Business CriticalアカウントからBusiness Critical以外のアカウントへの共有を有効にする

デフォルトでは、SnowflakeはBusiness CriticalアカウントからBusiness Critical以外のアカウントへのデータ共有を許可していません。詳細については、 データ共有とBusiness Criticalアカウント をご参照ください。

Snowflakeは、デフォルトで ACCOUNTADMIN ロールに付与されている OVERRIDE SHARE RESTRICTIONS グローバル権限を提供します。

OVERRIDE SHARERESTRICTIONS グローバル権限は、他のロール(システム定義またはカスタム)に付与できます。その後、ロールを持つユーザーは、プロバイダーアカウントの SHARE_RESTRICTIONS パラメーターを有効または無効にできます。

パラメーターが無効になっている場合、Business Criticalプロバイダーアカウントは、コンシューマーアカウント(Business Critical以外のエディション)を共有に追加できます。

注意

Snowflakeでは、データ共有に携わっている HIPAA (および HITRUST)アカウントが相互に BAA に署名していることを保証する責任を負いません。これは、データを共有しているアカウントの裁量です。署名済みの BAA がないと、両方のアカウント、 特に プロバイダーアカウントの HIPAA (および HITRUST)コンプライアンスに影響する可能性があります。

また、Business Criticalアカウントをお持ちの場合、Business Criticalが提供するデータ保護の期待レベルを維持するため、SnowflakeにBusiness Critical以外のアカウントのSecure Data Sharingの有効化をリクエストする前に、次の点を考慮するよう 強く お勧めします。

  • 機密データを非Business Criticalアカウントと共有しないでください。

  • 2つ目の非Business Criticalアカウントを作成して、機密性の低いデータを保存し、このデータを非Business Criticalアカウントと共有することを検討します。

  • Business CriticalアカウントでTri-Secret Secureを使用しており、他のアカウントとデータを共有している場合、Snowflakeは、これらのアカウントからのデータアクセスを自分のアカウント内から発生したかのように扱います。具体的には、コンシューマーアカウントへのアクセスを許可するには、Snowflakeが AWS KMSにアクセスする必要がある場合があります。

これらは推奨事項にすぎず、Snowflakeによって強制されるものではありません。データを共有する決定は常にデータプロバイダーの裁量で行われ、Snowflakeは不適切に共有されたデータについて一切責任を負いません。

このトピックの内容:

考慮事項

  • この権限は、 ACCOUNTADMIN ロールを持つユーザーが付与できます。

  • OVERRIDE SHARE RESTRICTIONS 権限を再付与することはできません。

  • Business Criticalプロバイダーに属する共有に、Business Critical以外の新しいコンシューマーアカウントを追加するたびに、SHARE_RESTRICTIONS パラメーターを設定する必要があります。

別のロールへの OVERRIDE SHARE RESTRICTIONS 権限の付与

OVERRIDE SHARE RESTRICTIONS をロールに付与するには、 ACCOUNTADMIN ロールと GRANT <権限> ... TO ROLE コマンドを使用します。

構文:

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <ロール名>

条件:

< ロール名 > は、権限が付与されるロールです。

例:

-- grant the privilege to the SYSADMIN role
use role accountadmin;
grant override share restrictions on account to role sysadmin;

-- SYSADMIN can now add a consumer account to a share with the SHARE_RESTRICTIONS parameter set to false
use role sysadmin;
alter share <share_name> add accounts = <consumer_account_name> SHARE_RESTRICTIONS=false;