Snowflake Data Clean Rooms: Tarefas do administrador

Este tópico descreve as tarefas do administrador de uma Snowflake Data Clean Room. Para obter informações sobre como instalar o ambiente de sala limpa em sua conta Snowflake, consulte Instalação do ambiente Snowflake Data Clean Rooms.

Uso de um warehouse diferente

As salas limpas vêm com vários warehouses que podem acessar a API. Escolha o warehouse apropriado às suas necessidades. Você também pode escolher um tamanho de warehouse personalizado para ações específicas, como ativação do provedor.

Entretanto, a sala limpa pode usar qualquer warehouse de sua escolha, se você conceder os privilégios USAGE e OPERATE nesse warehouse à função SAMOOHA_APP_ROLE.

Por exemplo, para adicionar um warehouse my_big_warehouse que pode ser usado para executar análises, execute os seguintes comandos em uma planilha:

USE ROLE ACCOUNTADMIN;

CREATE WAREHOUSE my_big_warehouse WITH WAREHOUSE_SIZE = X5LARGE;
GRANT USAGE, OPERATE ON WAREHOUSE my_big_warehouse TO ROLE SAMOOHA_APP_ROLE;
Copy

Monitoramento das atividades da UI de salas limpas

Como administrador, você pode rastrear o que os usuários estão fazendo na UI de salas limpas monitorando o histórico de consultas em sua conta Snowflake. Você pode identificar as entradas do histórico de consultas que correspondem às atividades na UI de salas limpas porque o valor de user_name é o nome do usuário de serviço criado quando a conta Snowflake foi configurada.

Você pode usar a tag de consulta user_email para identificar qual usuário da sala limpa executou uma ação.

Para acessar o histórico de consultas do seu ambiente de sala limpa, siga um destes procedimentos, conforme sua escolha entre SQL ou Snowsight:

Snowsight:

  1. Entre na conta Snowflake associada ao seu ambiente de sala limpa como um usuário com a função ACCOUNTADMIN.

  2. Selecione Monitoring » Query History.

  3. Use o filtro User para selecionar o usuário da conta de serviço associado ao ambiente de sala limpa.

SQL:

  • Executar consultas contra a exibição QUERY_HISTORY no esquema ACCOUNT_USAGE do banco de dados SNOWFLAKE compartilhado.

    Por exemplo, para rastrear as atividades da UI de salas limpas do usuário joe@example.com, execute o seguinte código:

    SELECT *,
  TRY_PARSE_JSON(query_tag) AS query_tag_details
  FROM snowflake.account_usage.query_history
  WHERE query_tag_details IS NOT NULL
    AND query_tag_details:request_type = 'DCR'
    AND query_tag_details:user_email = 'joe@example.com';
    Copy

Monitoramento de análises executadas pelo provedor

Uma análise executada pelo provedor se refere ao processo em que um provedor cria e compartilha uma sala limpa e, em seguida, executa uma análise na sala limpa depois que o consumidor vincula seus dados. Essas análises são executadas na conta do consumidor, não do provedor. Esta seção descreve como o consumidor pode rastrear as consultas executadas pelas análises do provedor na sala limpa.

Snowflake Data Clean Rooms atribui uma tag de consulta a cada consulta executada para uma análise executada pelo provedor. Esta tag de consulta assume o formato cleanroom_UUID_provider_account_locator. Um consumidor pode recuperar todas as consultas associadas às análises executadas pelo provedor pesquisando a tag de consulta no histórico de consulta de sua conta.

Para recuperar a consulta, primeiro obtenha o UUID para uma sala limpa e depois procure pela tag de consulta. No código a seguir, substitua cleanroom_name e provider_account_locator pelos valores apropriados.

-- Retrieve clean room UUID
SELECT cleanroom_id FROM samooha_by_snowflake_local_db.public.cleanroom_record
  WHERE cleanroom_name = '<cleanroom_name>';

-- Retrieve queries with provider-run query tag
SELECT * FROM snowflake.account_usage.query_history
  WHERE query_tag = cleanroom_id || '<provider_account_locator>;
Copy

Você também pode Snowsight usar para filtro o histórico de consulta pela tag de consulta apropriada depois de usar SQL para recuperar o UUID da sala limpa.

