung verbunden ist.

SQL:

  • Führen Sie Abfragen auf der Ansicht QUERY_HISTORY im Schema ACCOUNT_USAGE der freigegebenen SNOWFLAKE-Datenbank aus.

    Um zum Beispiel die Clean Rooms-UI-Aktivität des Benutzers joe@example.com zu verfolgen, führen Sie den folgenden Code aus:

    SELECT *,
  TRY_PARSE_JSON(query_tag) AS query_tag_details
  FROM snowflake.account_usage.query_history
  WHERE query_tag_details IS NOT NULL
    AND query_tag_details:request_type = 'DCR'
    AND query_tag_details:user_email = 'joe@example.com';
    Copy

Vom Anbieter durchgeführte Analysen überwachen

Eine vom Anbieter durchgeführte Analyse bezieht sich auf den Prozess, bei dem ein Anbieter einen Reinraum erstellt und freigibt und dann eine Analyse in diesem Reinraum durchführt, nachdem der Verbraucher seine Daten verlinkt hat. Diese Analysen werden im Konto des Verbrauchers ausgeführt, nicht in dem des Anbieters. In diesem Abschnitt wird beschrieben, wie der Verbraucher die Abfragen verfolgen kann, die von den Analysen des Anbieters im Reinraum ausgeführt werden.

Snowflake Data Clean Rooms weist jeder Abfrage, die für eine vom Anbieter durchgeführte Analyse ausgeführt wird, ein Abfrage-Tag zu. Dieses Abfrage-Tag hat die Form cleanroom_UUID_provider_account_locator. Ein Verbraucher kann alle Abfragen abrufen, die mit vom Anbieter durchgeführten Analysen verbunden sind, indem er im Abfrageverlauf seines Kontos nach dem Abfrage-Tag sucht.

Um die Abfrage abzurufen, rufen Sie zunächst die UUID für einen Reinraum auf und suchen dann nach dem Abfrage-Tag. Ersetzen Sie im folgenden Code cleanroom_name und provider_account_locator durch die entsprechenden Werte.

-- Retrieve clean room UUID
SELECT cleanroom_id FROM samooha_by_snowflake_local_db.public.cleanroom_record
  WHERE cleanroom_name = '<cleanroom_name>';

-- Retrieve queries with provider-run query tag
SELECT * FROM snowflake.account_usage.query_history
  WHERE query_tag = cleanroom_id || '<provider_account_locator>;
Copy

Sie können auch Snowsight verwenden, um den Abfrageverlauf nach dem entsprechenden Abfrage-Tag zu filtern, nachdem Sie SQL verwendet haben, um den Reinraum UUID abzurufen.

Verfügbare Konnektoren anpassen

Mit Konnektoren können Sie die Reinraumumgebung mit Ihren Ökosystempartnern zusammenführen. Als Reinraum-Administrator eines Anbieters können Sie die Reinraumumgebung so anpassen, dass dem Reinraumbenutzer nur bestimmte Konnektoren als Optionen angezeigt werden. Wenn Sie beispielsweise einen einzigen bevorzugten Aktivierungspartner haben, können Sie die Reinraumumgebung so konfigurieren, dass dieser Partner die einzige Option ist, wenn ein Verbraucher die Ergebnisse einer Analyse in einem Reinraum aktiviert.

Bemerkung

Ihre Anpassungen gelten nur für neue Reinräume.

Um zu kontrollieren, welche Konnektoren in einem Clean Room verfügbar sind, benötigen Sie die Rolle MANAGE_DCR_CONNECTORS.

  1. Melden Sie sich bei der Clean Rooms-UI an.

  2. Wählen Sie im linken Navigationsbereich die Option Admin » Profile & Features aus.

  3. Optional: Um Konnektoren für die Aktivierung anzupassen, gehen Sie wie folgt vor:

    1. Wählen Sie auf der Kachel Activation die Option Edit aus.

    2. Wählen Sie die Aktivierungsoptionen aus, die Sie anzeigen möchten, und wählen Sie dann Save aus.

  4. Optional: Um die Konnektoren für Identität und Datenanbieter anzupassen, gehen Sie wie folgt vor:

    1. Wählen Sie auf der Kachel Identity & Data Provider die Option Edit aus.

    2. Wählen Sie die Identitätsoptionen, die Sie anzeigen möchten, und wählen Sie dann Save.

Branding Ihrer Reinräume

Sie können ein Profil für Ihre Reinraumumgebung konfigurieren, sodass jeder erstellte Reinraum mit Ihrem Logo und Firmennamen versehen wird. Um das Logo und den Namen für Ihr Unternehmen festzulegen, benötigen Sie die Rolle MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Melden Sie sich bei der Clean Rooms-UI an.

