Snowflake Data Clean Rooms: Anbieter-Datenanalyse¶
Unter diesem Thema werden die Anbieter- und Verbraucher-Workflows beschrieben, die für die programmgesteuerte Erstellung, Freigabe und Ausführung einer Analyse innerhalb eines Reinraums erforderlich sind. Die anbieterseitige Datenanalyse ermöglicht es den Verbrauchern, aggregierte Einblicke in die Datensets des Anbieters zu erhalten, ohne ihre Daten zu verknüpfen.
Der unter diesem Thema beschriebene Workflow umfasst die folgenden Aufgaben:
Anbieter:
Erstellen eines frischen, sauberen Datenreinraums
Sicheres Verknüpfen von Datensets damit
Hinzufügen von Richtlinien, die festlegen, welche Spalten verknüpft und in der Analyse verwendet werden können
Aktivieren einer vordefinierten Analysevorlage
Freigeben dieser für einen Verbraucher
Verbraucher:
Installieren eines Reinraums, der vom Anbieter freigegeben wurde
Prüfung der im Reinraum bereitgestellten Vorlage
Durchführen einer Analyse innerhalb des Reinraums unter Verwendung der Vorlage
Voraussetzungen¶
Sie benötigen zwei separate Snowflake-Konten, um diesen Workflow durchführen zu können. Verwenden Sie das erste Konto, um die Befehle des Anbieters auszuführen, und wechseln Sie dann zum zweiten Konto, um die Befehle des Verbrauchers auszuführen.
Anbieter¶
Bemerkung
Die folgenden Befehle sollten in einem Snowflake-Arbeitsblatt im Anbieterkonto ausgeführt werden.
Umgebung einrichten¶
Führen Sie die folgenden Befehle aus, um die Snowflake-Umgebung einzurichten, bevor Sie Entwickler-APIs für die Arbeit mit einem Snowflake Data Clean Room verwenden. Wenn Sie nicht über die Rolle SAMOOHA_APP_ROLE verfügen, wenden Sie sich an Ihren Kontoadministrator.
use role samooha_app_role;
use warehouse app_wh;
Reinraum erstellen¶
Erstellen Sie einen Namen für den Reinraum. Geben Sie einen neuen Reinraumnamen ein, um Kollisionen mit bestehenden Reinraumnamen zu vermeiden. Beachten Sie, dass Reinraumnamen nur alphanumerisch sein können. Reinraumnamen dürfen keine anderen Sonderzeichen als Leerzeichen und Unterstriche enthalten.
set cleanroom_name = 'Provider Data Analysis Demo Clean room';
Sie können einen neuen Reinraum mit dem oben festgelegten Reinraumnamen erstellen. Wenn der oben angegebene Name des Reinraums bereits als bestehender Reinraum existiert, schlägt dieser Vorgang fehl.
Die Ausführung dieser Prozedur dauert etwa 45 Sekunden.
Das zweite Argument von provider.cleanroom_init ist die Distribution des Reinraums. Diese kann entweder INTERNAL oder EXTERNAL sein. Wenn Sie zu Testzwecken den Reinraum für ein Konto in derselben Organisation freigeben, können Sie INTERNAL verwenden, um den automatischen Sicherheitsscan zu umgehen, der stattfinden muss, bevor ein Anwendungspaket für Teilnehmer freigegeben wird. Wenn Sie diesen Reinraum jedoch für ein Konto in einer anderen Organisation freigeben, müssen Sie eine EXTERNAL-Distribution des Reinraums verwenden.
call samooha_by_snowflake_local_db.provider.cleanroom_init($cleanroom_name, 'INTERNAL');
Um den Status des Sicherheitsscans zu anzuzeigen, führen Sie Folgendes aus:
call samooha_by_snowflake_local_db.provider.view_cleanroom_scan_status($cleanroom_name);
Sobald Sie Ihren Reinraum erstellt haben, müssen Sie erst seine Release-Richtlinie festlegen, bevor er für andere Teilnehmer freigegeben werden kann. Wenn Ihre Distribution jedoch auf EXTERNAL eingestellt wurde, müssen Sie zunächst den Abschluss der Sicherheitsscan abwarten, bevor Sie die Release-Richtlinie festlegen. Während des Scan läuft, können Sie mit den restlichen Schritten fortfahren und vor dem Schritt provider.create_cleanroom_listing hierher zurückkehren.
