Snowflake DCR

Snowflake DCRの紹介 Snowflakeで実現するDCR(Data Clean Room)

自己紹介名前 : 福田陽一会社 : KDDIアジャイル開発センター株式会社 (KAG)
役職 : Infrastructure Engineer / Application Engineer プロフィール 2023年4月 KAG入社。前職、前々職からKDDI関係の業務で関わりがあった。現在はData Clean Roomの開発に従事。

SnowflakeのDCR (Data Clean Room) データクリーンルームデータシェアリング | セキュアに結合 | クエリ制限
パーティ A Bにはデータを公開しない形で分析したいパーティ B Aにはデータを公開しない形で分析したい共有データ簡単に大量データをセキュアに共有共有されたデータはストレージを消費しない安心・安全な環境で分析できるデータを提供するパーティ = プロバイダーデータを提供してもらうパーティ = コンシューマー

SnowflakeのDCR (サンプル) Quick Startで紹介されている Build A Data Clean
Room in Snowflake – Advanced https://quickstarts.snowflake.com/guide/build_a_data_clean_room_in_snowflake_advanced/ Github (v5.5) https://github.com/Snowflake-Labs/sfquickstart-data-clean-room 簡単に作成できる DCR SETUP ASSISTANT https://snowflake-labs-sfquickstart-data-cle-dcr-setup-assistant-bkx7gg.streamlit.app/ DCRに必要なオブジェクトを作成するためのsqlを生成してくれる

DCR (サンプル) の作成〜実行まで Snowflakeアカウント(Enterprise以上)を2つ準備同じクラウドサービス・同じリージョンのアカウント事前にAnacondaの規約に同意
Quick Startの2、3 を実施する DCR SETUP ASSISTANTを使ってスクリプト(sql)を生成 sqlをSnowflake上で実行 Quick Startの5 を実施するデモ (サンプルシナリオ)を実行

特徴 Snowflakeの機能だけでDCRを実現できるユーザ定義関数(UDF) (Python, Jinja) クエリテンプレートからクエリを生成
ストアドプロシージャ(JavaScript) クエリの許可を依頼、依頼を受けてクエリを検証〜許可判定 Stream / Task クエリの許可依頼を検出、クエリの検証〜許可プロセスの実行共有(Direct Share) パーティ間でオブジェクトをシェア行アクセスポリシー許可済みクエリの判定

クエリテンプレート〜クエリの承認あらかじめパーティ間で協議して実行してもいいクエリを決める実行してもいいクエリをテンプレート化するカラム、テーブルの組み合わせ結合やグループ化の条件、統計化の強制
クエリテンプレートをDCRに登録する (プロバイダー) クエリテンプレートの範疇で実行したいクエリを作成し、クエリの許可を求める (コンシューマー → プロバイダー) 許可された後は、そのクエリを実行できる様になる (コンシューマー) プロバイダーコンシューマー

共有プロバイダー、コンシューマー間でシェアする分析データ他パーティに共有してもよいデータ掛け合わせたいデータ
プロバイダーからコンシューマーにシェアする DCRの機能を実現するためのデータクエリテンプレート、リクエストログ等プロバイダー、コンシューマーの双方向でシェアするプロバイダーコンシューマープロバイダー

行アクセスポリシー本来は… クエリ結果で返す行を決定する見せたくないデータは除外されて結果が返る DCRでは…
実行されたクエリが許可されているかどうかを判定する実行したクエリが許可されたクエリである場合のみ結果が返るポイントクエリテキストが完全一致した場合のみ結果が返る許可されていないクエリが実行されると何も結果が返らないコンシューマーコンシューマープロバイダー

より安心・安全なDCRに向けた工夫の例細かいロール設計各パーティ内で登場人物と役割を細かく定義人が使うロール、システムが使うロールを分けて定義自パーティに対しても行アクセスポリシーでクエリを制限
自社所有のデータであっても、好き勝手にデータを見れない様に制御 ACCOUNTADMINの利用制限デフォルトではACCOUNTADMINは誰も利用できない状態一時的に上位ロールの使用を許可するストアドプロシージャを作成参考 : https://medium.com/snowflake/managing-elevated-access-in-snowflake-just-enough-just-in-time-418fcdad7929 権限が利用できる時間を指定、自分で自分に対して権限付与ができない様に制御ロギング SnowflakeデータベースにあるACCOUNT_USAGEのバックアップを作成して永続化を実現 Taskで定期的にコピー、規定の保存期間が終了したら削除

Snowflake DCR

Snowflake DCR

fkd

More Decks by fkd

Other Decks in Technology

Featured

Transcript

Snowflake DCRの紹介 Snowflakeで実現するDCR(Data Clean Room)

自己紹介名前 : 福田陽一会社 : KDDIアジャイル開発センター株式会社 (KAG)

SnowflakeのDCR (Data Clean Room) データクリーンルームデータシェアリング | セキュアに結合 | クエリ制限

SnowflakeのDCR (サンプル) Quick Startで紹介されている Build A Data Clean

DCR (サンプル) の作成〜実行まで Snowflakeアカウント(Enterprise以上)を2つ準備同じクラウドサービス・同じリージョンのアカウント事前にAnacondaの規約に同意

特徴 Snowflakeの機能だけでDCRを実現できるユーザ定義関数(UDF) (Python, Jinja) クエリテンプレートからクエリを生成

クエリテンプレート〜クエリの承認あらかじめパーティ間で協議して実行してもいいクエリを決める実行してもいいクエリをテンプレート化するカラム、テーブルの組み合わせ結合やグループ化の条件、統計化の強制

共有プロバイダー、コンシューマー間でシェアする分析データ他パーティに共有してもよいデータ掛け合わせたいデータ

行アクセスポリシー本来は… クエリ結果で返す行を決定する見せたくないデータは除外されて結果が返る DCRでは…

より安心・安全なDCRに向けた工夫の例細かいロール設計各パーティ内で登場人物と役割を細かく定義人が使うロール、システムが使うロールを分けて定義自パーティに対しても行アクセスポリシーでクエリを制限