Snowflake Data Clean Rooms 入門¶

このトピックでは、管理者が Snowflake Data Clean Rooms を設定するために完了すべきタスクについて説明します。

前提条件¶

Snowflake Data Clean Room を使用するには、次のようなアカウントが必要です。

容量アカウントである。
必要なSnowflakeエディションを持っている。
プロバイダー& コンシューマー規約に同意している。

特定の要件を満たさず、アップグレードが必要な場合は、 Snowflakeサポートまでご連絡ください。

容量アカウント¶

Snowflake Data Clean Rooms をご利用いただくには、容量を前払いするSnowflakeアカウントが必要です。

Snowflake On Demandのアカウントでは、クリーンルームの作成や使用はできません。

Snowflake Edition¶

次の表を使用して、クリーンルームコラボレーターのSnowflakeアカウントに必要な Snowflake Edition を決定します。

コラボレーター	タスク	必要なSnowflake Edition
プロバイダー	クリーンルームを作成する	Enterprise Edition（またはそれ以上）
コンシューマー	クリーンルームに参加して使用する	Standard Edition（またはそれ以上）

プロバイダーとコンシューマーの利用規約¶

プロバイダーまたはコンシューマーとして Snowflake Data Clean Room を使用する前に、Snowflakeの追加条項に同意し、Snowflakeのポリシーを遵守する必要があります。詳細については、リストのプロバイダーとコンシューマーに対する法的要件をご参照ください。

Snowflake Data Clean Room 環境にサインアップします。¶

重要

クリーンルーム参加者として最初にサインアップするユーザーは、クリーンルーム環境に関連付けられたSnowflakeアカウントでACCOUNTADMINロールを持つ必要があります。このクリーンルーム管理者は、ACCOUNTADMINロールを使用して、開始プロセスの後続ステップでSnowflakeアカウントを設定する必要があります。
Snowflake Marketplaceからネイティブアプリをインストールしないでください。代わりに、登録リンクを使用して登録してください。クリーンルーム環境にサインアップした後、 Snowflakeアカウントの設定に記載されているステップに従って、アプリをインストールします。
初めてサインアップするユーザーを含むすべてのクリーンルームユーザーは、サポート対象の認証方式アプリを使用して、多要素認証（MFA）を有効にする必要があります。

クリーンルーム環境にサインアップし、ログインするには：

サインアップページにアクセスしてください。
Snowflakeアカウントのアカウント識別子を、アカウント名形式のハイフン付き形式（つまり、 orgname-acctname）で入力します。
メールアドレスを入力します。
会社名を指定します。これは、ユーザーがサインインするときにクリーンルーム環境を識別するために使用されます。
Sign Up を選択します。メールが送信されます。

メール受信後、以下の操作を行ってください：

Verify Email を選択します。サインアップページが再度開きます。
Name と Password を指定します。
Sign up を選択します。
新しいページにリダイレクトされたら、クリーンルーム環境にサインインします。

IPアドレスを許可リストに追加する¶

Snowflakeアカウントがネットワークポリシーを使用してネットワークトラフィックを制御する場合、WebアプリがSnowflakeアカウントとの通信に使用する IP アドレスからのトラフィックを明示的に許可する必要があります。

以下を使用して、Amazon Web Service（AWS）、Microsoft Azure（Azure）、またはGoogle Cloud上のSnowflakeアカウントのリージョンに基づいて、ネットワークポリシーで許可する必要がある IP アドレスを決定します。

Snowflakeアカウントリージョン	ウェブアプリIPアドレス
AWS US 西部（オレゴン） AWS US東部（オハイオ） AWS US 東部（北部バージニア） AWS 南米（サンパウロ） Azure西部US 2（ワシントン） Azure中部US（アイオワ） Azure南中央US（テキサス） Azure東 US 2（バージニア） GCP US 中部1（アイオワ州） GCPUS 東部4（バージニア州北部バージニア）	52.7.249.136 34.195.16.248 52.7.210.215
AWSカナダ（中部） Azureカナダ中部（トロント）	15223145218 3.96.6.109 15.222.142.44
AWS EU（アイルランド） AWSヨーロッパ（ロンドン） AWS EU （パリ） AWS EU （フランクフルト） AWS EU（ストックホルム） AWS EU （チューリッヒ） Azure UK南部（ロンドン） Azure北部ヨーロッパ（アイルランド） Azure西ヨーロッパ（オランダ） Azureスイス北部（チューリッヒ） Azure UAE 北部（ドバイ） GCP ヨーロッパ西部2（ロンドン） GCP ヨーロッパ西部4（オランダ）	54.93.86.99 3.126.238.8 3127143168
AWSアジア太平洋（ムンバイ） Azure中部インド（プネー）	35.154.94.29 13235168249 15.206.48.175
AWS アジア太平洋（シンガポール） AWS アジア太平洋（東京） AWS アジア太平洋（大阪） AWS アジア太平洋（ソウル） AWS アジア太平洋地域（ジャカルタ） Azure東南アジア（シンガポール） Azure日本東部（東京）	13.228.90.174 52.220.42.130 52.220.249.16
AWS アジア太平洋（シドニー） Azureオーストラリア東部（ニューサウスウェールズ）	52.65.205.236 52.62.198.227 3.104.160.96