Um die Release-Richtlinie festzulegen, rufen Sie Folgendes auf:
call samooha_by_snowflake_local_db.provider.set_default_release_directive($cleanroom_name, 'V1_0', '0');
Regionsübergreifende Freigabe¶
Um einen Reinraum für einen Snowflake-Kunden freizugeben, dessen Konto sich in einer anderen Region befindet als Ihr Konto, müssen Sie die Cloud-übergreifende automatische Ausführung (Cross-Cloud Auto-Fulfillment) aktivieren. Informationen zu den zusätzlichen Kosten, die bei der Zusammenarbeit mit Verbrauchern in anderen Regionen anfallen, finden Sie unter Kosten für Cloud-übergreifende automatische Ausführung.
Wenn Sie Entwickler-APIs verwenden, müssen Sie die regionsübergreifende Freigabe in zwei Schritten aktivieren:
Ein Snowflake-Administrator mit der Rolle ACCOUNTADMIN muss die Cloud-übergreifende automatische Ausführung für Ihr Snowflake-Konto aktivieren. Eine Anleitung dazu finden Sie unter [Mit Konten in verschiedenen Regionen zusammenarbeiten] (https://docs.snowflake.com/en/user-guide/cleanrooms/getting-started#collaborate-with-accounts-in-different-regions).
Sie führen den Befehl provider.enable_laf_for_cleanroom aus, um die Cloud-übergreifende automatische Ausführung für den Reinraum zu aktivieren. Beispiel:
call samooha_by_snowflake_local_db.provider.enable_laf_for_cleanroom($cleanroom_name);
Nachdem Sie die Cloud-übergreifende automatische Ausführung für den Reinraum aktiviert haben, können Sie mit dem Befehl provider.create_cleanroom_listing wie gewohnt Verbraucher zu Ihrem Freigabeangebot hinzufügen. Das Freigabeangebot wird bei Bedarf automatisch in externe Clouds und Regionen repliziert.
Datenset verknüpfen und Verknüpfungsrichtlinie festlegen¶
Verknüpfen Sie Snowflake-Tabellen mit dem Reinraum. Durchsuchen Sie die Liste der Tabellen in Ihrem Snowflake-Konto, und geben Sie die vollqualifizierten Tabellennamen (Database.Schema.Table) als Array ein. Die Prozedur macht die Tabelle automatisch für den Reinraum zugänglich, indem es eine sichere Ansicht der Tabelle vom Reinraum aus erstellt, sodass keine Kopie Ihrer Tabelle erstellt werden muss.
call samooha_by_snowflake_local_db.provider.link_datasets($cleanroom_name, ['SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS']);
Bemerkung
Wenn dieser Schritt nicht funktioniert, obwohl Ihre Tabelle existiert, ist es wahrscheinlich, dass die Rolle SAMOOHA_APP_ROLE noch keinen Zugriff auf die Tabelle erhalten hat. Wenn dies der Fall ist, wechseln Sie zur Rolle ACCOUNTADMIN, rufen die unten beschriebene Prozedur in der Datenbank auf und wechseln dann für den Rest des Ablaufs zurück:
use role accountadmin;
call samooha_by_snowflake_local_db.provider.register_db('<DATABASE_NAME>');
use role samooha_app_role;
Wenn Sie die Datensets anzeigen möchten, die dem Reinraum hinzugefügt wurden, rufen Sie die folgende Prozedur auf.
call samooha_by_snowflake_local_db.provider.view_provider_datasets($cleanroom_name);
Sie können die mit dem Reinraum verknüpften Datensets mit der folgenden Prozedur anzeigen:
select * from SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS limit 10;
Legen Sie fest, auf welche Spalten der Verbraucher zugreifen darf, wenn er Vorlagen im Reinraum ausführt. Diese Prozedur sollte bei Identitätsspalten wie E-Mail aufgerufen werden. Die Verknüpfungsrichtlinie ist „nur ersetzen“, d. h. wenn die Funktion erneut aufgerufen wird, wird die zuvor festgelegte Verknüpfungsrichtlinie vollständig durch die neue ersetzt.
