启用从业务关键账户到非业务关键账户的共享

要允许从业务关键账户向非业务关键账户共享数据,具有授予 OVERRIDE SHARE RESTRICTIONS 全局权限角色的用户可以为其提供商账户提供的特定共享指定 SHARE_RESTRICTIONS 参数。

向其他角色授予 OVERRIDE SHARE RESTRICTIONS 权限

默认情况下,OVERRIDE SHARE RESTRICTIONS 全局权限会被授予 ACCOUNTADMIN 角色,但也可以授予其他角色。要将 OVERRIDE SHARE RESTRICTIONS 授予角色,请使用 ACCOUNTADMIN 角色和 GRANT <privileges> 命令。

语法:

GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <role_name>

其中:

<role_name> 是获授权限的角色。

例如,向 SYSADMIN 角色授予权限:

use role accountadmin;
grant override share restrictions on account to role sysadmin;
Copy

设置共享的 SHARE_RESTRICTIONS 参数

作为业务关键账户中的提供商,您可以使用 Direct Share 与非 Business Critical Edition 账户中的使用者共享数据。

您必须使用 ACCOUNTADMIN 角色,或者使用被授予以下权限的自定义角色:

  • OVERRIDE SHARE RESTRICTIONS 全局权限。

  • 共享的 OWNERSHIP 或 CREATE SHARE 全局权限。

使用 ALTER SHARE 命令设置共享的 SHARE_RESTRICTIONS 参数:

例如,要更新共享 my_share 以添加非业务关键使用者账户 consumerorg.consumeraccount,请运行以下命令:

use role sysadmin;
alter share my_share add accounts = consumerorg.consumeraccount SHARE_RESTRICTIONS=false;
Copy

有关更多详细信息,请参阅 ALTER SHARE

注意

Snowflake 不负责确保参与数据共享的 HIPAA(和 HITRUST)账户相互签署了 BAA;这由共享数据的账户自行决定。请注意,未签署 BAA 可能会影响两个账户的 HIPAA(和 HITRUST)合规性,尤其 是提供商账户。

此外,如果您拥有业务关键账户,为了保持业务关键服务提供的预期数据保护级别,我们 强烈 建议在请求 Snowflake 启用非业务关键账户的 Secure Data Sharing 之前考虑以下事项:

  • 不要与非业务关键账户共享敏感数据。

  • 考虑创建第二个非业务关键账户,以用于存储不太敏感的数据,并与非业务关键账户共享此数据。

  • 如果将 Tri-Secret Secure 用于您的业务关键账户,并且与其他账户共享数据,则 Snowflake 会将来自这些账户的数据访问视为从您自己的账户中进行的访问。具体来说,向使用者账户授予访问权限可能需要 Snowflake 访问托管您的 Snowflake 账户的云平台中的密钥管理服务。

以上只是建议,Snowflake 不会强制执行。共享数据的决定始终由数据提供商自行做出,Snowflake 对不当共享的数据不承担任何责任。

语言: 中文