  2. Wählen Sie im linken Navigationsbereich die Option Admin » Profile & Features aus.

  3. Gehen Sie im Abschnitt Company profile wie folgt vor:

    1. Laden Sie ein Logo für Ihr Unternehmen im Format JPG oder PNG hoch. Dieses Logo wird für jedem erstellten Reinraum angezeigt.

    2. Bearbeiten Sie Company Name, um den Namen festzulegen, der in den Reinräumen angezeigt werden soll, die in Ihrer Umgebung erstellt werden.

Single Sign-On (SSO) aktivieren

Wenn Sie Single Sign-On (SSO) für die Snowflake-Authentifizierung aktivieren möchten, wenden Sie sich an den Snowflake-Support. Ein Konto muss die Snowflake-Authentifizierung verwenden, damit SSO aktiviert werden kann. Wenn Sie sie noch nicht verwenden, migrieren Sie zur Snowflake-Authentifizierung, bevor Sie SSO anfordern.

Schlüsselpaar-Authentifizierung zulassen

Der Benutzer des Dienstkontos, über das die Reinraumumgebung mit Ihrem Snowflake-Konto kommuniziert, verwendet zur Authentifizierung das Schlüsselpaar. Wenn Ihr Snowflake-Konto Authentifizierungsrichtlinien verwendet, um zu steuern, wie sich Benutzer authentifizieren, dann muss die Authentifizierungsrichtlinie, die den Dienstkontobenutzer steuert, die Authentifizierung mit Schlüsselpaaren erlauben.

Um die Schlüsselpaar-Authentifizierung zuzulassen, entfernen Sie entweder alle Authentifizierungsrichtlinien oder fügen eine Authentifizierungsrichtlinie mit AUTHENTICATION_METHODS = ALL oder AUTHENTICATION_METHODS = KEYPAIR hinzu. Wenn Ihr Snowflake-Konto über eine Authentifizierungsrichtlinie auf Kontoebene verfügt, die keine Schlüsselpaar-Authentifizierung zulässt, müssen Sie eine neue Authentifizierungsrichtlinie mit dem entsprechenden Parameter erstellen und die Richtlinie dann dem Benutzer des Dienstkontos zuweisen, das während des Installationsprozesses erstellt wurde.

Sie können Ihre Authentifizierungsrichtlinien überprüfen, indem Sie diesen Befehl ausführen:

SHOW AUTHENTICATION POLICIES;
Copy

Eine leere Ergebnistabelle zeigt an, dass es keine Richtlinien gibt, was bedeutet, dass die Schlüsselpaar-Authentifizierung erlaubt ist.

Verwalten von Servicebenutzenden

Die Clean Rooms-UI nutzt ein Servicebenutzerkonto für die Ausführung der meisten Clean Room-Aktionen. Sie können den Schlüssel ändern oder die Benutzenden des Clean Room-Service wechseln, nachdem dieser erstellt oder Ihrem Konto über die Clean Rooms-UI hinzugefügt wurde, wie in diesem Abschnitt beschrieben.

Wichtig

Ändern Sie die Benutzenden des Clean Room-Service nur über die Clean Rooms-UI. Wenn Sie Servicebenutzende außerhalb der UI ändern, kann Clean Rooms möglicherweise nicht mehr auf die Servicebenutzenden zugreifen.

Ändern Sie die Servicebenutzenden

Gehen Sie wie folgt vor, wenn Sie die Namen der Servicebenutzenden ändern oder neue Servicebenutzende verwenden möchten (im Wesentlichen dasselbe):

  1. Öffnen Sie Snowflake Admin » Service User Management und wählen Sie Bearbeiten-Symbol (Bearbeiten).

  2. Ändern Sie die Namen der Servicebenutzenden in Benutzende, den Sie erstellt haben und über das aktuelle Konto zugänglich sind.

  3. Wählen Sie Reauthenticate aus. Ein Bestätigungsdialogfeld wird angezeigt.

  4. Lesen Sie die Informationen im Dialogfeld, und wählen Sie dann Confirm aus, um mit der Verwendung dieses Agenten zu beginnen.