call samooha_by_snowflake_local_db.provider.set_join_policy($cleanroom_name, ['SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS:HEM']);
Wenn Sie die zum Reinraum hinzugefügte Verknüpfungsrichtlinie anzeigen möchten, rufen Sie die folgende Prozedur auf.
call samooha_by_snowflake_local_db.provider.view_join_policy($cleanroom_name);
Analysevorlagen zum Reinraum hinzufügen¶
Fügen Sie eine Liste mit vordefinierten Vorlagen unter Verwendung ihrer Bezeichner hinzu. In diesem Workflow fügen Sie eine vordefinierte Vorlage hinzu, mit der Sie die Datenanalyse der Anbieter-Datensets auf eine sichere und vom Anbieter genehmigte Weise und auf den vom Anbieter genehmigten Spalten durchführen können.
call samooha_by_snowflake_local_db.provider.add_templates($cleanroom_name, ['prod_provider_data_analysis']);
Wenn Sie die derzeit im Reinraum aktiven Vorlagen anzeigen möchten, rufen Sie die folgende Prozedur auf.
Bemerkung
Beachten Sie, dass alle systemdefinierten voreingestellten Vorlagen verschlüsselt sind und standardmäßig nicht angezeigt werden können. Alle benutzerdefinierten Vorlagen, die Sie hinzufügen, werden jedoch sichtbar sein.
call samooha_by_snowflake_local_db.provider.view_added_templates($cleanroom_name);
Jede Vorlage, die dem Reinraum hinzugefügt wird, kann bei Bedarf auch wieder daraus entfernt werden. Weitere Informationen dazu finden Sie im Anbieter-API-Referenzhandbuch.
Spaltenrichtlinie für jede Tabelle festlegen¶
Zeigen Sie die verknüpften Daten an, um die in der Tabelle vorhandenen Spalten zu sehen. Um die obersten 10 Zeilen anzuzeigen, führen Sie die folgende Prozedur aus:
select * from SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS limit 10;
Legen Sie die Spalten fest, die der Verbraucher gruppieren, aggregieren (z. B. SUM oder AVG) und generell in einer Analyse für jede Kombination aus Tabelle und Vorlage verwenden darf. Dies bietet Flexibilität, sodass dieselbe Tabelle je nach der zugrunde liegenden Vorlage eine unterschiedliche Spaltenauswahl zulassen kann. Dies sollte erst nach dem Hinzufügen der Vorlage aufgerufen werden.
Beachten Sie, dass die Spaltenrichtlinie nur ersetzt wird. Wenn die Funktion also erneut aufgerufen wird, wird die zuvor festgelegte Spaltenrichtlinie vollständig durch die neue ersetzt.
Die Spaltenrichtlinie darf nicht für Identitätsspalten wie E-Mail, HEM oder RampID verwendet werden, da der Verbraucher sonst in der Lage wäre, nach diesen Spalten zu gruppieren. In der Produktionsumgebung erkennt das System auf intelligente Weise die PII-Spalten und blockiert diese Operation, aber dieses Feature ist in der Sandbox-Umgebung nicht verfügbar. Sie sollte nur für Spalten verwendet werden, die Sie dem Verbraucher zur Verfügung stellen möchten, um sie zu aggregieren und zu gruppieren, z. B. Status, Altersgruppe, Kanal oder Aktive Tage.
call samooha_by_snowflake_local_db.provider.set_column_policy($cleanroom_name, [
'prod_provider_data_analysis:SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS:STATUS',
'prod_provider_data_analysis:SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS:AGE_BAND',
'prod_provider_data_analysis:SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS:DAYS_ACTIVE',
'prod_provider_data_analysis:SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS:REGION_CODE']);
Wenn Sie die zum Reinraum hinzugefügte Spaltenrichtlinie anzeigen möchten, rufen Sie die folgende Prozedur auf.
call samooha_by_snowflake_local_db.provider.view_column_policy($cleanroom_name);
Verbraucher¶
Bemerkung
Die folgenden Befehle sollten in einem Snowflake-Arbeitsblatt im Verbraucherkonto ausgeführt werden.
