クリーンルームのユーザーとアクセスの管理¶

概要¶

このトピックでは、クリーンルームのアカウント管理者がクリーンルーム UI および API へアクセスするユーザーを管理する方法について説明します。

クリーンルームは、 API および UI のさまざまなサブセクションにアクセスを許可するいくつかのアプリケーションロールを定義します。クリーンルーム UI および API はへのアクセスは、個別に付与されます。通常、アカウント管理者はカスタムロールを作成し、必要なアプリケーションロールを付与して、 UI および API へのきめ細かいアクセスを許可し、そのアカウントのさまざまなユーザーにロールを付与します。

この戦略では、Snowflakeのロールベースのアクセス制御（ RBAC ）モデルを使用し、クリーンルームのユーザーとそのアカウントのコラボレーターに適切な権限を委任します。RBAC の詳細については、アクセス制御の概要をご参照ください。どのユーザーに特定のロールが付与されているかを確認するには、次の SQL コマンドを実行します。

SHOW GRANTS OF ROLE <role_name>;

Tip

このトピックでは、次の用語を使用します。

:emph:`クリーンルームユーザー:`Snowflakeアカウントでクリーンルーム UI または API へのアクセスを許可されたユーザー。
:emph:`クリーンルームのコラボレーター:`クリーンルームプロバイダーからクリーンルームへの参加を招待されたコンシューマー。コラボレーターは、クリーンルームの利用者でもあります。つまり、招待を受け入れてクリーンルームを利用するために、クリーンルーム UI または API へのアクセス権が必要です。

クリーンルーム UI へのアクセスを管理する¶

管理者は、直接的または間接的に適切なロールを付与することにより、Snowflakeアカウントのクリーンルーム UI へのアクセスを付与します。管理者はデフォルトのウェアハウスを割り当て、それに対する USAGE 権限を UI ユーザーに付与します。

以下のロールは、クリーンルーム UI を管理またはアクセスする権限を付与します。

ACCOUNTADMIN: クリーンルーム環境のインストールまたはアンインストールに使用されるロール。このロールは、クリーンルーム UI の Snowflake Admin ページにアクセスすることもできます。アカウント管理者はこのページを使用して、サービスユーザーとアカウントの機能 (Cross-Cloud Auto-Fulfillment、外部テーブルと Iceberg テーブル、UI ユーザーのデータセット登録など) を管理します。このロールにはすべてのクリーンルーム UI 権限があり、ACCOUNTADMIN として実行するユーザーには、追加の UI アプリケーションロールは必要ありません。
MANAGE_CLEANROOMS: クリーンルームの作成、更新、削除、インストール、およびクリーンルーム UI で分析の作成、更新、削除、実行を提供するアプリケーションロール。
MANAGE_DCR_PROFILE_AND_FEATURES: 会社プロファイルを管理し、クリーンルームで使用できるサードパーティコネクタを制御できる、UI の Admin セクションの Profile & Features ページへのアクセス権を提供するアプリケーションロール。
MANAGE_DCR_CONNECTORS: サードパーティコネクタを構成できる、UI の Connectors ページへのアクセス権を提供するアプリケーションロール。
MANAGE_DCR_COLLABORATORS: UI のクリーンルームプロバイダーが利用できる承認済みコラボレーターのリストを管理できる、UI の:ui:Collaborators ページへのアクセス権を提供するアプリケーションロール。このロールは、API を使用する場合にプロバイダーが利用できるコラボレーターのリストを制御しません。API ユーザーは誰でもコラボレーションに招待できます。詳細については、 clean roomのコラボレーターの管理をご参照ください。

例

以下のコードは、カスタムロールを作成し、そのロールに複数の UI 機能を付与し、その後カスタムロールをユーザーに付与する方法を示しています。

-- Create the role.
USE ROLE ACCOUNTADMIN;
CREATE ROLE dcr_access;

