Snowflake Data Clean Rooms: Aufgaben des Administrators

Unter diesem Thema werden die Aufgaben des Administrators eines Snowflake Data Clean Room beschrieben. Informationen zur Installation der Clean Room-Umgebung in Ihrem Snowflake-Konto finden Sie unter Snowflake Data Clean Rooms-Umgebung installieren.

Verwenden eines anderen Warehouse

Clean Rooms verfügen über mehrere Warehouses, die auf die API zugreifen können. Wählen Sie das Warehouse aus, das für Ihre Bedürfnisse geeignet ist. Sie können auch eine kundenspezifische Warehouse-Größe für bestimmte Aktionen auswählen, z. B. für Anbieteraktivierung.

Ihr Clean Room kann jedoch jedes von Ihnen gewählte Warehouse nutzen, wenn Sie USAGE- und OPERATE -Berechtigungen für dieses Warehouse für die Rolle SAMOOHA_APP_ROLE gewähren.

Um zum Beispiel ein Warehouse my_big_warehouse hinzuzufügen, das zur Durchführung von Analysen verwendet werden kann, führen Sie die folgenden Befehle von einem Arbeitsblatt aus:

USE ROLE ACCOUNTADMIN;

CREATE WAREHOUSE my_big_warehouse WITH WAREHOUSE_SIZE = X5LARGE;
GRANT USAGE, OPERATE ON WAREHOUSE my_big_warehouse TO ROLE SAMOOHA_APP_ROLE;
Copy

Überwachen der Clean Rooms-UI-Aktivität

Als Administrator können Sie verfolgen, was die Benutzer in der Clean Rooms-UI tun, indem Sie den Abfrageverlauf in Ihrem Snowflake-Konto überwachen. Sie können die Einträge im Abfrageverlauf identifizieren, die einer Aktivität in der Clean Rooms-UI entsprechen, da der Wert von user_name`der Name des Dienstbenutzers ist, der bei der :ref:`Konfiguration des Snowflake-Kontos <label-dcr_install_clean_rooms_ui_step> erstellt wurde.

Sie können das Abfrage-Tag user_email verwenden, um festzustellen, welcher Benutzer im Reinraum eine Aktion ausgeführt hat.

Um auf den Abfrageverlauf für Ihre Reinraumumgebung zuzugreifen, führen Sie einen der folgenden Schritte aus, je nachdem, ob Sie SQL oder Snowsight verwenden möchten:

Snowsight:
  1. Melden Sie sich bei dem Snowflake-Konto, das mit Ihrer Reinraumumgebung verbunden ist, als Benutzer mit der Rolle ACCOUNTADMIN an.

  2. Wählen Sie Monitoring » Query History aus.

  3. Verwenden Sie den Filter User, um den Dienstkontobenutzer auszuwählen, der mit der Reinraumumgebung verbunden ist.

SQL:
  • Führen Sie Abfragen auf der Ansicht QUERY_HISTORY im Schema ACCOUNT_USAGE der freigegebenen SNOWFLAKE-Datenbank aus.

    Um zum Beispiel die Clean Rooms-UI-Aktivität des Benutzers joe@example.com zu verfolgen, führen Sie den folgenden Code aus:

    SELECT *,
      TRY_PARSE_JSON(query_tag) AS query_tag_details
      FROM snowflake.account_usage.query_history
      WHERE query_tag_details IS NOT NULL
        AND query_tag_details:request_type = 'DCR'
        AND query_tag_details:user_email = 'joe@example.com';
    
    Copy

Vom Anbieter durchgeführte Analysen überwachen

Eine vom Anbieter durchgeführte Analyse bezieht sich auf den Prozess, bei dem ein Anbieter einen Reinraum erstellt und freigibt und dann eine Analyse in diesem Reinraum durchführt, nachdem der Verbraucher seine Daten verlinkt hat. Diese Analysen werden im Konto des Verbrauchers ausgeführt, nicht in dem des Anbieters. In diesem Abschnitt wird beschrieben, wie der Verbraucher die Abfragen verfolgen kann, die von den Analysen des Anbieters im Reinraum ausgeführt werden.

Snowflake Data Clean Rooms weist jeder Abfrage, die für eine vom Anbieter durchgeführte Analyse ausgeführt wird, ein Abfrage-Tag zu. Dieses Abfrage-Tag hat die Form cleanroom_UUID_provider_account_locator. Ein Verbraucher kann alle Abfragen abrufen, die mit vom Anbieter durchgeführten Analysen verbunden sind, indem er im Abfrageverlauf seines Kontos nach dem Abfrage-Tag sucht.

Um die Abfrage abzurufen, rufen Sie zunächst die UUID für einen Reinraum auf und suchen dann nach dem Abfrage-Tag. Ersetzen Sie im folgenden Code cleanroom_name und provider_account_locator durch die entsprechenden Werte.

