Snowflake Data Clean Rooms:管理员任务

This topic describes the tasks for the administrator of a Snowflake Data Clean Room. For information about installing the clean room environment in your Snowflake account, see 安装 Snowflake Data Clean Rooms 环境.

使用其他仓库

Clean Room 随附 多个仓库,这些仓库可以访问 API。选择适合您需求的仓库。您还可以为特定操作(例如 提供商激活)选择自定义仓库。

但是,如果您向 SAMOOHA_APP_ROLE 角色授予该仓库的 USAGE 和 OPERATE 权限,则您的 Clean Room 可以使用您选择的任何仓库。

例如,要添加一个可以用于运行分析的仓库 my_big_warehouse,请通过工作表执行以下命令:

USE ROLE ACCOUNTADMIN;

CREATE WAREHOUSE my_big_warehouse WITH WAREHOUSE_SIZE = X5LARGE;
GRANT USAGE, OPERATE ON WAREHOUSE my_big_warehouse TO ROLE SAMOOHA_APP_ROLE;
Copy

监控 Clean Room UI 活动

管理员可以监控 Snowflake 账户中的查询历史记录,以跟踪用户在 Clean Room UI 中执行的操作。您可以识别与 Clean Room UI 中的活动对应的查询历史记录条目,因为 user_name 的值是 配置 Snowflake 账户 时创建的服务用户的名称。

您可以使用 user_email 查询标签来识别哪个 Clean Room 用户执行了操作。

要访问 Clean Room 环境的查询历史记录,请根据是要使用 SQL 还是 Snowsight 来执行以下过程之一:

Snowsight:

  1. 以具有 ACCOUNTADMIN 角色的用户身份登录与您的 Clean Room 环境关联的 Snowflake 账户。

  2. 选择 Monitoring » Query History

  3. 使用 User 筛选器选择与 Clean Room 环境关联的服务账户用户。

SQL:

  • 对共享的 SNOWFLAKE 数据库的 ACCOUNT_USAGE 架构中的 QUERY_HISTORY 视图 执行查询。

    例如,如果要跟踪用户 joe@example.com 的 Clean Room UI 活动,请执行以下代码:

    SELECT *,
  TRY_PARSE_JSON(query_tag) AS query_tag_details
  FROM snowflake.account_usage.query_history
  WHERE query_tag_details IS NOT NULL
    AND query_tag_details:request_type = 'DCR'
    AND query_tag_details:user_email = 'joe@example.com';
    Copy

监控由提供商运行的分析

提供者运行的分析是指提供者创建并共享 Clean Room 的过程,在使用者链接他们的数据后,在 Clean Room 中进行分析。这些分析在使用者的账户中运行,而不是在提供者的账户中。本节描述了使用者如何在 Clean Room 中跟踪由提供者分析执行的查询。

Snowflake Data Clean Rooms 为每个执行的查询分配一个查询标签,以进行提供者运行的分析。该查询标签的形式为 cleanroom_UUID_provider_account_locator。消费者可以通过在其账户的查询历史中搜索查询标签,检索与提供商运行的分析相关的所有查询。

要检索查询,首先获取 Clean Room 的 UUID,然后搜索查询标签。在以下代码中,将 cleanroom_nameprovider_account_locator 替换为适当的值。

-- Retrieve clean room UUID
SELECT cleanroom_id FROM samooha_by_snowflake_local_db.public.cleanroom_record
  WHERE cleanroom_name = '<cleanroom_name>';

-- Retrieve queries with provider-run query tag
SELECT * FROM snowflake.account_usage.query_history
  WHERE query_tag = cleanroom_id || '<provider_account_locator>;
Copy

您还可以使用 Snowsight,在使用 SQL 检索 Clean Room UUID 后,通过适当的查询标签过滤查询历史。

自定义可用连接器

您可以使用连接器将 Clean Room 环境与生态系统合作伙伴集成到一起。作为提供商的 Clean Room 管理员,您可以自定义 Clean Room 环境,以限制哪些连接器作为 Clean Room 用户的选项出现。例如,如果您有一个首选的激活合作伙伴,您可以配置 Clean Room 环境,使得当使用者在 Clean Room 中激活分析结果时,该合作伙伴是唯一的选择。

备注

您的自定义仅适用于新的 Clean Room。

要在 Clean Room 中控制可用的连接器,您需要 MANAGE_DCR_CONNECTORS 角色。

  1. 登录 Clean Room UI

  2. 在左侧导航栏中,选择 Admin » Profile & Features

  3. 可选:要自定义激活连接器,请执行以下步骤:

    1. Activation 磁贴中,选择 Edit

    2. 选择您想要显示的激活选项,然后选择 Save

  4. 可选:要自定义身份和数据提供程序连接器,请按照以下步骤操作:

    1. Identity & Data Provider 磁贴中,选择 Edit

    2. 选择您想要显示的身份选项,然后选择 Save

给 Clean Room 标明品牌

您可以为 Clean Room 环境配置简介,以便创建的每个 Clean Room 都带有您的徽标和公司名称。要为您的公司定义徽标和名称,您需要 MANAGE_DCR_PROFILE_AND_FEATURES 角色。

  1. 登录 Clean Room UI

  2. 在左侧导航栏中,选择 Admin » Profile & Features

  3. Company profile 部分中,执行以下操作:

    1. 上传公司的徽标,格式为 JPG 或 PNG。这个标志将出现在创建的每个 Clean Room 上。

    2. 编辑 Company Name,定义您希望在环境中创建的 Clean Room 上显示的名称。

启用单点登录 (SSO)

