Business Critical 계정에서 Business Critical 외 계정으로 공유 활성화하기

기본적으로, Snowflake는 Business Critical 계정에서 Business Critical 이외 계정으로의 데이터 공유를 허용하지 않습니다. 자세한 내용은 데이터 공유 및 Business Critical 계정 섹션을 참조하십시오.

Snowflake는 ACCOUNTADMIN 역할에 기본적으로 부여되는 OVERRIDE SHARE RESTRICTIONS 전역 권한을 제공합니다.

OVERRIDE SHARE RESTRICTIONS 전역 권한은 다른 역할(시스템 정의 또는 사용자 지정)에 부여할 수 있습니다. 그러면, 이 역할의 사용자는 공급자 계정에 대한 SHARE_RESTRICTIONS 매개 변수를 활성화하거나 비활성화할 수 있습니다.

매개 변수가 비활성화된 경우 Business Critical 공급자 계정은 공유에 컨슈머 계정(Business Critical 외 에디션)을 추가할 수 있습니다.

주의

Snowflake는 데이터 공유에 참여하는 HIPAA(및 HITRUST) 계정이 서로 BAA에 서명했는지를 확인할 책임이 없으며, 이는 데이터를 공유하는 계정의 판단을 따릅니다. BAA에 서명하지 않으면 두 계정, 특히 공급자 계정이 HIPAA(및 HITRUST) 규정을 준수하는 것에 영향을 줄 수 있습니다.

또한, Business Critical 계정 사용자의 경우 Business Critical에서 제공하는 예상 데이터 보호 수준을 유지하려면, Business Critical 계정이 아닌 계정과 Secure Data Sharing을 활성화하도록 Snowflake에 요청하기 전 다음을 고려하는 것이 적극 권장됩니다.

  • Business Critical 외 계정과 민감한 데이터를 공유하지 마십시오.

  • 민감도 수준이 떨어지는 데이터를 저장하고 이러한 데이터를 Business Critical 외 계정과 공유하는 Business Critical이 아닌 보조 계정을 만드는 것이 좋습니다.

  • Business Critical 계정으로 Tri-Secret Secure를 사용하고 다른 계정과 데이터를 공유하는 경우 Snowflake는 이러한 계정으로부터의 데이터 액세스가 사용자 계정 내에서 발생한 것으로 취급합니다. 특히, 컨슈머 계정에 대한 액세스 권한을 부여하려면 Snowflake가 사용자의 AWS KMS에 액세스해야 할 수 있습니다.

이는 권장 사항일 뿐이며, Snowflake가 강제로 적용하지 않습니다. 데이터 공유 결정은 항상 데이터 공급자의 판단을 따르며, Snowflake는 부적절하게 공유된 데이터에 대한 어떠한 책임도 지지 않습니다.

이 항목의 내용:

고려 사항

  • 권한은 ACCOUNTADMIN 역할의 사용자가 부여할 수 있습니다.

  • OVERRIDE SHARE RESTRICTIONS 권한은 다시 부여할 수 없습니다.

  • Business Critical 공급자에게 속한 공유에 Business Critical이 아닌 컨슈머 계정을 새로 추가할 때마다 SHARE_RESTRICTIONS 매개 변수를 설정해야 합니다.

OVERRIDE SHARE RESTRICTIONS 권한을 다른 역할에 부여하기

역할에 OVERRIDE SHARE RESTRICTIONS을 부여하려면 ACCOUNTADMIN 역할 및 GRANT <권한> 명령을 사용합니다.

구문:

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <역할_이름>

여기서:

<역할_이름> 은 권한이 부여된 역할입니다.

예:

-- grant the privilege to the SYSADMIN role
use role accountadmin;
grant override share restrictions on account to role sysadmin;

-- SYSADMIN can now add a consumer account to a share with the SHARE_RESTRICTIONS parameter set to false
use role sysadmin;
alter share <share_name> add accounts = <consumer_account_name> SHARE_RESTRICTIONS=false;
Copy