-- Grant capabilities to the new role.
GRANT APPLICATION ROLE SAMOOHA_BY_SNOWFLAKE.MANAGE_CLEANROOMS TO ROLE dcr_access;
GRANT APPLICATION ROLE SAMOOHA_BY_SNOWFLAKE.MANAGE_DCR_COLLABORATORS TO ROLE dcr_access;
GRANT APPLICATION ROLE SAMOOHA_BY_SNOWFLAKE.MANAGE_DCR_PROFILE_AND_FEATURES TO ROLE dcr_access;
GRANT APPLICATION ROLE SAMOOHA_BY_SNOWFLAKE.MANAGE_DCR_CONNECTORS TO ROLE dcr_access;

-- Assign the role to a user.
-- You must also grant access to a default warehouse to the role.
GRANT USAGE ON WAREHOUSE <your_warehouse> TO ROLE dcr_access;
ALTER USER <some_user> SET DEFAULT_WAREHOUSE  =  <your_warehouse>;
GRANT ROLE dcr_access to USER <some_user>;

API ユーザーの管理¶

API アクセスはロールを使用して管理されます。次の Snowflake ロールは、API にアクセスまたは管理するために使用されます。

ACCOUNTADMIN: クリーンルーム環境のインストールまたはアンインストールに使用されるロール。このロールには SAMOOHA_APP_ROLE は含まれません。API を使用する場合は、SAMOOHA_APP_ROLE を使用する必要があります。
SAMOOHA_APP_ROLE: このロールは、このアカウントのクリーンルーム API に対して、フル権限を付与します。(このロールは API と通信するためのクリーンルーム UI で使用されます。)
実行のみの開発者ロール: SAMOOHA_APP_ROLE を使用しているユーザーは、アクセスが制限されたロールの使用権限を付与できます。このロールは、実行ロール とも呼ばれ、コンシューマーコンテキストのクリーンルームのサブセットでの API プロシージャのサブセットを使用する権限を付与します。これらの限定ロールをロールに付与すると、データアナリストなどの特定のユーザーに対してアカウント内のスコープを指定できます。

完全な API アクセスの許可または取り消し¶

SAMOOHA_APP_ROLE は、Snowflakeアカウントのすべてのクリーンルームへのフル API アクセスをユーザーに付与します。このロールは、クリーンルームでインストールされたすべてのウェアハウスに対して使用権限を持ちます。

完全な API アクセスの許可：

USE ROLE ACCOUNTADMIN;
GRANT ROLE SAMOOHA_APP_ROLE TO USER <user_name>;

完全な API アクセスの取り消し：

USE ROLE ACCOUNTADMIN;
REVOKE ROLE SAMOOHA_APP_ROLE FROM USER <user_name>;

制限付き API アクセスの付与（実行ロール）¶

アカウント内の指定されたクリーンルームに対して、制限付き API アクセスを付与できます。制限付きアクセスでは、 consumer.run_analysis などコンシューマープロシージャのサブセットのみを呼び出すことができます。クリーンルームをインストール、作成、結合、変更することはできません。制限された API アクセスを持つロールを作成したり、そのロールをユーザーに付与したりするため、このアクセスレベルは 実行ロール と呼ばれることがあります。

ここでは、ユーザーに制限付きアクセスを付与する方法を説明します：

SAMOOHA_APP_ROLE ロールを付与できるユーザーは新しいロールを作成し、制限された機能をそのロールに割り当てます。クリーンルームにアクセスするために使用するウェアハウスに対する USAGE もそのロールに付与する必要があります。

-- Create the role.
USE ROLE ACCOUNTADMIN;
CREATE ROLE MARKETING_ANALYST_ROLE;

-- Grant USAGE on one of the basic clean room warehouses.
-- You can grant USAGE to any warehouses that you want them to use.
GRANT USAGE ON WAREHOUSE APP_WH TO MARKETING_ANALYST_ROLE;