Personalize os conectores disponíveis

Os conectores permitem que você integre seu ambiente de sala limpa com seus parceiros de ecossistema. Como administrador da sala limpa de um provedor, você pode personalizar o ambiente de sala limpa para limitar quais conectores aparecem como opções para o usuário da sala limpa. Por exemplo, se você tiver apenas um parceiro de ativação preferencial, poderá configurar o ambiente de sala limpa para que o parceiro seja a única opção quando um consumidor ativar os resultados de uma análise em uma sala limpa.

Nota

Suas personalizações se aplicam somente a novas salas limpas.

Para controlar quais conectores estão disponíveis em uma clean room, você precisa da função MANAGE_DCR_CONNECTORS.

  1. Faça login na UI de salas limpas.

  2. No painel de navegação à esquerda, selecione Admin » Profile & Features.

  3. Opcional: para personalizar os conectores de ativação, siga estas etapas:

    1. No bloco Activation, selecione Edit.

    2. Selecione quais opções de ativação você deseja exibir e, em seguida, selecione Save.

  4. Opcional: para personalizar conectores de identidade e provedor de dados, siga estas etapas:

    1. No bloco Identity & Data Provider, selecione Edit.

    2. Selecione quais opções de identidade você deseja exibir e, em seguida, selecione Save.

Coloque sua marca em suas salas limpas

Você pode configurar um perfil para seu ambiente de sala limpa para que cada sala limpa criada seja identificada com seu logotipo e nome da empresa. Para definir o logotipo e o nome de sua empresa, você precisa da função MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Faça login na UI de salas limpas.

  2. No painel de navegação à esquerda, selecione Admin » Profile & Features.

  3. Na seção Company profile, faça o seguinte:

    1. Carregue um logotipo para sua empresa no formato JPG ou PNG. Este logotipo aparecerá em todas as salas limpas que forem criadas.

    2. Edite Company Name para definir o nome que você deseja que apareça nas salas limpas criadas em seu ambiente.

Habilitação de login único (SSO)

Para ativar o login único (SSO) com a autenticação Snowflake, entre em contato com o suporte Snowflake.

Permissão para autenticação de par de chaves

O usuário da conta de serviço que o ambiente de sala limpa usa para se comunicar com sua conta Snowflake usa autenticação de par de chaves para autenticar. Se sua conta Snowflake usar políticas de autenticação para controlar como os usuários são autenticados, a política de autenticação que controla o usuário da conta de serviço deverá permitir a autenticação de par de chaves.

Para permitir a autenticação por par de chaves, remova todas as políticas de autenticação ou adicione uma política de autenticação com AUTHENTICATION_METHODS = ALL ou AUTHENTICATION_METHODS = KEYPAIR. Se sua conta Snowflake tiver uma política de autenticação em nível de conta que não permita autenticação de par de chaves, você precisará criar uma nova política de autenticação com o parâmetro apropriado e, em seguida, atribuir a política ao usuário da conta de serviço que foi criado durante o processo de instalação.

Você pode verificar suas políticas de autenticação executando este comando:

SHOW AUTHENTICATION POLICIES;
Copy

Uma tabela de resultados vazia indica que não há políticas, o que significa que a autenticação de par de chaves é permitida.

Habilitação ou desabilitação da ativação na UI de clean room

Ao usar a UI de clean room, a ativação é controlada globalmente por um administrador de clean room. A ativação na API de clean room é controlada no nível da clean room pelo provedor.

Esta seção mostra como habilitar ou desabilitar a ativação ao usar a UI de clean room. Para saber como habilitar a ativação ao usar a API, leia as instruções de ativação.

A ativação do provedor e consumidor é habilitada por padrão em sua conta de clean room ao usar a UI de clean room. A ativação de terceiros deve ser ativada manualmente.

