Snowflake Data Clean Room 中角色的概述¶
角色和组件的概述¶
Snowflake DCR 应用程序由两个主要组件组成:
原生应用程序:在客户账户中运行,并且执行 Web 应用程序要求的所有操作。
Web 应用程序:提供基于浏览器的无代码界面。Web 应用程序是一个包装程序,可调用原生应用程序执行操作。Web 应用程序用于以下目的:
由 Snowflake 管理员用于安装 Clean Room 环境并管理 Snowflake 账户级功能。
由 Web 应用程序管理员用于管理其账户内 Web 应用程序的访问权限。
由非技术业务用户用于创建 Clean Room 或在 Clean Room 中运行查询(充当提供商或使用者)。
下图显示了各种 Clean Room 职能和对象,以及它们所需的 Snowflake 角色。
Snowflake 管理员、DCR 管理员和 Clean Room 管理员都可以通过 Web 应用程序访问原生应用程序。Web 应用程序使用由 Snowflake 管理员创建的服务账户 DCR_SERVICE_USER。该服务账户使用 SAMOOHA_APP_ROLE 访问原生应用程序。开发者直接使用 SAMOOHA_APP_ROLE 访问原生应用程序。
下图显示了用户在 Clean Room 中可能扮演的四种基本职能角色。一个用户在某个指定组织中可以扮演多个角色。
Snowflake 管理员: Snowflake 管理员为 Snowflake 账户安装和管理 Clean Room 环境。管理主要通过 Web 应用程序进行。该角色要求 ACCOUNTADMIN 角色执行管理操作。Snowflake 管理员执行以下任务:
安装 Clean Room 环境。
指定 Clean Room 管理员。
创建在运行 Web 应用程序时所需的 DCR_SERVICE_USER 服务账户(稍后详述)。
指定 Clean Room 创建者可将哪些 Snowflake 数据导入此账户中的 Clean Room。
安装和配置各种第三方连接器,例如激活连接器(用于向第三方导出 Clean Room 数据)、身份提供商连接器(用于管理实体 PID)和外部数据连接器(用于导入非 Snowflake 数据)。
DCR 管理员: 在 Snowflake 管理员为 Snowflake 账户安装 Clean Room 环境后,Clean Room 管理员负责管理该环境。该人员使用 Web 应用程序执行管理任务。在后台,它们使用的是 DCR_SERVICE_USER 服务账户,详情如下。Clean Room 管理员执行以下任务:
添加其他 Clean Room 管理员。
启用和配置各种第三方连接器,例如激活连接器(用于向第三方导出 Clean Room 数据)、身份提供商连接器(用于管理实体 PID)和外部数据连接器(用于导入非 Snowflake 数据)。Clean Room 管理员可使用启用的连接器。
查看有关自定义 Clean Room 模板中潜在安全问题的安全扫描结果。
添加 Clean Room 管理员和其他 DCR 管理员。
Clean Room 管理员: Web 应用程序中的 Clean Room 管理员角色可让用户作为 Clean Room 提供商和使用者使用 Web 应用程序。Clean Room 管理员由 DCR 管理员添加或移除。在后台,它们使用的是 DCR_SERVICE_USER 服务账户,详情如下。Clean Room 管理员可以执行以下操作:
根据 DCR 管理员配置的常规设置,创建、共享和删除 Clean Room。
为 Clean Room 指定或创建模板。
为 Clean Room 配置差分隐私。
与特定账户共享一个 Clean Room。
加入(安装和运行)Clean Room。
将数据导入 Clean Room。
运行 Clean Room 支持的查询。
导出 Clean Room 启用的查询结果。
开发者: 开发者具有与 Clean Room 管理员相同的能力,但使用的是 API,而不是 Web 应用程序。开发者在调用 API 时,必须明确使用 SAMOOHA_APP_ROLE。DCR 管理员通过向开发者的 Snowflake 账户授予或取消授予 SAMOOHA_APP_ROLE 来管理该账户的开发者。除选择和配置连接器外,开发者可以执行与 Clean Room 管理员相同的任务。
ACCOUNTADMIN: Snowflake 管理员用于安装和配置 Clean Room 环境的角色。在后台,当用户获准访问 Clean Room 账户时,该角色还用于将 SAMOOHA_APP_ROLE 分配给其他团队成员。
SAMOOHA_APP_ROLE: 用于在所有非环境级管理中调用原生应用程序的角色,无论是通过 Web 应用程序还是由 API 开发者直接调用。当用户使用 Web 应用程序时,该角色会透明地应用于他们的请求。
DCR_SERVICE_USER: 安装 DCR 时由 Snowflake 管理员创建的服务账户。该账户被授予 SAMOOHA_APP_ROLE。DCR 管理员和 Clean Room 管理员在使用 Web 应用程序时会透明地使用该对象。
能力概述¶
函数 |
Snowflake 管理员 |
DCR 管理员 |
Clean Room 管理员 |
开发者 |
|---|---|---|---|---|
设置环境和 Web 应用程序 |
✅ |
|||
控制新 Clean Room 中可能出现的情况 |
✅ |
|||
管理 Snowflake 账户级功能 |
✅ |
|||
管理 Web 应用程序访问权限 |
✅ |
|||
启用或禁用使用者账户 |
✅ |
|||
在 Web 应用程序中管理公司配置文件 |
✅ |
|||
管理第三方连接器 |
✅ |
✅ |
||
批准分析模板 |
✅ |
✅ |
✅ |
|
创建和安装 Clean Room |
✅ |
✅ |
✅ |
|
查看和运行分析 |
✅ |
✅ |
✅ |