Override share restrictions¶
To allow sharing data from a Business Critical account to a non-Business Critical account, or from a HIPAA-compliant account to a non-HIPAA- compliant account, a user with a role granted the OVERRIDE SHARE RESTRICTIONS global privilege can specify the SHARE_RESTRICTIONS parameter for a specific share offered by their provider account.
OVERRIDE SHARE RESTRICTIONS 権限の別のロールへの権限付与¶
OVERRIDE SHARE RESTRICTIONS グローバル権限はデフォルトで ACCOUNTADMIN ロールに付与されますが、他のロールに付与することもできます。OVERRIDE SHARE RESTRICTIONS をロールに付与するには、 ACCOUNTADMIN ロールと GRANT <権限> ... TO ROLE コマンドを使用します。
構文:
GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <ロール名>
条件:
<role_name> は、権限が付与されるロールです。
例えば、 SYSADMIN ロールに権限を付与するには、
use role accountadmin;
grant override share restrictions on account to role sysadmin;
共有に SHARE_RESTRICTIONS パラメーターを設定する¶
As a provider in a Business Critical account, you can share data with a consumer in a non-Business Critical account using the SHARE_RESTRICTIONS parameter on a direct share. This parameter also applies to HIPAA-compliant providers that share data with a non-HIPAA consumer.
ACCOUNTADMIN ロールを使用するか、次の権限を付与されたカスタムロールを使用する必要があります。
OVERRIDE SHARE RESTRICTIONS グローバル権限。
共有の OWNERSHIP または CREATE SHARE グローバル権限。
ALTER SHARE コマンドを使用して、共有に SHARE_RESTRICTIONS パラメーターを設定します。
For example, to update the share my_share to add a non-Business Critical or non-HIPAA consumer account consumerorg.consumeraccount,
run the following:
use role sysadmin;
alter share my_share add accounts = consumerorg.consumeraccount SHARE_RESTRICTIONS=false;
詳細については、 ALTER SHARE をご参照ください。
注意
Snowflakeでは、データ共有に携わっている HIPAA (および HITRUST)アカウントが相互に BAA に署名していることを保証する責任を負いません。これは、データを共有しているアカウントの裁量です。署名済みの BAA がないと、両方のアカウント、 特に プロバイダーアカウントの HIPAA (および HITRUST)コンプライアンスに影響する可能性があります。
また、Business Criticalアカウントをお持ちの場合、Business Criticalが提供するデータ保護の期待レベルを維持するため、SnowflakeにBusiness Critical以外のアカウントのSecure Data Sharingの有効化をリクエストする前に、次の点を考慮するよう 強く お勧めします。
機密データを非Business Criticalアカウントと共有しないでください。
2つ目の非Business Criticalアカウントを作成して、機密性の低いデータを保存し、このデータを非Business Criticalアカウントと共有することを検討します。
Tri-Secret Secure をBusiness Criticalアカウントと併用しており、他のアカウントとデータを共有している場合、Snowflakeは、これらのアカウントからのデータアクセスを自分のアカウント内から発生したかのように扱います。具体的には、コンシューマーアカウントへのアクセスを許可するには、ユーザーのSnowflakeアカウントをホストするクラウドプラットフォーム上のキー管理サービスに、Snowflakeがアクセスする必要がある場合があります。
これらは推奨事項にすぎず、Snowflakeによって強制されるものではありません。データを共有する決定は常にデータプロバイダーの裁量で行われ、Snowflakeは不適切に共有されたデータについて一切責任を負いません。