Erste Schritte mit Snowflake Data Clean Rooms

Unter diesem Thema werden die Aufgaben beschrieben, die ein Administrator ausführen muss, um Snowflake Data Clean Rooms einzurichten.

Voraussetzungen

Zur Verwendung eines Snowflake Data Clean Room muss Ihr Konto folgende Voraussetzungen erfüllen:

Wenn Sie bestimmte Anforderungen nicht erfüllen und ein Upgrade benötigen, wenden Sie sich an den Snowflake-Support.

Capacity-Konto

Für die Nutzung von Snowflake Data Clean Rooms benötigen Sie ein Snowflake-Konto, das eine Vorab-Kapazitätsverpflichtung enthält.

Snowflake On Demand-Konten können keinen Reinraum erstellen oder nutzen.

Snowflake-Edition

Stellen Sie anhand der folgenden Tabelle fest, welche Snowflake Edition für das Snowflake-Konto eines Reinraum-Teilnehmers erforderlich ist:

Teilnehmer

Aufgabe

Erforderliche Snowflake Edition

Anbieter

Reinraum erstellen

Enterprise Edition oder höher

Verbraucher

Reinraum beitreten und verwenden

Standard Edition oder höher

Anbieter- und Verbraucherbedingungen

Bevor Sie Snowflake Data Clean Room als Anbieter oder Verbraucher nutzen können, müssen Sie zusätzlichen Snowflake-Geschäftsbedingungen zustimmen und die Snowflake-Richtlinien befolgen. Weitere Informationen dazu finden Sie unter Rechtliche Anforderungen an Anbieter und Verbraucher von Freigabeangeboten.

Bei Snowflake Data Clean Room-Umgebung anmelden

Wichtig

  • Der Benutzer, der sich zunächst als Reinraumteilnehmer anmeldet, muss die Rolle ACCOUNTADMIN in dem Snowflake-Konto haben, das mit der Reinraumumgebung verbunden ist. Dieser Reinraum-Administrator muss die Rolle ACCOUNTADMIN verwenden, um das Snowflake-Konto in den nachfolgenden Schritten des Einführungsprozesses zu konfigurieren.

  • Installieren Sie die native App nicht vom Snowflake Marketplace. Benutzen Sie stattdessen den Link zur Anmeldung, um sich zu registrieren. Nachdem Sie sich für die Reinraumumgebung angemeldet haben, folgen Sie den Schritten zur Installation der App wie unter beschrieben. Konfigurieren Sie das Snowflake-Konto.

  • Alle Reinraum-Benutzer, einschließlich des Benutzers, der sich zum ersten Mal anmeldet, müssen eine von unterstützte Authentifikator-App verwenden, um die mehrstufige Authentifizierung zu aktivieren (MFA).

So können Sie sich bei der Reinraumumgebung registrieren und anmelden:

  1. Navigieren Sie zur Anmeldeseite.

  2. Geben Sie den Kontobezeichner Ihres Snowflake-Kontos in der Bindestrichform des Kontonamensformats (also orgname-acctname) ein.

  3. Geben Sie Ihre E-Mail-Adresse ein.

  4. Geben Sie einen Firmennamen an, der zur Identifizierung der Reinraumumgebung verwendet wird, wenn sich Benutzer anmelden.

  5. Wählen Sie Sign Up aus. Sie erhalten eine E-Mail.

Nachdem Sie die E-Mail erhalten haben, gehen Sie wie folgt vor:

  1. Wählen Sie Verify Email aus. Die Anmeldeseite wird erneut geöffnet.

  2. Geben Sie Name und Password an.

  3. Wählen Sie Sign up aus.

  4. Wenn Sie auf eine neue Seite weitergeleitet werden, melden Sie sich unter bei Ihrer Reinraumumgebung an.

IP-Adressen zur Zulassungsliste hinzufügen

Wenn Ihr Snowflake-Konto eine Netzwerkrichtlinie verwendet, um den Netzwerkdatenverkehr zu kontrollieren, müssen Sie explizit den Datenverkehr von den IP-Adressen zulassen, die die Web-App für die Kommunikation mit Ihrem Snowflake-Konto verwendet.

