Activation du partage depuis un compte Business Critical vers un compte non Business Critical

Par défaut, Snowflake n’autorise pas le partage de données d’un compte Business Critical vers un compte non Business Critical. Pour plus d’informations, voir Partage des données et comptes Business Critical.

Snowflake fournit le privilège global OVERRIDE SHARE RESTRICTIONS qui est accordé au rôle ACCOUNTADMIN par défaut.

Le privilège global OVERRIDE SHARERESTRICTIONS peut être accordé à d’autres rôles (définis par le système ou personnalisés). Ensuite, les utilisateurs avec le rôle peuvent activer/désactiver le paramètre SHARE_RESTRICTIONS pour leur compte de fournisseur.

Lorsque le paramètre est désactivé, un compte de fournisseur Business Critical peut ajouter un compte de consommateur (avec une édition non Business Critical) à un partage.

Attention

Snowflake n’est pas responsable de s’assurer que les comptes HIPAA (et HITRUST) qui participent au partage de données ont un BAA signé entre eux. Ceci reste à la discrétion des comptes qui partagent des données. Notez que ne pas avoir un BAA signé peut avoir des conséquences sur la conformité HIPAA (et HITRUST) des deux comptes, en particulier pour le compte fournisseur.

En outre, si vous avez un compte Business Critical pour maintenir le niveau de protection des données attendu fourni par Business Critical, nous recommandons fortement de prendre en compte ce qui suit avant de demander à Snowflake d’activer Secure Data Sharing avec des comptes non Business Critical :

  • Ne partagez pas de données sensibles avec des comptes non Business Critical.

  • Envisagez de créer un deuxième compte non Business Critical où vous stockerez des données moins sensibles et partagerez ces données avec des comptes non Business Critical.

  • Si vous utilisez Tri-Secret Secure avec votre compte Business Critical et que vous partagez des données avec d’autres comptes, Snowflake traite l’accès aux données à partir de ces comptes comme si l’accès se faisait à partir de votre propre compte. Plus précisément, donner accès au compte consommateur peut exiger que Snowflake accède à votre AWS KMS.

Il ne s’agit que de recommandations qui ne sont pas imposées par Snowflake. La décision de partager les données reste toujours à la discrétion du fournisseur de données, et Snowflake ne peut être tenu responsable des données qui sont partagées de façon inappropriée.

Dans ce chapitre :

Considérations

  • Le privilège peut être accordé par des utilisateurs avec le rôle ACCOUNTADMIN.

  • Le privilège OVERRIDE SHARE RESTRICTIONS ne peut pas être renouvelé.

  • Vous devez définir le paramètre SHARE_RESTRICTIONS chaque fois que vous ajoutez un nouveau compte de consommateur non Business Critical au partage appartenant à un fournisseur Business Critical.

Attribution du privilège OVERRIDE SHARE RESTRICTIONS à un autre rôle

Pour accorder OVERRIDE SHARE RESTRICTIONS à un rôle, utilisez le rôle ACCOUNTADMIN et la commande GRANT <privileges> … TO ROLE.

Syntaxe :

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <nom_rôle>

Où :

<nom_rôle> est le rôle auquel le privilège est accordé.

Par exemple :

-- grant the privilege to the SYSADMIN role
use role accountadmin;
grant override share restrictions on account to role sysadmin;

-- SYSADMIN can now add a consumer account to a share with the SHARE_RESTRICTIONS parameter set to false
use role sysadmin;
alter share <share_name> add accounts = <consumer_account_name> SHARE_RESTRICTIONS=false;