要使用 Snowflake 身份验证启用单点登录 (SSO),请联系 Snowflake 支持部门

允许密钥对身份验证

Clean Room 环境用于与 Snowflake 账户通信的服务账户用户使用 密钥对身份验证 进行身份验证。如果 Snowflake 账户使用 身份验证策略 来控制用户的身份验证方式,则控制服务账户用户的身份验证策略必须允许密钥对身份验证。

要允许密钥对身份验证,请移除所有身份验证策略,或者通过 AUTHENTICATION_METHODS = ALLAUTHENTICATION_METHODS = KEYPAIR 添加身份验证策略。如果 Snowflake 账户具有不允许密钥对身份验证的账户级身份验证策略,则需要创建具有相应参数的新身份验证策略,然后将该策略分配给在安装过程中创建的服务账户用户。

您可以通过运行以下命令来检查您的身份验证策略:

SHOW AUTHENTICATION POLICIES;
Copy

空结果表表示没有策略,这意味着允许密钥对身份验证。

在 Clean Room UI 中启用或禁用激活

使用 Clean Room UI 时的激活由 Clean Room 管理员全局控制。Clean Room API 中的激活由提供商在 Clean Room 级别上控制。

本节介绍如何在使用 Clean Room UI 时启用或禁用激活。要了解如何在使用 API 时启用激活,请阅读 激活说明

使用 Clean Room UI 时,您的 Clean Room 账户中默认启用提供商和使用者激活。第三方激活必须手动启用。

以下是为账户中的 UI 用户启用或禁用激活的方法:

  1. 以 DCR 管理员身份 登录到 Web 应用程序中的 Clean Room 环境 UI

  2. 选择 Admin » Profile & Features

  3. Activation 部分中,选择 Edit

    • 要管理 使用者激活,请执行以下操作:选中或清除 Collaborator Account 旁的复选框。

    • 要管理 提供商激活,请执行以下操作:选中或清除您自己的账户名称旁的复选框。

    • 要管理 第三方激活,请执行以下操作:选中或清除要启用或禁用的第三方激活目标旁的复选框。第三方激活可通过连接器启用,并且仅在 Clean Room UI 中可用。请参阅可用的第三方连接器列表

Learn how to implement activation in a clean room.

配置网络策略

如果 Snowflake 账户使用 网络策略 来控制网络流量,您必须明确允许来自 Clean Room UI 与 Snowflake 账户通信时所用 IP 地址的流量。

在下表中找到您的云提供商账户区域,并配置您的账户网络策略以允许在该行中列出所有 IP 地址:

Snowflake 账户区域

允许 Clean Room UI 的这些 IP 地址

  • AWS US 西部(俄勒冈州)

  • AWS US 东部(俄亥俄州)

  • AWS US 东部(弗吉尼亚北部)

  • AWS 南美(圣保罗)

  • Azure 西部 US 2(华盛顿)

  • Azure 中部 US(爱荷华州)

  • Azure 中南部 US(得克萨斯州)

  • Azure 东部 US 2(弗吉尼亚)

  • GCP US 中部 1(爱荷华州)

  • GCP US 东部 4(弗吉尼亚州北部)
52.7.249.136
34.195.16.248
52.7.210.215

  • AWS 加拿大(中部)

  • Azure 加拿大中部(多伦多)
15.223.145.218
3.96.6.109
15.222.142.44

  • AWS EU(爱尔兰)

  • AWS 欧洲(伦敦)

  • AWS EU (巴黎)

  • AWS EU (法兰克福)

  • AWS EU (斯德哥尔摩)

  • AWS EU(苏黎世)

  • Azure UK 南部(伦敦)

  • Azure 北欧(爱尔兰)

  • Azure 欧洲西部(荷兰)

  • Azure 瑞士北部(苏黎世)

  • Azure UAE 北部(迪拜)

  • GCP 欧洲西部 2(伦敦)

  • GCP 欧洲西部 4(荷兰)
54.93.86.99
3.126.238.8
3.127.143.168

  • AWS 亚太地区(孟买)

  • Azure 印度中部(浦那)
35.154.94.29
13.235.168.249
15.206.48.175

  • AWS 亚太地区(新加坡)

  • AWS 亚太地区(东京)

  • AWS 亚太地区(大阪)

  • AWS 亚太地区(首尔)

  • AWS 亚太地区(雅加达)

  • Azure 东南亚(新加坡)

  • Azure 日本东部(东京)
13.228.90.174
52.220.42.130
52.220.249.16

  • AWS 亚太地区(悉尼)

  • Azure 澳大利亚东部(新南威尔士州)
52.65.205.236
52.62.198.227
3.104.160.96

查看此环境的服务账户的详细信息

Clean Room UI 使用服务账户与 Snowflake 进行通信。此服务账户是由账户管理员在为此账户安装 Clean Room 环境时创建的。

您不能修改有关服务账户用户的详细信息。

要查看有关此 Clean Room 环境的服务账户的详细信息,您需要 MANAGE_DCR_PROFILE_AND_FEATURES 角色。

  1. 导航至 Snowflake Data Clean Room 登录页面

  2. 导航到 Admin > Snowflake Admin

  3. Snowflake Admin 页面中您可以看到服务用户名和服务用户电子邮件等信息。

语言: 中文