Bestimmen Sie anhand der Region Ihres Snowflake-Kontos auf Amazon Web Services (AWS), Microsoft Azure (Azure) oder Google Cloud, welche IP-Adressen von der Netzwerkrichtlinie zugelassen werden müssen:

Snowflake-Kontoregion

Web-App-IP-Adressen

  • AWS US West (Oregon)

  • AWS US East (Ohio)

  • AWS US East (N. Virginia)

  • AWS South America (Sao Paulo)

  • Azure West US 2 (Washington)

  • Azure Central US (Iowa)

  • Azure South Central US (Texas)

  • East US 2 (Virginia)

  • GCP US Central1 (Iowa)

  • GCP US East4 (N. Virginia)

  • 52.7.249.136

  • 34.195.16.248

  • 52.7.210.215

  • AWS Canada (Central)

  • Azure Canada Central (Toronto)

  • 15223145218

  • 3.96.6.109

  • 15.222.142.44

  • AWS EU (Ireland)

  • AWS Europe (London)

  • AWS EU (Paris)

  • AWS EU (Frankfurt)

  • AWS EU (Stockholm)

  • AWS EU (Zürich)

  • Azure UK South (London)

  • Azure North Europe (Irland)

  • West Europe (Niederlande)

  • Azure Switzerland North (Zürich)

  • Azure UAE North (Dubai)

  • GCP Europe West2 (London)

  • GCP Europe West4 (Niederlande)

  • 54.93.86.99

  • 3.126.238.8

  • 3127143168

  • AWS Asia Pacific (Mumbai)

  • Azure Central India (Pune)

  • 35.154.94.29

  • 13235168249

  • 15.206.48.175

  • AWS Asia Pacific (Singapur)

  • AWS Asia Pacific (Tokio)

  • AWS Asia Pacific (Osaka)

  • AWS Asia Pacific (Seoul)

  • AWS Asia Pacific (Jakarta)

  • Azure Southeast Asia (Singapur)

  • Azure Japan East (Tokio)

  • 13.228.90.174

  • 52.220.42.130

  • 52.220.249.16

  • AWS Asia Pacific (Sydney)

  • Azure Australia East (New South Wales)

  • 52.65.205.236

  • 52.62.198.227

  • 3.104.160.96

Snowflake-Konto konfigurieren

Ein Snowflake-Benutzer mit der Rolle ACCOUNTADMIN muss das mit der Reinraumumgebung verbundene Snowflake-Konto konfigurieren, bevor Benutzer Reinräume erstellen und verwenden können.

Wichtig

  • Im Rahmen der Anweisungen in diesem Abschnitt erstellen Sie ein Dienstkonto und melden sich als dessen Benutzer an. Wenn Sie sich als dieser Benutzer registrieren, melden Sie sich nicht bei der mehrstufigen Authentifizierung (MFA) an.

  • Der Benutzer mit der Rolle ACCOUNTADMIN muss gültige Werte für Vorname, Nachname und E-Mail-Adresse für sein Benutzerobjekt definiert haben. Um zu überprüfen, ob diese Eigenschaften definiert sind, führen Sie den Befehl DESCRIBE USER aus.

Bei der Konfiguration des Snowflake-Kontos werden Sie die folgenden allgemeinen Aufgaben erledigen:

  • Erstellen eines Dienstkontobenutzers, der die Reinraumumgebung repräsentiert, damit Reinräume auf das Snowflake-Konto zugreifen können.

  • Installieren Sie eine Snowflake Native App, das es Reinräumen ermöglicht, mit Daten in einem Snowflake-Konto zu interagieren.

  • Registrieren Sie die Datenbanken, die die Daten enthalten, auf die Teilnehmer in Reinräumen zugreifen können.