Umgebung einrichten¶
Führen Sie die folgenden Befehle aus, um die Snowflake-Umgebung einzurichten, bevor Sie Entwickler-APIs für die Arbeit mit einem Snowflake Data Clean Room verwenden. Wenn Sie nicht über die Rolle SAMOOHA_APP_ROLE verfügen, wenden Sie sich an Ihren Kontoadministrator.
use role samooha_app_role;
use warehouse app_wh;
Reinraum installieren¶
Nachdem eine Reinraumfreigabe installiert wurde, können Sie die Liste der verfügbaren Reinräume mit dem folgenden Befehl anzeigen.
call samooha_by_snowflake_local_db.consumer.view_cleanrooms();
Vergeben Sie einen Namen für den Reinraum, den der Anbieter für Sie freigegeben hat.
set cleanroom_name = 'Provider Data Analysis Demo Clean room';
Mit dem folgenden Befehl wird der Reinraum im Verbraucherkonto mit dem zugehörigen Anbieter und dem ausgewählten Reinraum installiert.
Die Ausführung dieser Prozedur kann etwa 45 Sekunden dauern.
call samooha_by_snowflake_local_db.consumer.install_cleanroom($cleanroom_name, '<PROVIDER_ACCOUNT_LOCATOR>');
Nachdem der Reinraum installiert wurde, muss der Anbieter den Reinraum auf seiner Seite fertig einrichten, bevor er für die Nutzung aktiviert wird. Mit der folgenden Funktion können Sie den Status des Reinraums überprüfen. Sobald er aktiviert ist, sollten Sie den „run_analysis“-Befehl ausführen können. Es dauert normalerweise etwa 1 Minute, bis der Reinraum aktiviert ist.
call samooha_by_snowflake_local_db.consumer.is_enabled($cleanroom_name);
Analyse ausführen¶
Jetzt, da der Reinraum installiert ist, können Sie die Analysevorlage, die der Anbieter im Reinraum bereitgestellt hat, mit dem Befehl „run_analysis“ ausführen. In den folgenden Abschnitten erfahren Sie, wie die einzelnen Felder bestimmt werden.
Bemerkung
Bevor Sie die Analyse ausführen, können Sie die Warehouse-Größe ändern oder eine neue, größere Warehouse-Größe verwenden, wenn Ihre Tabellen groß sind.
-- Example run analysis procedure with single provider dataset
call samooha_by_snowflake_local_db.consumer.run_analysis(
$cleanroom_name, -- cleanroom
'prod_provider_data_analysis', -- template name
[], -- consumer tables - this is empty since this template operates only on provider data
['SAMOOHA_SAMPLE_DATABASE.DEMO.CUSTOMERS'], -- the provider table we want to carry out analysis on
object_construct( -- The keyword arguments needed for the SQL Jinja template
'dimensions', ['p.STATUS'], -- Group by column
'measure_type', ['COUNT'], -- Aggregate function you want to perform like COUNT, AVG, etc.
'measure_column', ['p.DAYS_ACTIVE'], -- The column that you want to perform aggregate function on
'where_clause', 'p.REGION_CODE=$$REGION_10$$' -- Acts as a filter to consider only certain records
-- $$ is used to pass string literals
)
);
Für jede der Spalten, auf die Sie entweder in der Datenset-Filterung „where_clause“ oder in den Dimensionen oder „measure_columns“ verweisen müssen, können Sie p. verwenden, um auf Felder in Anbietertabellen zu verweisen, und c., um auf Felder in Verbrauchertabellen zu verweisen. Verwenden Sie p2, p3 usw. für mehr als eine Anbietertabelle und c2, c3 usw. für mehr als eine Verbrauchertabelle.
Hinweis: In diesem Workflow können Sie sehen, dass im Reinraum die Analyse von Anbieterdaten aktiviert ist. Das bedeutet, dass Sie eine sichere und privatisierte Datenanalyse der Anbieter-Datensets im Reinraum durchführen können. Sie brauchen Ihr Datenset nicht zu verknüpfen. Schauen Sie sich den Workflow End-to-End: Überlappungsanalyse an, um ein Beispiel zu sehen, bei dem beide Parteien Datensets für eine gemeinsame Analyse verknüpfen können.
