Override share restrictions¶
To allow sharing data from a Business Critical account to a non-Business Critical account, or from a HIPAA-compliant account to a non-HIPAA- compliant account, a user with a role granted the OVERRIDE SHARE RESTRICTIONS global privilege can specify the SHARE_RESTRICTIONS parameter for a specific share offered by their provider account.
向其他角色授予 OVERRIDE SHARE RESTRICTIONS 权限¶
默认情况下,OVERRIDE SHARE RESTRICTIONS 全局权限会被授予 ACCOUNTADMIN 角色,但也可以授予其他角色。要将 OVERRIDE SHARE RESTRICTIONS 授予角色,请使用 ACCOUNTADMIN 角色和 GRANT <privileges> ... TO ROLE 命令。
语法:
GRANT OVERRIDE SHARE RESTRICTIONS ON ACCOUNT TO ROLE <role_name>
其中:
<role_name> 是获授权限的角色。
例如,向 SYSADMIN 角色授予权限:
use role accountadmin;
grant override share restrictions on account to role sysadmin;
设置共享的 SHARE_RESTRICTIONS 参数¶
As a provider in a Business Critical account, you can share data with a consumer in a non-Business Critical account using the SHARE_RESTRICTIONS parameter on a direct share. This parameter also applies to HIPAA-compliant providers that share data with a non-HIPAA consumer.
您必须使用 ACCOUNTADMIN 角色,或者使用被授予以下权限的自定义角色:
OVERRIDE SHARE RESTRICTIONS 全局权限。
共享的 OWNERSHIP 或 CREATE SHARE 全局权限。
使用 ALTER SHARE 命令设置共享的 SHARE_RESTRICTIONS 参数:
For example, to update the share my_share to add a non-Business Critical or non-HIPAA consumer account consumerorg.consumeraccount,
run the following:
use role sysadmin;
alter share my_share add accounts = consumerorg.consumeraccount SHARE_RESTRICTIONS=false;
有关更多详细信息,请参阅 ALTER SHARE。
注意
Snowflake 不负责确保参与数据共享的 HIPAA(和 HITRUST)账户相互签署了 BAA;这由共享数据的账户自行决定。请注意,未签署 BAA 可能会影响两个账户的 HIPAA(和 HITRUST)合规性,尤其 是提供商账户。
Also, if you have a Business Critical account, to maintain the expected level of data protection provided by Business Critical, we strongly recommend considering the following before requesting Snowflake to enable Secure Data Sharing with non-Business Critical accounts:
不要与非业务关键账户共享敏感数据。
考虑创建第二个非业务关键账户,以用于存储不太敏感的数据,并与非业务关键账户共享此数据。
如果将 Tri-Secret Secure 用于您的业务关键账户,并且与其他账户共享数据,则 Snowflake 会将来自这些账户的数据访问视为从您自己的账户中进行的访问。具体来说,向使用者账户授予访问权限可能需要 Snowflake 访问托管您的 Snowflake 账户的云平台中的密钥管理服务。
以上只是建议,Snowflake 不会强制执行。共享数据的决定始终由数据提供商自行做出,Snowflake 对不当共享的数据不承担任何责任。