-- Retrieve clean room UUID
SELECT cleanroom_id FROM samooha_by_snowflake_local_db.public.cleanroom_record
  WHERE cleanroom_name = '<cleanroom_name>';

-- Retrieve queries with provider-run query tag
SELECT * FROM snowflake.account_usage.query_history
  WHERE query_tag = cleanroom_id || '<provider_account_locator>;
Copy

Sie können auch Snowsight verwenden, um den Abfrageverlauf nach dem entsprechenden Abfrage-Tag zu filtern, nachdem Sie SQL verwendet haben, um den Reinraum UUID abzurufen.

Verfügbare Konnektoren anpassen

Mit Konnektoren können Sie die Reinraumumgebung mit Ihren Ökosystempartnern zusammenführen. Als Reinraum-Administrator eines Anbieters können Sie die Reinraumumgebung so anpassen, dass dem Reinraumbenutzer nur bestimmte Konnektoren als Optionen angezeigt werden. Wenn Sie beispielsweise einen einzigen bevorzugten Aktivierungspartner haben, können Sie die Reinraumumgebung so konfigurieren, dass dieser Partner die einzige Option ist, wenn ein Verbraucher die Ergebnisse einer Analyse in einem Reinraum aktiviert.

Bemerkung

Ihre Anpassungen gelten nur für neue Reinräume.

Um zu kontrollieren, welche Konnektoren in einem Clean Room verfügbar sind, benötigen Sie die Rolle MANAGE_DCR_CONNECTORS.

  1. Melden Sie sich bei der Clean Rooms-UI an.

  2. Wählen Sie im linken Navigationsbereich die Option Admin » Profile & Features aus.

  3. Optional: Um Konnektoren für die Aktivierung anzupassen, gehen Sie wie folgt vor:

    1. Wählen Sie auf der Kachel Activation die Option Edit aus.

    2. Wählen Sie die Aktivierungsoptionen aus, die Sie anzeigen möchten, und wählen Sie dann Save aus.

  4. Optional: Um die Konnektoren für Identität und Datenanbieter anzupassen, gehen Sie wie folgt vor:

    1. Wählen Sie auf der Kachel Identity & Data Provider die Option Edit aus.

    2. Wählen Sie die Identitätsoptionen, die Sie anzeigen möchten, und wählen Sie dann Save.

Branding Ihrer Reinräume

Sie können ein Profil für Ihre Reinraumumgebung konfigurieren, sodass jeder erstellte Reinraum mit Ihrem Logo und Firmennamen versehen wird. Um das Logo und den Namen für Ihr Unternehmen festzulegen, benötigen Sie die Rolle MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Melden Sie sich bei der Clean Rooms-UI an.

  2. Wählen Sie im linken Navigationsbereich die Option Admin » Profile & Features aus.

  3. Gehen Sie im Abschnitt Company profile wie folgt vor:

    1. Laden Sie ein Logo für Ihr Unternehmen im Format JPG oder PNG hoch. Dieses Logo wird für jedem erstellten Reinraum angezeigt.

    2. Bearbeiten Sie Company Name, um den Namen festzulegen, der in den Reinräumen angezeigt werden soll, die in Ihrer Umgebung erstellt werden.

Single Sign-On (SSO) aktivieren

Um Single Sign-On (SSO) mit Snowflake-Authentifizierung zu aktivieren, kontaktieren Sie den Snowflake-Support.

Schlüsselpaar-Authentifizierung zulassen

Der Benutzer des Dienstkontos, über das die Reinraumumgebung mit Ihrem Snowflake-Konto kommuniziert, verwendet zur Authentifizierung das Schlüsselpaar. Wenn Ihr Snowflake-Konto Authentifizierungsrichtlinien verwendet, um zu steuern, wie sich Benutzer authentifizieren, dann muss die Authentifizierungsrichtlinie, die den Dienstkontobenutzer steuert, die Authentifizierung mit Schlüsselpaaren erlauben.

Um die Schlüsselpaar-Authentifizierung zuzulassen, entfernen Sie entweder alle Authentifizierungsrichtlinien oder fügen eine Authentifizierungsrichtlinie mit AUTHENTICATION_METHODS = ALL oder AUTHENTICATION_METHODS = KEYPAIR hinzu. Wenn Ihr Snowflake-Konto über eine Authentifizierungsrichtlinie auf Kontoebene verfügt, die keine Schlüsselpaar-Authentifizierung zulässt, müssen Sie eine neue Authentifizierungsrichtlinie mit dem entsprechenden Parameter erstellen und die Richtlinie dann dem Benutzer des Dienstkontos zuweisen, das während des Installationsprozesses erstellt wurde.

Sie können Ihre Authentifizierungsrichtlinien überprüfen, indem Sie diesen Befehl ausführen:

SHOW AUTHENTICATION POLICIES;
Copy

Eine leere Ergebnistabelle zeigt an, dass es keine Richtlinien gibt, was bedeutet, dass die Schlüsselpaar-Authentifizierung erlaubt ist.

