組織リストを作成する

組織内でデータ製品を安全に共有するための組織リストを作成します。組織リストを作成する前に、前提条件、既知の制限、および考慮事項を確認してください。

前提条件

既知の制限

  • 政府リージョンでの組織リストのサポートは現在プレビュー中であり、以下の制限があります。

    • 政府リージョンでのカスタム組織プロファイルの作成はサポートされていません。

    • 組織アカウント内の ACCESS_HISTORY ビュー は利用できません。

    • 商用またはVirtual Private Snowflake(VPS)アカウントから作成された組織リストは、リストの検索、フィルタリング、閲覧時に表示されません。

  • 特定のリージョンをターゲットにするには、 API を使用する必要があります。

  • 対応データ製品: Snowflake Native App Framework および共有。

  • Snowflake Native App を含む組織リストは、アクセスまたは検出のターゲットロールに対応していません。

  • 組織リストを使用する場合、以下の機能はサポートされません。

    • プロバイダースタジオ分析。

    • リーダーアカウント。

  • Snowsight を使用して、組織リストで特定のリージョンを指定することはできません。

    その代わりに、プログラムでリストを:doc:`作成</sql-reference/sql/create-organization-listing>`または:doc:`変更</sql-reference/sql/alter-listing>`するときに、 :doc:`マニフェスト YAML</user-guide/collaboration/listings/organizational/org-listing-manifest-reference>`ファイルでリージョンを指定することができます。

考慮事項

  • 組織全体をターゲットにする前に、外部のテナントをチェックしてください。データ製品を外部のテナントと共有する予定がない限り、組織リストに追加する前に、データ製品のターゲットアカウントを調整します。

  • 各共有は1つのリストに添付することができます。

  • 各Native Appは、1つまたは複数のリストに添付することができます。

  • 組織リストを含むアカウントの組織変更(合併など)については、 Snowflake Support までご連絡ください。

アクセス制御の要件

ここで提供される情報を使用して、組織リスト SQL コマンドを実行するために必要な特定のロールと権限を決定します。

指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。

セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。

組織リスト権限の割り当て

組織リストを作成するには、ロールには、 共有の作成と管理 に示すように、共有の作成に必要な権限と、 共有を使用して組織リストを作成する権限 に示すように、共有から組織リストを作成するのに必要な権限を持たせる必要があります。

共有の作成と管理

共有を作成し、共有内のオブジェクトを作成、管理するには、ロールがデータオブジェクト、スキーマ、CREATE SHAREコマンドに対して必要な権限を持っている必要があります。

権限

オブジェクト

注意

CREATE SHARE

ACCOUNT

共有を CREATE するには

OWNERSHIPまたはUSAGE(権限オプション付き)

DATABASE

指定データベースを表示および USE するには

OWNERSHIPまたはUSAGE(権限オプション付き)

SCHEMA

指定されたスキーマを参照する方法。

SELECT

TABLE

指定したスキーマの指定したテーブルをクエリする方法。

スキーマ内のオブジェクトに対して操作を行うには、親データベースおよびスキーマの USAGE 権限が必要です。

共有を使用して組織リストを作成する権限

組織リストを作成するには、上記の共有関連の権限に加えて、以下のいずれかの権限が必要です。

権限

オブジェクト

注意

CREATE ORGANIZATION LISTING

ACCOUNT

組織リストの作成して変更するには。

CREATE に LISTING

ACCOUNT

組織リストおよび個人リストを作成して変更するには。

組織リストを変更する権限

リストを変更するには、以下のいずれかの権限が必要です。

ロール

注意

OWNERSHIP

追加の付与オプションを必要とすることなく共有を ALTER できます。

付与オプションで MODIFY します

ロールに変更権限を与えた後、ALTER できます。次を使用すると行うことができます。

grant modify on data exchange listing <listing_name> to role <role_name>
Copy

組織リストの消費またはクエリ

組織リストを直接利用するには、 Uniform Listing Locator (ULL) を参照できます。追加の権限は必要ありません。リストをマウントする必要がある場合は、以下の権限が必要です。

権限

オブジェクト

注意

IMPORT ORGANIZATION LISTING

ACCOUNT

組織リストをインポートするには

CREATE データベース

ACCOUNT

データベースを作成し、リストオブジェクトをマウントするには。

リスト自動フルフィルメント設定の管理

組織リストの自動フルフィルメント設定を管理する前に、リストの自動フルフィルメントを管理するために必要なロールがあることを確認してください。詳しくは、自動フルフィルメント 必須権限 をご覧ください。