Snowflakeアカウントを設定する¶

ACCOUNTADMINロールを持つSnowflakeユーザーは、ユーザーがクリーンルームを作成して使用する前に、クリーンルーム環境に関連付けられたSnowflakeアカウントを設定する必要があります。

重要

このセクションの説明の一部として、サービスアカウントユーザーを作成し、ログインします。このユーザーでログインする場合、多要素認証（MFA）に登録しないでください。
ACCOUNTADMINロールを持つユーザーは、そのユーザーオブジェクトに有効な姓、名、メールが定義されている必要があります。これらのプロパティが定義されているかどうかを確認するには、 DESCRIBE USER コマンドを実行します。

Snowflakeアカウントを設定する際に、以下の一般的なタスクを実行します。

クリーンルームがSnowflakeアカウントにアクセスできるように、クリーンルーム環境を表すサービスアカウントユーザーを作成します。
クリーンルームがSnowflakeアカウントのデータとやり取りできるようにするための Snowflake Native App をインストールします。
クリーンルーム内でコラボレーションがアクセスできるデータを含むデータベースを登録します。

これらのタスクを完了するには、次のステップを実行します。

クリーンルーム環境で Snowflake Admin コンソールにアクセスします。次の操作を実行します。
1. Snowflake Data Clean Roomsのログインページに移動します。
2. メールアドレスを入力し、 Continue を選択します。
3. パスワードを入力してください。
4. 複数のクリーンルーム環境に関連している場合は、設定するSnowflakeアカウントを選択します。
5. 左側のナビゲーションで Snowflake Admin を選択します。
6. Login to Snowflake を選択し、ACCOUNTADMIN ロールを持つSnowflakeユーザーとして認証します。
クリーンルームがSnowflakeとやり取りするために使用するサービスアカウントユーザーの詳細を指定します。次のステップで必要になりますので、これらの詳細は必ず覚えておいてください。実装後、Snowflakeはサービスアカウントユーザーの認証に、ユーザー名/パスワードではなく、キーペア認証を使用することに注意してください。次の操作を実行します。
1. サービスアカウントユーザーに関連付けられているメールアドレスを入力してください。
2. New Snowflake Username フィールドに、Snowflakeアカウントに固有の名前を指定します。
3. パスワードを指定します。
4. Create をクリックしてサービスアカウントを作成します。
新しいサービスアカウントユーザーのメールを確認します。次の操作を実行します。
1. Log into your Snowflake account を選択します。
2. サービスアカウントユーザーの認証情報を使用して、 Snowsight にサインインします。前のステップで指定しました。プロンプトが表示された場合は、多要素認証（MFA）に登録しないでください。
3. ユーザーメニューを開くには、サービスアカウントユーザーのユーザー名を選択し、 My profile を選択します。
4. Resend verification email を選択します。サービスアカウントユーザーのメールアドレスに認証メールが送信されます。
5. サービスアカウントユーザーのメール受信箱にアクセスし、認証メールを開き、 Validate Your Email を選択します。
6. クリーンルーム環境の Snowflake Admin コンソールに戻り、 Verify Status を選択します。
Snowflake Data Clean Rooms （SAMOOHA_BY_SNOWFLAKE）に関連する Snowflake Native App をインストールするには、次のステップに従います。
1. オプション: Setup Scripts セクションを使用して、 Snowflake Native App をインストールするためにアカウントで実行されるコードを確認してください。このコードを手動で 実行しないでください。
2. アプリケーションのデフォルト名は変更しないでください。
3. Snowflake Native App をインストールするには Install を選択します。
  
  Snowflake Native App のインストールには時間がかかります。次のステップに進む前に、定期的に Refresh を選択し、完了しているかどうかを確認します。
Database Registration セクションで、クリーンルームでコラボレーターがアクセスできるようにするデータを含むデータベースを選択します。データベースまたはスキーマを登録すると、そのデータベースまたはスキーマ内のすべてのオブジェクトが登録されます。

Snowflake Data Clean Rooms のウェブアプリは以下のオブジェクトをサポートしています。
- テーブル
- 外部テーブル
- Apache Iceberg™ テーブル
- ビュー
- マテリアライズドビュー
- セキュアビュー。さらに、セキュアビューの所有者は SAMOOHA_APP_ROLE ロールでなければなりません。
注釈

これらのステップを完了すると、登録されたデータベースに追加された新しいオブジェクトは、クリーンルームのコラボレーターがすぐに利用できるようになるわけではありません。オブジェクトが追加された場合、ウェブアプリの Snowflake Admin オプションを使って Database Registration セクションに戻り、 Resync を選択する必要があります。

Snowflake Data Clean Rooms を使用する際にSnowflakeアカウントにインストールされるものについては、 Snowflake Data Clean Rooms: インストールの詳細をご参照ください。