Aktivierung in der Clean Room UI aktivieren oder deaktivieren

Die Aktivierung bei Verwendung der Clean Room UI wird global von einem Administrator des Clean Room gesteuert. Die Aktivierung in der Clean Room API wird auf Clean Room-Ebene vom Anbieter gesteuert.

In diesem Abschnitt erfahren Sie, wie Sie die Aktivierung aktivieren oder deaktivieren können, wenn Sie die Clean Room UI verwenden. Um zu erfahren, wie Sie die Aktivierung aktivieren können, wenn Sie die API verwenden, lesen Sie die Aktivierungsanleitung.

Anbieter- und Verbraucheraktivierung sind standardmäßig in Ihrem Clean Room-Konto aktiviert, wenn Sie die Clean Room UI verwenden. Die Drittanbieter-Aktivierung muss manuell aktiviert werden.

Hier erfahren Sie, wie Sie die Aktivierung für UI-Benutzer in Ihrem Konto aktivieren oder deaktivieren:

  1. Melden Sie sich in der Clean Room-Umgebung in der Clean Rooms-UI als DCR-Administrator an.

  2. Wählen Sie Admin » Profile & Features aus.

  3. Wählen Sie im Abschnitt Activation die Option Edit aus.

    • So verwalten Sie die Verbraucheraktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben Collaborator Account.

    • So verwalten Sie die Anbieteraktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Namen Ihres eigenen Kontos.

    • So verwalten Sie die Drittanbieter-Aktivierung: Aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Drittanbieter-Aktivierungsziel, das Sie aktivieren oder deaktivieren möchten. Die Drittanbieter-Aktivierung wird durch Konnektoren ermöglicht und ist nur in der Clean Room UI verfügbar. Siehe die Liste der verfügbaren Drittanbieter-Konnektoren.

Erfahren Sie, wie Sie die Aktivierung in einem Clean Room umsetzen können.

Netzwerkrichtlinien konfigurieren

Wenn Ihr Snowflake-Konto eine Netzwerkrichtlinie verwendet, um den Netzwerkdatenverkehr zu kontrollieren, müssen Sie explizit den Datenverkehr von den IP-Adressen zulassen, die die Clean Rooms-UI für die Kommunikation mit Ihrem Snowflake-Konto verwendet.

Suchen Sie die Region Ihres Cloudanbieterkontos in der Tabelle unten und konfigurieren Sie die Netzwerkrichtlinie Ihres Kontos so, dass alle in dieser Zeile aufgeführten IP-Adressen zugelassen werden:

Snowflake-Kontoregion

Diese IP-Adressen für die Clean Rooms-UI zulassen

  • AWS US West (Oregon)

  • AWS US East (Ohio)

  • AWS US East (N. Virginia)

  • AWS South America (Sao Paulo)

  • Azure West US 2 (Washington)

  • Azure Central US (Iowa)

  • Azure South Central US (Texas)

  • East US 2 (Virginia)

  • GCP US Central1 (Iowa)

  • GCP US East4 (N. Virginia)

52.7.249.136
34.195.16.248
52.7.210.215
  • AWS Canada (Central)

  • Azure Canada Central (Toronto)

15223145218
3.96.6.109
15.222.142.44
  • AWS EU (Ireland)

  • AWS Europe (London)

  • AWS EU (Paris)

  • AWS EU (Frankfurt)

  • AWS EU (Stockholm)

  • AWS EU (Zürich)

  • Azure UK South (London)

  • Azure North Europe (Irland)

  • West Europe (Niederlande)

  • Azure Switzerland North (Zürich)

  • Azure UAE North (Dubai)

  • GCP Europe West2 (London)

  • GCP Europe West4 (Niederlande)

54.93.86.99
3.126.238.8
3127143168
  • AWS Asia Pacific (Mumbai)

  • Azure Central India (Pune)

35.154.94.29
13235168249
15.206.48.175
  • AWS Asia Pacific (Singapur)

  • AWS Asia Pacific (Tokio)

  • AWS Asia Pacific (Osaka)

  • AWS Asia Pacific (Seoul)

  • AWS Asia Pacific (Jakarta)

  • Azure Southeast Asia (Singapur)

  • Azure Japan East (Tokio)

13.228.90.174
52.220.42.130
52.220.249.16
  • AWS Asia Pacific (Sydney)

  • Azure Australia East (New South Wales)

52.65.205.236
52.62.198.227
3.104.160.96

Siehe Details zum Dienstkonto für diese Umgebung

Die Clean Rooms-UI verwendet ein Dienstkonto, um mit Snowflake zu kommunizieren. Dieses Dienstkonto wurde vom Kontoadministrator erstellt, als dieser die Clean Room-Umgebung für dieses Konto installiert hat.

Sie können die Details zum Benutzer des Dienstkontos nicht ändern.

Um Details über das Dienstkonto für diese Clean Room-Umgebung zu sehen, benötigen Sie die Rolle MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

  2. Navigieren Sie zu Admin > Snowflake Admin.

  3. Auf der Seite Snowflake Admin können Sie Informationen wie den Namen und die E-Mail-Adresse des Dienstbenutzers einsehen.