この操作の実行に使用される ロール には、少なくとも次の 権限 が必要です。

権限

オブジェクト

注意

MANAGE LISTING AUTO FULFILLMENT

ACCOUNT

自動フルフィルメント設定を構成する方法。

Snowsight またはSQLで組織リストを作成する

  1. 組織リストを作成します。

    1. Snowsight にサインインします。

    2. 左側のナビゲーションメニューで Data Products » Provider Studio を選択します。

    3. + Create Listing » Internal Marketplace を選択します。

    4. + Data Product を選択します。

    5. + Data Product ダイアログで、 + Select をクリックします。

    6. テーブル、ビュー、その他のデータ製品などのデータ製品に移動します。

      または、共有するデータ製品を検索して選択します。

    7. 完了したら Done を選択します。

    8. Save を選択します。

  2. リスト(ターゲットアカウント、ロール、リージョン)にアクセスできる人を指定します。

    1. + Access Control を選択します。 Access and discovery ダイアログが表示されます。

    2. Grant access セクションを入力します。

      フィールド

      説明

      Who can access this data product?

      次のいずれかを選択します。

      • Entire organization:組織内なら誰でもリストにアクセスできます。

        Entire organization が選択され、 クロスクラウドの自動フルフィルメント がアカウントで有効になっている場合は、リストの自動フルフィルメントの更新設定を確認するプロンプトが表示されます。

      • Selected accounts and roles:選択されたアカウントとロールのみがアクセスできます。

      • No accounts or roles are pre-approved:(デフォルト)データ製品はリクエストでのみ使用可能です。

      Accounts

      Selected accounts and roles を選択した場合は、1つ以上のアカウントを選択します。

      オプション。+ Add another account を選択し2番目以降のアカウントを追加します。

      デフォルトでは、選択したアカウントのすべてのロールがリストにアクセスできます。Selected roles を選択し、選択した各アカウントの特定のロールにのみアクセスを付与します。

    3. Allow discovery セクションを入力します。

      フィールド

      説明

      Who else can discover the listing and request access?

      次のいずれかを選択します。

      • Entire organization:(デフォルト)組織内なら誰でもリストを見つけて、アクセスをリクエストできます。Grant access セクションで Entire organization が指定されている場合、このフィールドは選択され無効になります。

      • Selected accounts and roles:選択されたアカウントとロールのみがリストを見つけて、アクセスをリクエストできます。

      • Not discoverable by users without access:アクセスを持つユーザーのみがこのリストを見つけることができます。

      Accounts

      Select accounts and roles が選択されている場合は、1つ以上のアカウントを選択します。

      オプション。+ Add another account を選択して2番目以降のアカウントを追加し、特定のロールにアクセスを付与します。

      Selected user roles

      Selected roles を選択した場合は、アクセスを許可するロールを1つ以上入力します。

    4. Allow discoverySelected accounts and roles の場合、次に Set up request approval flow を選択します。

      • Set up request approval flow ダイアログで、 How should the request approval happen? リストから以下のオプションのいずれかを選択します。

        • Manage requests in Snowflake:リクエスト承認者のメールアドレスを入力し、オプションでリクエストを承認できる追加のロールを指定します。

        • Manage requests outside of Snowflake:リクエスト承認者のメールアドレスを入力するか、内部チケットシステムを指す URL を入力します。

        注釈

        組織全体がデータ製品にアクセスできる場合や、アクセスのないユーザーがデータ製品を発見できない場合は、 Set up request approval flow ボタンは使用できません。

  1. タイトルを記入し、生成された統一リストロケーター(ULL)を確認します。

    リストタイトルの変更は任意ですが、お勧めします。詳しくは、 Uniform Listing Locator をご覧ください。

    1. Untitled Listing を選択します。

    2. Listing title には、データ製品の説明的なタイトルを入力します。

    3. Save または Cancel を選択します。

  2. リストを完成させてください。

    説明データ辞書、使用例、 属性 など、コンシューマーを誘導するためのリストページに関する追加情報を入力します。

    Support Contact が必要であることに注意してください。

  3. Publish をクリックすると、リストが Internal Marketplace で利用可能になります。

    公開せずに終了すると、リストは下書きとして保存され、レビューや説明メタデータの追加に備えることができます。

言語: 日本語