Konfigurieren eines Leserkontos

Ein neu erstelltes Leserkonto enthält nur einen einzigen Benutzer, der als Administrator für das gesamte Konto fungiert.

Um das Konto zu konfigurieren (d. h. „Bootstrap“), muss der Kontoadministrator einige zusätzliche Objekte im Konto erstellen wie Benutzer, kundenspezifische Rollen (falls gewünscht), virtuelles Warehouse und mindestens eine freigegebene Datenbank (für die vom Anbieterkonto freigegebenen Daten).

Unter diesem Thema wird ein Überblick zu allen diesen erforderlichen und optionalen Konfigurationsaufgaben gegeben.

Bemerkung

Die Aufgaben 2 bis 4 müssen als Kontoadministrator durchgeführt werden. Alle übrigen Aufgaben können an andere Benutzer delegiert werden.

Außerdem müssen alle diese Aufgaben im Leserkonto und nicht im Anbieterkonto ausgeführt werden.

Unter diesem Thema:

Aufgabe 1: Beim Leserkonto als Kontoadministrator anmelden

Melden Sie sich über eine der unterstützten Schnittstellen beim Leserkonto an (z. B. SnowSQL oder die Weboberfläche).

Bei der Anleitung unter diesem Thema wird davon ausgegangen, dass Sie für die Ausführung der Aufgabe SQL verwenden, entweder in SnowSQL oder mit einem Arbeitsblatt (über die Weboberfläche). Die Aufgaben können jedoch über jede von Snowflake unterstützte Oberfläche ausgeführt werden.

Tipp

Denken Sie daran, dass Sie die Rolle ACCOUNTADMIN verwenden. Sie können diese Rolle entweder bei der Anmeldung oder danach in der aktiven Sitzung einstellen.

Wenn Sie für die Ausführung der Aufgabe ein Arbeitsblatt (auf der Weboberfläche) verwenden, legen Sie die Rolle im Kontext des Arbeitsblatts fest.

Aufgabe 2: Kundenspezifische Rollen erstellen (optional)

Rollen ermöglichen eine fein abgestufte Kontrolle über die Aufgaben, die Benutzer im Leserkonto ausführen können. Sie können Rollen für Folgendes verwenden:

  • Angeben der Benutzer, die die über das Konto freigegebene Daten abfragen können.

  • Gewähren der Kontrolle über virtuelle Warehouses für ausgewählte Benutzer.

  • Delegieren von Administratoraufgaben und Verantwortlichkeiten an ausgewählte Benutzer (falls gewünscht).

Jedes Leserkonto enthält standardmäßig die vom System definierten Rollen SYSADMIN, SECURITYADMIN und PUBLIC. Wenn diese Rollen nicht den Zugriffsanforderungen für die Benutzer entsprechen, die Sie im Konto anlegen möchten, können Sie zusätzliche kundenspezifische Rollen erstellen.

Weitere Details dazu finden Sie unter Übersicht zur Zugriffssteuerung.

Aufgabe 3: Benutzer erstellen

Erstellen Sie die Benutzer, die sich beim Leserkonto anmelden und für das Konto freigegebene Daten abfragen dürfen, und definieren Sie alle anderen Aufgaben, die Sie zulassen möchten.

Denken Sie beim Erstellen von Benutzern daran, den Benutzern Rollen zuzuweisen, die systemdefiniert oder kundenspezifisch sind (falls vorhanden). Die Rollen, die Sie den Benutzern zuweisen, bestimmen, was diese im Konto tun können.

Weitere Details dazu finden Sie unter CREATE USER und GRANT ROLE.

Tipp

Alle übrigen Aufgaben unter diesem Thema können vom Kontoadministrator erledigt oder (über Berechtigungen und Rollen) an andere Benutzer im Konto delegiert werden.

Wir empfehlen mindestens folgende Zuweisungen:

  • Weisen Sie mindestens einem weiteren Benutzer die Rolle SECURITYADMIN zu, damit dieser beim Anlegen und Verwalten anderer Benutzer und beim Objektzugriff über das Konto helfen kann.

  • Weisen Sie mindestens einem weiteren Benutzer die Rolle SYSADMIN zu, damit dieser beim Erstellen und Verwalten anderer Objekte im Konto (z. B. virtuelle Warehouses) helfen kann.

Aufgabe 4: Ressourcenmonitore erstellen (optional)

Für die Abfrage von Daten, die für das Leserkonto freigegeben wurden, sind virtuelle Warehouses erforderlich. Während der Ausführung verbrauchen virtuelle Warehouses Credits von Ihrem Anbieterkonto.

Wenn Sie die Höhe der monatlich von den virtuellen Warehouses im Leserkonto verbrauchten Credits kontrollieren möchten, erstellen Sie einen oder mehrere Ressourcenmonitore und geben Sie an, ob diese Folgendes kontrollieren:

  • Alle Warehouses im Konto

  • Individuelle Warehouses

Weitere Details dazu finden Sie unter CREATE RESOURCE MONITOR.

Achtung

Wenn Sie diese Aufgabe überspringen, können die Warehouses im Leserkonto jeden Monat eine unbegrenzte Anzahl von Credits verbrauchen, die Ihrem Anbieterkonto berechnet werden.

Aufgabe 5: Virtuelle Warehouses erstellen

Um die Abfrage der Objekte in der freigegebenen Datenbank zu ermöglichen, müssen Sie mindestens ein virtuelles Warehouse erstellen. Sie können so viele Warehouses erstellen, wie Sie möchten oder benötigen. Denken Sie jedoch daran, dass Ihr Anbieterkonto für alle Credits verantwortlich ist, die von den Warehouses im Leserkonto verbraucht werden, und beachten Sie Folgendes:

  • Wählen Sie eine passende Warehouse-Größe entsprechend aus. Wägen Sie die gewünschte Abfrageleistung gegen die gewünschte Credit-Nutzung ab.