Ändern des Servicebenutzerschlüssels

Wenn Sie den RSA-Schlüssel für Ihre Servicebenutzenden ändern möchten, gehen Sie wie unten beschrieben vor. Wenn Sie den Schlüssel außerhalb der Clean Rooms-Umgebung ändern, können Sie die meisten UI-Funktionen nicht mehr nutzen, bis Sie den Servicebenutzerschlüssel wie im Folgenden beschrieben zurücksetzen.

  1. Öffnen Sie Snowflake Admin » Service User Management und wählen Sie Bearbeiten-Symbol (Bearbeiten).

  2. Wählen Sie Reauthenticate neben dem Abschnitt zur manuellen Einrichtung aus. Ein Bestätigungsdialogfeld wird geöffnet.

  3. Lesen Sie die Informationen im Dialogfeld, und wählen Sie anschließend Confirm aus, um einen neuen RSA-Schlüssel zu generieren.

Sie können Informationen über den öffentlichen Schlüssel des Dienstagenten anzeigen, indem Sie folgenden SQL-Befehl ausführen (setzen Sie dabei den Namen Ihrer oder Ihres Servicebenutzenden an den erforderlichen Stellen ein):

DESCRIBE USER <service_user_name> ->>
  SELECT *
    FROM $1
      WHERE "property" ILIKE 'RSA_PUBLIC_KEY%';
Copy

Clean Rooms unterstützt keine Schlüsselrotation mit RSA_PUBLIC_KEY_2, also ignorieren Sie die Informationen zu RSA_PUBLIC_KEY_2.

Aktivierung in der Clean Room UI aktivieren oder deaktivieren

Die Aktivierung bei Verwendung der Clean Room UI wird global von einem Administrator des Clean Room gesteuert. Die Aktivierung in der Clean Room API wird auf Clean Room-Ebene vom Anbieter gesteuert.

In diesem Abschnitt erfahren Sie, wie Sie die Aktivierung aktivieren oder deaktivieren können, wenn Sie die Clean Room UI verwenden. Um zu erfahren, wie Sie die Aktivierung aktivieren können, wenn Sie die API verwenden, lesen Sie die Aktivierungsanleitung.

Anbieter- und Verbraucheraktivierung sind standardmäßig in Ihrem Clean Room-Konto aktiviert, wenn Sie die Clean Room UI verwenden. Die Drittanbieter-Aktivierung muss manuell aktiviert werden.

Hier erfahren Sie, wie Sie die Aktivierung für UI-Benutzer in Ihrem Konto aktivieren oder deaktivieren:

  1. Melden Sie sich in der Clean Room-Umgebung in der Clean Rooms-UI als DCR-Administrator an.

  2. Wählen Sie Admin » Profile & Features aus.

  3. Wählen Sie im Abschnitt Activation die Option Edit aus.

    • So verwalten Sie die Verbraucheraktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben Collaborator Account.

    • So verwalten Sie die Anbieteraktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Namen Ihres eigenen Kontos.

    • So verwalten Sie die Drittanbieter-Aktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Drittanbieter-Aktivierungsziel, das Sie aktivieren oder deaktivieren möchten. Die Drittanbieter-Aktivierung wird durch Konnektoren ermöglicht und ist nur in der Clean Room UI verfügbar. Siehe die Liste der verfügbaren Drittanbieter-Konnektoren.

Erfahren Sie, wie Sie die Aktivierung in einem Clean Room umsetzen können.

Netzwerkrichtlinien konfigurieren

Wenn Ihr Snowflake-Konto eine Netzwerkrichtlinie verwendet, um den Netzwerkdatenverkehr zu kontrollieren, müssen Sie explizit den Datenverkehr von den IP-Adressen zulassen, die die Clean Rooms-UI für die Kommunikation mit Ihrem Snowflake-Konto verwendet.

Find the IP addresses used for your region in the IP network addresses used by clean rooms UI column in the IP address table.

Siehe Details zum Dienstkonto für diese Umgebung

Die Clean Rooms-UI verwendet ein Dienstkonto, um mit Snowflake zu kommunizieren. Dieses Dienstkonto wurde vom Kontoadministrator erstellt, als dieser die Clean Room-Umgebung für dieses Konto installiert hat.

Sie können die Details zum Benutzer des Dienstkontos nicht ändern.

Um Details über das Dienstkonto für diese Clean Room-Umgebung zu sehen, benötigen Sie die Rolle MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

  2. Navigieren Sie zu Admin > Snowflake Admin.

  3. Auf der Seite Snowflake Admin können Sie Informationen wie den Namen und die E-Mail-Adresse des Dienstbenutzers einsehen.

Sprache: Deutsch