Aktivieren von Freigaben eines Business Critical-Konto für ein Nicht-Business Critical-Konto

Standardmäßig erlaubt Snowflake nicht die Freigabe von Daten eines Business Critical-Konto für ein Nicht-Business Critical-Konto. Weitere Informationen dazu finden Sie unter Datenfreigabe und Business Critical-Konten.

Snowflake stellt die globale Berechtigung OVERRIDE SHARE RESTRICTIONS bereit, die der Rolle ACCOUNTADMIN standardmäßig erteilt ist.

Die globale Berechtigung OVERRIDE SHARERESTRICTIONS kann anderen Rollen (systemdefiniert oder benutzerdefiniert) erteilt werden. Anschließend können Benutzer mit dieser Rolle den Parameter SHARE_RESTRICTIONS für ihr Anbieterkonto aktivieren/deaktivieren.

Wenn der Parameter deaktiviert ist, kann ein Business Critical-Anbieterkonto einer Freigabe ein Verbraucherkonto (ohne Business Critical Edition) hinzufügen.

Achtung

Snowflake übernimmt keine Verantwortung für die Sicherstellung, dass die am Data Sharing beteiligten HIPAA- und HITRUST-Konten untereinander über unterzeichnete BAA verfügen. Diese Aufgabe obliegt den Konten, die Daten freigeben. Beachten Sie, dass das Fehlen einer signierten BAA die HIPAA- und HITRUST-Konformität beider Konten, aber vor allem des Anbieterkontos beeinträchtigen kann.

Wenn Sie zudem ein Business Critical-Konto verwenden, damit das mit Business Critical bereitgestellte Datenschutzniveau eingehalten wird, empfehlen wir nachdrücklich die Berücksichtigung der folgenden Punkte, bevor Sie bei Snowflake die Aktivierung von Secure Data Sharing mit Nicht-Business Critical-Konten anfordern:

  • Geben Sie keine vertraulichen Daten für Nicht-Business Critical-Konten frei.

  • Erstellen Sie stattdessen ein zweites Nicht-Business Critical-Konto für die Speicherung weniger sensibler Daten, die Sie dann für Nicht-Business Critical-Konten freigeben.

  • Wenn Sie für Ihr Business Critical-Konto Tri-Secret Secure verwenden und Daten für andere Konten freigeben, behandelt Snowflake den Datenzugriff von diesen Konten so, als ob der Zugriff von Ihrem eigenen Konto aus erfolgt. Insbesondere die Gewährung des Zugriffs auf das Verbraucherkonto kann erfordern, dass Snowflake auf Ihr AWS KMS zugreift.

Dies sind nur Empfehlungen, die von Snowflake nicht erzwungen werden. Die Entscheidung über die Freigabe von Daten obliegt stets dem Datenanbieter. Snowflake übernimmt keine Verantwortung für Daten, die unsachgemäß freigegeben werden.

Unter diesem Thema:

Hinweise

  • Die Berechtigung kann von Benutzern mit der Rolle ACCOUNTADMIN erteilt werden.

  • Die Berechtigung OVERRIDE SHARE RESTRICTIONS kann nicht erneut erteilt werden.

  • Sie müssen den Parameter SHARE_RESTRICTIONS jedes Mal festlegen, wenn Sie der Freigabe eines Business Critical-Anbieters ein neues Nicht-Business Critical-Verbraucherkonto hinzufügen.

Zuweisen der OVERRIDE SHARE RESTRICTIONS-Berechtigung an eine andere Rolle

Verwenden Sie die Rolle ACCOUNTADMIN und den Befehl GRANT <Berechtigungen> … TO ROLE, um einer Rolle die OVERRIDE SHARE RESTRICTIONS-Berechtigung zu erteilen.

Syntax:

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <Rollenname>

Wobei:

<Rollenname> ist die Rolle, der die Berechtigung erteilt wird.

Beispiel:

-- grant the privilege to the SYSADMIN role
use role accountadmin;
grant override share restrictions on account to role sysadmin;

-- SYSADMIN can now add a consumer account to a share with the SHARE_RESTRICTIONS parameter set to false
use role sysadmin;
alter share <share_name> add accounts = <consumer_account_name> SHARE_RESTRICTIONS=false;