  • Stellen Sie sicher, dass das Warehouse bei Nichtnutzung automatisch angehalten wird.

Weitere Details dazu finden Sie unter CREATE WAREHOUSE.

Aufgabe 6: Für jede Freigabe im Konto eine Datenbank erstellen

Ein Leserkonto enthält standardmäßig keine Daten. Um Daten zu nutzen, die von Ihrem Anbieterkonto freigegeben wurden, müssen Sie mit dem Befehl CREATE DATABASE eine Datenbank für jede Freigabe erstellen, die mit dem Konto gemeinsam genutzt wird. Geben Sie beim Erstellen der Datenbank(en) den Namen an, den andere Benutzer im Leserkonto für die Abfrage der freigegebenen Daten verwenden sollen.

Im folgenden Beispiel hat Ihr Anbieterkonto den Namen ab12345 und Sie haben zwei Freigaben share1 und share2 für dieses Leserkonto freigegeben:

CREATE DATABASE shared_db1 FROM SHARE ab12345.share1;

CREATE DATABASE shared_db2 FROM SHARE ab12345.share2;
Copy

Aufgabe 7: Rollen Berechtigungen für virtuelle Warehouses und Datenbanken zuweisen

Datenanbieter können Objekte zu einer Freigabe hinzufügen, indem sie entweder einer Freigabe über eine Datenbankrolle Berechtigungen für Objekte erteilen und dann die Datenbankrolle einer Freigabe zuweisen (Option 1) oder einer Freigabe direkt Berechtigungen für die Objekte erteilen (Option 2). Die Anleitungen in diesem Abschnitt unterscheiden sich je nach der vom Datenbankanbieter gewählten Option:

Option 1:

Um das Abfragen der für das Leserkonto freigegebenen Daten zu ermöglichen, weisen Sie die Datenbankrolle der Freigabe, die einer Geschäftsfunktion in Ihrem Konto entspricht, der entsprechenden Rolle in Ihrem Konto zu. Angenommen, die Freigabe enthält eine Datenbankrolle mit dem Namen shared_db1.dr1, die Sie für alle Benutzer Ihres Kontos freigeben möchten. In diesem Fall würden Sie die Datenbankrolle der Systemrolle PUBLIC zuweisen:

GRANT DATABASE ROLE shared_db1.dr1 TO ROLE PUBLIC;
Copy
Option 2:

Um die Abfrage von Daten zu ermöglichen, die für das Leserkonto freigegeben wurden, müssen Sie den anderen Rollen, die im Konto systemdefiniert oder kundenspezifisch (falls vorhanden) sind, die folgenden Berechtigungen erteilen:

Mit den folgenden Befehlen werden beispielsweise der Rolle PUBLIC die erforderlichen Berechtigungen für zwei Datenbanken mit den Namen shared_db1 und shared_db2 und für ein Warehouse mit dem Namen testing_vw erteilt. Da alle Benutzer im Konto automatisch die Rolle PUBLIC haben, kann jeder Benutzer im Konto das Warehouse nutzen und die Datenbanken abfragen:

GRANT IMPORTED PRIVILEGES ON DATABASE shared_db1 TO ROLE PUBLIC;

GRANT IMPORTED PRIVILEGES ON DATABASE shared_db2 TO ROLE PUBLIC;
Copy

Erteilen Sie außerdem die USAGE-Berechtigung für ein virtuelles Warehouse, das Sie für die Ausführung von Abfragen erstellt haben:

GRANT USAGE ON WAREHOUSE testing_vw TO ROLE PUBLIC;
Copy

Sie können auf Wunsch zusätzliche Berechtigungen vergeben; die oben aufgeführten Berechtigungen sind jedoch die minimalen Berechtigungen, die für Abfragen auf freigegebenen Datenbanken im Konto erforderlich sind.

Darüber hinaus können Sie der Rolle SYSADMIN volle Berechtigungen für das Warehouse testing_vw erteilen, damit Benutzer mit der Rolle das Warehouse starten, stoppen und in der Größe ändern können:

GRANT ALL ON WAREHOUSE testing_vs TO ROLE SYSADMIN;
Copy

Weitere Details dazu finden Sie unter GRANT <Berechtigungen>.

Aufgabe 8: Benutzer zum Anmelden und zum Zurücksetzen ihrer Kennwörter einladen

Informieren Sie als letzte Konfigurationsaufgabe alle von Ihnen erstellten Benutzer, dass das Konto für die Verwendung verfügbar ist.

Am schnellsten und einfachsten kann dies durch Zurücksetzen des Kennworts für jeden Benutzer mit dem Befehl ALTER USER ausgeführt werden. Dadurch wird für jeden Benutzer eine eindeutige URL-Adresse generiert, die Sie dann an den Benutzer senden oder übergeben. Die Benutzer verwenden dann die URL-Adresse, um ihr Kennwort zu ändern und sich beim Konto anzumelden.

Beispiel:

ALTER USER ra_user1 RESET PASSWORD;

ALTER USER ra_user2 RESET PASSWORD;
Copy

Wichtig

Jede URL kann nur einmal verwendet werden und verfällt nach 4 Stunden. Sie können das Kennwort für einen Benutzer jedoch beliebig oft zurücksetzen.

Weitere Details dazu finden Sie unter ALTER USER.