-- Grant limited functionality to the role for a subset of clean rooms.
CALL samooha_by_snowflake_local_db.consumer.grant_run_on_cleanrooms_to_role(
  [$cleanroom_1, $cleanroom_2],
  'MARKETING_ANALYST_ROLE'
);

-- Grant the role to a user.
GRANT ROLE MARKETING_ANALYST_ROLE TO USER george.washington;

ユーザーはその制限付きのロールを使用し、clean roomアカウントで指定されたアクションを実行します：

 -- User george.washington logs in and uses the limited role.
 USE WAREHOUSE APP_WH
 USE ROLE MARKETING_ANALYST_ROLE;
 USE SECONDARY ROLES NONE;

 -- Consumer-run analyses should succeed.
 CALL samooha_by_snowflake_local_db.consumer.run_analysis(
   $cleanroom_name,
   'prod_overlap_analysis',
   ['MY_DB.MYDATA.CONVERSIONS'],  -- Consumer tables
   ['MY_DB.MYDATA.EXPOSURES'],      -- Provider tables
   object_construct(
     'max_age', 30
   )
 );

-- Clean room creation and management procedures fail.
CALL samooha_by_snowflake_local_db.provider.cleanroom_init($cleanroom_name, 'INTERNAL');

制限付き API アクセスの取り消し¶

特定のロールから特定のクリーンルームの実行権限を取り消すには、revoke_run_on_cleanrooms_from_role を呼び出します。
単一のユーザーから付与されたすべての実行権限を取り消すには、そのユーザーからそのロールを取り消します。

clean roomのコラボレーターの管理¶

*コラボレーター*は、クリーンルームプロバイダーからコンシューマーとしてクリーンルームに参加するよう招待されます。

クリーンルーム UI を使用する際 、作成者は、 MANAGE_DCR_COLLABORATORS ロールを使用して誰かが管理するリストからコラボレーターを招待することができます。

クリーンルーム API を使用する際、プロバイダーは事前に定義されたコラボレーターリストによって制限されず、Snowflake アカウントロケーターによって任意のクリーンルームのコラボレーターを追加することができます。Snowflakeアカウントなしでコラボレーターを招待する場合は、まずコラボレーター用のクリーンルーム管理アカウントを作成する必要があります。個々のユーザーではなく、コラボレーションするアカウントを招待することに注意してください。招待されたアカウント内のクリーンルームへのアクセスを持つユーザーは、クリーンルームに参加して使用できます。

注釈

SnowflakeのコラボレーターがあなたのSnowflakeアカウントと異なるリージョンにアカウントを持っている場合、アカウント管理者がクロスクラウド自動フルフィルメントを有効にしてからでないと、コラボレーターとして追加できません。

クリーンルームUIで使用されるコラボレーターリストを管理するには、:ref:`MANAGE_DCR_COLLABORATORS ロール<label-dcr_manage_ui_users>`が必要です。

Snowflake Data Clean Roomsのログインページに移動します。
左側のナビゲーションで Collaborators を選択します。
次のいずれかを実行します。
- コラボレーターがSnowflakeアカウントを持っている場合は、 Snowflake Partners » + Snowflake Partner を選択します。コラボレーターのSnowflakeアカウントの詳細を入力するプロンプトに応答します。
- 共同作業者がSnowflakeのお客様でない場合。
  1. Snowflake サポート `_ にご連絡いただければ、 :ref:`管理アカウント <label-cleanrooms_intro_managed_account> を作成する権限を付与いたします。
  2. 権限が付与されたら、 Collaborators ペインに戻り、 Managed Accounts タブを選択し、共同作業者のクリーンルーム管理アカウントを作成します。

クリーンルーム API を使用する場合、プロバイダーは、provider.add_consumers プロシージャを呼び出すことでコラボレーターを追加できます。

コラボレーターが Snowflake の顧客でない場合は、誰かがそのコラボレーター用に:ref:`クリーンルーム管理アカウントを作成<label-cleanrooms_intro_managed_account>`する必要があります。