Veja a seguir como habilitar ou desabilitar a ativação para usuários de UI em sua conta:

  1. Faça login no ambiente de sala limpa na UI de salas limpas como administrador DCR.

  2. Selecione Admin » Profile & Features.

  3. Na seção Activation, selecione Edit.

    • Para gerenciar a ativação do consumidor: marque ou desmarque a caixa de seleção ao lado de Collaborator Account.

    • Para gerenciar a ativação do provedor: marque ou desmarque a caixa de seleção ao lado do nome de sua própria conta.

    • Para gerenciar a ativação de terceiros: marque ou desmarque a caixa de seleção ao lado do destino de ativação de terceiros que você deseja habilitar ou desabilitar. A ativação de terceiros é habilitada por meio de conectores e está disponível apenas na UI de clean room. Consulte a lista de conectores de terceiros disponíveis.

Saiba como implementar a ativação em uma clean room.

Configuração de políticas de rede

Se a sua conta Snowflake usa uma política de redes para controlar o tráfego de rede, você deve permitir explicitamente o tráfego de endereços IP que a UI de salas limpas usa para se comunicar com sua conta Snowflake.

Localize a região da conta de provedor de nuvem na tabela abaixo e configure a política de redes da conta para permitir todos os endereços IP listados nessa linha:

Região da conta Snowflake

Permitir estes endereços IP para a UI de salas limpas

  • AWS US West (Oregon)

  • AWSUS East (Ohio)

  • AWS US East (N. Virginia)

  • AWS South America (Sao Paulo)

  • Azure West US 2 (Washington)

  • Azure Central US (Iowa)

  • Azure South Central US (Texas)

  • Azure East US 2 (Virginia)

  • GCP US Central1 (Iowa)

  • GCP US East4 (N. Virginia)
52.7.249.136
34.195.16.248
52.7.210.215

  • AWS Canada (Central)

  • Azure Canada Central (Toronto)
15.223.145.218
3.96.6.109
15.222.142.44

  • AWS EU (Ireland)

  • AWS Europe (London)

  • AWS EU (Paris)

  • AWS EU (Frankfurt)

  • AWS EU (Stockholm)

  • AWS EU (Zurich)

  • Azure UK South (London)

  • Azure North Europe (Ireland)

  • Azure West Europe (Netherlands)

  • Azure Switzerland North (Zurich)

  • Azure UAE North (Dubai)

  • GCP Europe West2 (Londres)

  • GCP Europe West4 (Países Baixos)
54.93.86.99
3.126.238.8
3.127.143.168

  • AWS Asia Pacific (Mumbai)

  • Azure Central India (Pune)
35.154.94.29
13.235.168.249
15.206.48.175

  • AWS Asia Pacific (Singapore)

  • AWS Asia Pacific (Tokyo)

  • AWS Asia Pacific (Osaka)

  • AWS Asia Pacific (Seoul)

  • AWS Asia Pacific (Jakarta)

  • Azure Southeast Asia (Singapore)

  • Azure Japan East (Tokyo)
13.228.90.174
52.220.42.130
52.220.249.16

  • AWS Asia Pacific (Sydney)

  • Azure Australia East (New South Wales)
52.65.205.236
52.62.198.227
3.104.160.96

Veja detalhes sobre a conta de serviço para este ambiente

A UI de salas limpas usa uma conta de serviço para se comunicar com o Snowflake. Essa conta de serviço foi criada pelo administrador da conta quando ele instalou o ambiente de sala limpa para essa conta.

Você não pode modificar os detalhes sobre o usuário da conta de serviço.

Para ver os detalhes sobre a conta de serviço desse ambiente de Clean Room, você precisa da função MANAGE_DCR_PROFILE_AND_FEATURES.

  1. Navegue até a página de login do Snowflake Data Clean Rooms.

  2. Navegue até Admin > Snowflake Admin.

  3. Na página Snowflake Admin, você pode ver informações como o nome do usuário de serviço e o e-mail do usuário de serviço.

Linguagem: Português