キーペア認証を許可する¶

クリーンルーム環境がSnowflakeアカウントとの通信に使用するサービスアカウントユーザーは、キーペア認証を使用して認証します。Snowflake アカウントが認証ポリシーを使用してユーザーの認証方法を制御している場合、サービスアカウントユーザーを制御する認証ポリシーは、キーペア認証を許可する必要があります。

キーペア認証を許可するには、認証ポリシーを AUTHENTICATION_METHODS = ALL または AUTHENTICATION_METHODS = KEYPAIR で作成する必要があります。Snowflakeアカウントに、キーペア認証を許可しないアカウントレベルの認証ポリシーがある場合は、適切なパラメーターを持つ新しい認証ポリシーを作成し、インストールプロセス中に作成されたサービスアカウントユーザーにポリシーを割り当てる必要があります。

異なるリージョンでコンシューマーとのコラボレーションを有効にする¶

アカウントがお客様のアカウントと異なる地域にあるSnowflakeの顧客とコラボレーションを行うには、お客様のクリーンルーム環境でクロスクラウド自動複製を有効にする必要があります。ACCOUNTADMIN ロールを持つSnowflakeユーザーは、クリーンルーム管理者が他のリージョンのアカウントをコラボレーターとして追加する前に、クロスクラウド自動複製を有効にする必要があります。

クリーンルーム環境を設定し、コラボレーターが別のリージョンにいることを許可するには：

Snowflake Data Clean Roomsのログインページに移動します。
メールアドレスを入力し、 Continue を選択します。
パスワードを入力してください。
複数のクリーンルーム環境に関連している場合は、設定するSnowflakeアカウントを選択します。
Admin » Snowflake Admin を選択します。
Login to Snowflake を選択し、ACCOUNTADMIN ロールを持つSnowflakeユーザーとして認証します。
Cross-Cloud Auto-Fulfillment を切り替えます。

クロスリージョンコラボレーションに関連するコスト¶

コラボレーターが別のリージョンにいる場合、追加費用が発生します。これらのコストがどのように発生するかについての詳細は、クロスクラウド自動複製のコストをご参照ください。

クロスリージョンコラボレーションの制限¶

クロスリージョンコラボレーションの制限は以下の通りです。

コラボレーターは、同じウェブアプリのホスティング地域を共有する必要があります。例えば、あるアカウントのウェブアプリのホスティングリージョンがAmazon Web Servicesの場合: US東（ノースバージニア）で、別のアカウントのウェブホスティングリージョンがAmazon Web Services: アジア太平洋地域（ムンバイ）である場合、2人のSnowflake顧客はコラボレーションできません。2人のコラボレーターが同じウェブアプリのホスティングリージョンを共有しているかどうかを判断するには、ウェブアプリのホスティングをご参照ください。
プロバイダーは、クリーンルーム内で差分プライバシーを使用することはできません。
クリーンルーム内では、外部テーブルとIcebergテーブルをリンクすることはできません。
プロバイダーは、クリーンルームのコンシューマーから送信されるリクエストログを表示することはできません。
コンシューマーが複数プロバイダーの分析を実行することはできません。
コラボレーターが、マスキングポリシーや行アクセスポリシーを使用することはできません。

トラブルシューティング¶

このセクションは、このトピックのステップを完了した後に発生する可能性のある問題のトラブルシューティングに使用します。

症状: 権限が不十分である

解決策: ウェブアプリに関連する IP アドレスがネットワークポリシーで許可されていることを確認してください。これらの IP アドレスのリストについては、 IPアドレスを許可リストに追加するをご参照ください。

症状: インストールは成功したが、ウェブアプリが正しく機能しない。

解決策#1: DESCRIBE USER コマンドを使用して、Snowflakeの設定に使用したSnowflakeユーザーが有効な姓、名、メールアドレスを持っていることを再確認します。これらのいずれかが欠けている場合は、 ALTER USER コマンドを実行して指定します。

解決策2: Snowflake Data Clean Rooms の Snowflake Native App をアンインストールしてから、再インストールします。

アプリをアンインストールするには、 Snowflake Native Appのアンインストールをご参照ください。アプリケーションをデフォルトの名前でインストールした場合、その名前は SAMOOHA_BY_SNOWFLAKE となります。
アプリを再インストールするには:
1. ウェブアプリにサインインする。
2. 左側のナビゲーションで Snowflake Admin を選択します。
3. Login to Snowflake を選択し、ACCOUNTADMIN ロールを持つSnowflakeユーザーとして認証します。
4. DESCRIBE USER コマンドを使用して、先ほど認証に使用した ACCOUNTADMIN ロールを持つSnowflakeユーザーの姓、名、およびメールアドレスが有効であることを確認します。これらのいずれかが欠けている場合は、 ALTER USER コマンドを実行して指定します。
5. Snowflake Native App をインストールするには、 Install を選択します。
6. インストール時に、アプリケーションのデフォルト名を受け入れます。

次のステップ¶

ユーザーやコラボレーターの追加など、クリーンルーム環境のセットアップに必要な追加手順については、 Snowflake Data Clean Rooms: 管理者のタスクをご参照ください。