Um diese Aufgaben zu erledigen, führen Sie die folgenden Schritte aus:

  1. Greifen Sie auf die Snowflake Admin-Konsole in der Reinraumumgebung zu. Gehen Sie wie folgt vor:

    1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

    2. Geben Sie Ihre E-Mail-Adresse ein, und wählen Sie Continue aus.

    3. Geben Sie Ihr Kennwort ein.

    4. Wenn Sie mit mehreren Reinraumumgebungen verbunden sind, wählen Sie das Snowflake-Konto aus, das Sie konfigurieren möchten.

    5. Wählen Sie im linken Navigationsbereich die Option Snowflake Admin aus.

    6. Wählen Sie Login to Snowflake aus, und authentifizieren Sie sich als Snowflake-Benutzer mit der Rolle ACCOUNTADMIN.

  2. Geben Sie die Details zu dem Dienstkontobenutzer an, der von Reinräumen für die Interaktion mit Snowflake verwendet werden soll. Merken Sie sich diese Angaben, denn Sie werden sie in einem späteren Schritt benötigen. Beachten Sie, dass Snowflake nach der Implementierung die Schlüsselpaar-Authentifizierung und nicht den Benutzernamen/das Passwort verwendet, um den Benutzer des Dienstkontos zu authentifizieren. Gehen Sie wie folgt vor:

    1. Geben Sie die E-Mail-Adresse ein, die mit dem Dienstkontobenutzer verknüpft ist.

    2. Geben Sie im Feld New Snowflake Username einen Namen an, der für das Snowflake-Konto eindeutig ist.

    3. Geben Sie ein Kennwort an.

    4. Klicken Sie auf Create, um den Dienstkontobenutzer zu erstellen.

  3. Verifizieren Sie die E-Mail-Adresse des neuen Dienstkontobenutzers. Gehen Sie wie folgt vor:

    1. Wählen Sie Log into your Snowflake account aus.

    2. Melden Sie sich bei Snowsight mit den Anmeldeinformationen des Dienstkontobenutzers an. Diese haben Sie im vorherigen Schritt angegeben. Wenn Sie dazu aufgefordert werden, registrieren Sie sich nicht für die mehrstufige Authentifizierung(MFA).

    3. Um das Benutzermenü zu öffnen, wählen Sie den Benutzernamen des Dienstkontobenutzers und dann My profile aus.

    4. Wählen Sie Resend verification email aus. Eine Bestätigungs-E-Mail wird an die E-Mail-Adresse des Dienstkontobenutzers gesendet.

    5. Greifen Sie auf den E-Mail-Posteingang des Dienstkontobenutzers zu, öffnen Sie die Bestätigungs-E-Mail, und wählen Sie Validate Your Email aus.

    6. Kehren Sie zur Snowflake Admin-Konsole der Reinraumumgebung zurück, und wählen Sie Verify Status aus.

  4. Um die mit Snowflake Data Clean Rooms verbundene Snowflake Native App (SAMOOHA_BY_SNOWFLAKE) zu installieren, gehen Sie wie folgt vor:

    1. Optional: Verwenden Sie den Abschnitt Setup Scripts, um den Code zu überprüfen, der in Ihrem Konto ausgeführt wird zum Installieren der Snowflake Native App verwendet wird. Führen Sie diesen Code nicht manuell aus.

    2. Ändern Sie nicht den Standardnamen der Anwendung.

    3. Wählen Sie Install aus, um die Snowflake Native App zu installieren.

      Die Installation der Snowflake Native App kann einige Zeit in Anspruch nehmen. Wählen Sie in regelmäßigen Abständen Refresh aus, um zu prüfen, ob der Vorgang abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.

  5. Wählen Sie im Bereich Database Registration die Datenbanken, Schemas und Objekte aus, die die Daten enthalten, auf die Ihre Teilnehmer in Reinräumen zugreifen können sollen. Durch die Registrierung einer Datenbank oder eines Schemas werden alle Objekte innerhalb dieser Datenbank oder dieses Schemas registriert.

