Habilitação do compartilhamento de uma conta Business Critical para outro tipo de conta

Por padrão, o Snowflake não permite o compartilhamento de dados de uma conta Business Critical para outro tipo de conta. Para obter mais informações, consulte Data Sharing e contas Business Critical.

O Snowflake fornece o privilégio global OVERRIDE SHARE RESTRICTIONS que é concedido à função ACCOUNTADMIN por padrão.

O privilégio global OVERRIDE SHARE RESTRICTIONS pode ser concedido a outras funções (definidas pelo sistema ou personalizadas). Então, os usuários com a função podem ativar/desativar o parâmetro SHARE_RESTRICTIONS para sua conta de provedor.

Quando o parâmetro é desativado, uma conta de provedor Business Critical pode adicionar uma conta de consumidor (com edição diferente de Business Critical) a um compartilhamento.

Atenção

O Snowflake não é responsável por garantir que as contas HIPAA (e HITRUST) que participam de compartilhamento de dados tenham um BAA assinado entre si; isto fica a critério das contas que estão compartilhando dados. Observe que não ter um BAA assinado pode afetar a conformidade HIPAA (e HITRUST) de ambas as contas, particularmente a conta do provedor.

Além disso, se você tiver uma conta Business Critical, para manter o respectivo nível de proteção de dados esperado, recomendamos fortemente considerar o seguinte antes de solicitar que o Snowflake habilite o Secure Data Sharing em contas diferentes de Business Critical:

  • Não compartilhe dados confidenciais com contas que não sejam Business Critical.

  • Pense em criar uma segunda conta, não Business Critical, onde você armazene dados menos confidenciais e compartilhe esses dados com contas não Business Critical.

  • Se você estiver usando Tri-Secret Secure com sua conta Business Critical e compartilhar dados com outras contas, o Snowflake trata o acesso aos dados dessas contas como se o acesso ocorresse a partir de sua própria conta. Especificamente, a concessão do acesso à conta de consumidor pode exigir que o Snowflake acesse seu AWS KMS.

Estas são apenas recomendações e não são aplicadas pelo Snowflake. A decisão de compartilhar dados fica sempre a critério do provedor de dados e o Snowflake não assume nenhuma responsabilidade por dados que sejam compartilhados de forma imprópria.

Neste tópico:

Considerações

  • O privilégio pode ser concedido pelos usuários com a função ACCOUNTADMIN.

  • O privilégio OVERRIDE SHARE RESTRICTIONS não pode ser concedido novamente.

  • Você deve definir o parâmetro SHARE_RESTRICTIONS a cada vez que adicionar uma nova conta de consumidor diferente de Business Critical ao compartilhamento pertencente a um provedor Business Critical.

Concessão do privilégio OVERRIDE SHARE RESTRICTIONS para outra função

Para conceder OVERRIDE SHARE RESTRICTIONS a uma função, use o comando ACCOUNTADMIN e o comando GRANT <privilégios>.

Sintaxe:

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <nome_função>

Onde:

<nome_função> é a função à qual o privilégio é concedido.

Por exemplo:

-- grant the privilege to the SYSADMIN role
use role accountadmin;
grant override share restrictions on account to role sysadmin;

-- SYSADMIN can now add a consumer account to a share with the SHARE_RESTRICTIONS parameter set to false
use role sysadmin;
alter share <share_name> add accounts = <consumer_account_name> SHARE_RESTRICTIONS=false;
Copy