Eingaben für „run_analysis“ bestimmen¶
Um die Analyse auszuführen, müssen Sie mehrere Parameter an die Funktion „run_analysis“ übergeben. In diesem Abschnitt erfahren Sie, wie Sie ermitteln, welche Parameter Sie übergeben müssen.
Vorlagennamen
Zunächst können Sie die unterstützten Analysevorlagen anzeigen, indem Sie die folgende Prozedur aufrufen.
call samooha_by_snowflake_local_db.consumer.view_added_templates($cleanroom_name);
Um eine Analyse mit einer Vorlage auszuführen, wissen Sie nicht, welche Argumente Sie zu diesem Zeitpunkt angeben müssen und welche Typen erwartet werden. So können Sie die Vorlage visuell betrachten, wenn die Vorlage eine benutzerdefinierte Vorlage wäre.
Bemerkung
Beachten Sie, dass alle systemdefinierten voreingestellten Vorlagen verschlüsselt sind und standardmäßig nicht angezeigt werden können. Alle benutzerdefinierten Vorlagen, die Sie hinzufügen, werden jedoch sichtbar sein.
call samooha_by_snowflake_local_db.consumer.view_template_definition($cleanroom_name, 'prod_provider_data_analysis');
Diese kann oft auch eine große Anzahl verschiedener SQL Jinja-Parameter enthalten. Die folgende Funktion analysiert die Jinja-Vorlage SQL und extrahiert die Argumente, die in „run_analysis“ spezifiziert werden müssen, in eine praktische Liste.
Bemerkung
Beachten Sie, dass alle systemdefinierten voreingestellten Vorlagen verschlüsselt sind, sodass diese Funktion die Argumente für diese Vorlagen nicht erhalten wird. Sie können jedoch die Parameter für Ihre benutzerdefinierten Vorlagen abrufen.
call samooha_by_snowflake_local_db.consumer.get_arguments_from_template($cleanroom_name, 'prod_provider_data_analysis');
Datensetnamen
Wenn Sie die Namen der Datensets anzeigen möchten, die vom Anbieter zum Reinraum hinzugefügt wurden, rufen Sie die folgende Prozedur auf. Beachten Sie, dass Sie die Daten in den Datensets, die vom Anbieter zum Reinraum hinzugefügt wurden, aufgrund der Sicherheitseigenschaften des Reinraums nicht anzeigen können.
call samooha_by_snowflake_local_db.consumer.view_provider_datasets($cleanroom_name);
Dimension- und Measure-Spalten
Während Sie die Analyse durchführen, möchten Sie vielleicht nach bestimmten Spalten filtern, gruppieren und aggregieren. Wenn Sie die vom Anbieter zum Reinraum hinzugefügte Spaltenrichtlinie anzeigen möchten, rufen Sie die folgende Prozedur auf.
call samooha_by_snowflake_local_db.consumer.view_provider_column_policy($cleanroom_name);
Typische Fehler
Wenn Sie die Fehlermeldung Not approved: unauthorized columns used (Nicht genehmigt: nicht autorisierte Spalten verwendet) als Ergebnis der Analyseausführung erhalten, möchten Sie möglicherweise die vom Anbieter festgelegte Verknüpfungsrichtlinie und Spaltenrichtlinie erneut anzeigen.
call samooha_by_snowflake_local_db.consumer.view_provider_join_policy($cleanroom_name);
call samooha_by_snowflake_local_db.consumer.view_provider_column_policy($cleanroom_name);
Es ist auch möglich, dass Sie Ihr Datenschutzbudget ausgeschöpft haben und daher keine weiteren Abfragen mehr ausführen können. Ihr verbleibendes Datenschutzbudget können Sie mit dem folgenden Befehl anzeigen. Das Budget wird täglich zurückgesetzt, oder der Anbieter des Reinraums kann es manuell zurücksetzen.
call samooha_by_snowflake_local_db.consumer.view_remaining_privacy_budget($cleanroom_name);
Sie können überprüfen, ob Differential Privacy für Ihren Reinraum aktiviert wurde, indem Sie die folgende API verwenden:
call samooha_by_snowflake_local_db.consumer.is_dp_enabled($cleanroom_name);