    Die Web-App für Snowflake Data Clean Rooms unterstützt die folgenden Objekte:

    • Tabellen

    • Externe Tabellen

    • Apache Iceberg™-Tabellen

    • Ansichten

    • Materialisierte Ansichten

    • Sichere Ansichten. Der Eigentümer einer sicheren Ansicht muss die Rolle SAMOOHA_APP_ROLE haben.

    Bemerkung

    Sobald Sie diese Schritte abgeschlossen haben, sind neue Objekte, die zu registrierten Datenbanken oder Schemas hinzugefügt wurden, für die Reinraumteilnehmer nicht sofort verfügbar. Wenn ein Objekt zu einer registrierten Datenbank oder einem Schema hinzugefügt wird, müssen Sie die Option Snowflake Admin der Web-App verwenden, um zum Abschnitt Database Registration zurückzukehren, und dann Resync auswählen.

Informationen darüber, was in Ihrem Snowflake-Konto installiert wird, wenn Sie Snowflake Data Clean Rooms verwenden, finden Sie unter Snowflake Data Clean Rooms: Installationsdetails.

Schlüsselpaar-Authentifizierung zulassen

Der Benutzer des Dienstkontos, über das die Reinraumumgebung mit Ihrem Snowflake-Konto kommuniziert, verwendet zur Authentifizierung das Schlüsselpaar. Wenn Ihr Snowflake-Konto Authentifizierungsrichtlinien verwendet, um zu steuern, wie sich Benutzer authentifizieren, dann muss die Authentifizierungsrichtlinie, die den Dienstkontobenutzer steuert, die Authentifizierung mit Schlüsselpaaren erlauben.

Um eine Schlüsselpaar-Authentifizierung zu ermöglichen, muss eine Authentifizierungsrichtlinie mit AUTHENTICATION_METHODS = ALL oder AUTHENTICATION_METHODS = KEYPAIR erstellt werden. Wenn Ihr Snowflake-Konto über eine Authentifizierungsrichtlinie auf Kontoebene verfügt, die keine Schlüsselpaar-Authentifizierung zulässt, müssen Sie eine neue Authentifizierungsrichtlinie mit dem entsprechenden Parameter erstellen und die Richtlinie dann dem Benutzer des Dienstkontos zuweisen, das während des Installationsprozesses erstellt wurde.

Zusammenarbeit von Verbrauchern in verschiedenen Regionen ermöglichen

Um mit einem Snowflake-Kunden zusammenzuarbeiten, dessen Konto sich in einer anderen Region als Ihr Konto befindet, müssen Sie die Cloud-übergreifende automatische Ausführung (Cross-Cloud Auto-Fulfillment) für Ihre Reinraumumgebung aktivieren. Ein Snowflake-Benutzer mit der Rolle ACCOUNTADMIN muss die Cloud-übergreifende automatische Ausführung aktivieren, bevor Reinraum-Administratoren Konten in anderen Regionen als Teilnehmer hinzufügen können.

So konfigurieren Sie Ihre Reinraumumgebung, um Teilnehmer zuzulassen, die sich in einer anderen Region befinden:

  1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

  2. Geben Sie Ihre E-Mail-Adresse ein, und wählen Sie Continue aus.

  3. Geben Sie Ihr Kennwort ein.

  4. Wenn Sie mit mehreren Reinraumumgebungen verbunden sind, wählen Sie das Snowflake-Konto aus, das Sie konfigurieren möchten.

  5. Wählen Sie Admin » Snowflake Admin aus.

  6. Wählen Sie Login to Snowflake aus, und authentifizieren Sie sich als Snowflake-Benutzer mit der Rolle ACCOUNTADMIN.

  7. Aktivieren Sie den Umschalter Cross-Cloud Auto-Fulfillment.

Kosten im Zusammenhang mit der regionsübergreifenden Zusammenarbeit

Für Teilnehmer, die sich in einer anderen Region befinden, fallen zusätzliche Kosten an. Weitere Informationen zur Entstehung dieser Kosten finden Sie unter Erläuterungen zu den Kosten für die Cloud-übergreifende automatische Ausführung.

Einschränkungen bei der regionsübergreifenden Zusammenarbeit

Bei der regionsübergreifenden Zusammenarbeit gibt es folgende Einschränkungen:

  • Teilnehmer müssen dieselbe Web-App-Hosting-Region verwenden. Beispiel: Wenn die Web-App-Hosting-Region des einen Kontos Amazon Web Services ist: US East (N. Virginia) ist und die Webhosting-Region eines anderen Kontos Amazon Web Services: Asia Pacific (Mumbai), dann können die beiden Snowflake-Kunden nicht zusammenarbeiten. Informationen zum Feststellen, ob zwei Teilnehmer dieselbe Web-App-Hosting-Region nutzen, finden Sie unter Web-App-Hosting.

  • Ein Anbieter kann im Reinraum keine differentielle Privatsphäre verwenden.

  • Mitarbeiter können keine externen Tabellen und Iceberg-Tabellen mit Reinräumen verknüpfen.

  • Ein Anbieter kann die Anforderungsprotokolle, die vom Verbraucher eines Reinraums gesendet werden, nicht einsehen.

  • Ein Verbraucher kann keine Multi-Anbieter-Analyse durchführen.

  • Teilnehmer können keine Maskierungsrichtlinien oder Zeilenzugriffsrichtlinien verwenden.

Problembehandlung

Verwenden Sie diesen Abschnitt, um Probleme zu beheben, die nach Abschluss der Schritte in diesem Thema auftreten können.

Symptom: Unzureichende Berechtigungen

Lösung: Stellen Sie sicher, dass die mit der Web-App verknüpften IP-Adressen von Ihren Netzwerkrichtlinien zugelassen sind. Eine Auflistung dieser IP-Adressen finden Sie unter IP-Adressen zur Zulassungsliste hinzufügen.

Symptom: Die Installation ist erfolgreich, aber die Web-App funktioniert nicht richtig.

Lösung #1: Verwenden Sie den Befehl DESCRIBE USER, um zu überprüfen, ob der Snowflake-Benutzer, den Sie zur Konfiguration von Snowflake verwendet haben, einen gültigen Vornamen, Nachnamen und eine gültige E-Mail-Adresse hat. Wenn dem Benutzer eine dieser Angaben fehlt, führen Sie den Befehl ALTER USER aus, um sie anzugeben.

Lösung 2: Versuchen Sie, Snowflake Native App für Snowflake Data Clean Rooms zu deinstallieren, und installieren Sie sie dann erneut.

  • Um die App zu deinstallieren, siehe Deinstallation einer Snowflake Native App. Wenn Sie die Anwendung mit ihrem Standardnamen installiert haben, heißt sie SAMOOHA_BY_SNOWFLAKE.

  • Um die App neu zu installieren:

    1. Bei der Web-App anmelden.

    2. Wählen Sie im linken Navigationsbereich die Option Snowflake Admin aus.

    3. Wählen Sie Login to Snowflake aus, und authentifizieren Sie sich als Snowflake-Benutzer mit der Rolle ACCOUNTADMIN.

    4. Verwenden Sie den Befehl DESCRIBE USER, um zu bestätigen, dass der Snowflake-Benutzer mit der Rolle ACCOUNTADMIN, die Sie gerade zur Authentifizierung verwendet haben, einen gültigen Vornamen, Nachnamen und eine gültige E-Mail-Adresse hat. Wenn dem Benutzer eine dieser Angaben fehlt, führen Sie den Befehl ALTER USER aus, um sie anzugeben.

    5. Um die Snowflake Native App zu installieren, wählen Sie Install.

    6. Akzeptieren Sie den Standardnamen der Anwendung während des Installationsvorgangs.

Nächste Schritte

Weitere Schritte zum Einrichten einer Reinraumumgebung, einschließlich des Hinzufügens von Benutzern und Teilnehmern, finden Sie unter Snowflake Data Clean Rooms: Aufgaben des Administrators.

Sprache: Deutsch