WhereHows项目Snowflake数据接入指南：环境准备与权限配置

前言

在企业数据治理平台WhereHows中，Snowflake作为现代云数据仓库的典型代表，其元数据的高效接入对于构建完整的企业数据资产目录至关重要。本文将详细介绍在WhereHows项目中配置Snowflake数据接入前的环境准备和权限设置工作。

核心概念理解

在开始配置前，我们需要明确几个关键概念：

1. WhereHows：LinkedIn开源的元数据管理平台，用于集中管理企业各类数据资产的元数据信息
2. Snowflake：基于云的弹性数据仓库解决方案
3. 元数据接入：将Snowflake中的数据库、表、视图等结构信息以及使用情况数据提取到WhereHows中

权限准备

1. 初始权限要求

在Snowflake中执行配置前，您需要确保拥有以下权限之一：

• ACCOUNTADMIN角色（最高管理员权限）
• 或至少拥有MANAGE GRANTS权限

2. 创建专用角色

为WhereHows创建专用角色是推荐的安全实践，避免使用过高权限的账户：

-- 创建专门用于WhereHows的独立角色
create or replace role datahub_role;

-- 授予该角色使用指定计算仓库的权限
grant operate, usage on warehouse "<your-warehouse>" to role datahub_role;

注意事项：

• 替换<your-warehouse>为您希望用于元数据采集的实际仓库名称
• 记录下这个角色名称，后续步骤会用到

3. 创建专用用户

为WhereHows创建独立用户，遵循最小权限原则：

-- 创建专用用户并设置密码
create user datahub_user 
display_name = 'DataHub' 
password='<your-password>' 
default_role = datahub_role 
default_warehouse = '<your-warehouse>';

-- 将角色授予该用户
grant role datahub_role to user datahub_user;

安全建议：

• 替换<your-password>为强密码（建议12位以上，包含大小写字母、数字和特殊字符）
• 确保使用与上一步相同的仓库名称
• 妥善保存用户名和密码，后续配置需要

元数据访问权限配置

基础元数据权限

对于需要接入的每个数据库，执行以下授权操作：

-- 设置变量便于批量操作
set db_var = '"<your-database>"';

-- 授予数据库和schema级别的访问权限
grant usage on DATABASE identifier($db_var) to role datahub_role;
grant usage on all schemas in database identifier($db_var) to role datahub_role;
grant usage on future schemas in database identifier($db_var) to role datahub_role;

-- 授予数据探查(Profiling)所需的SELECT权限
grant select on all tables in database identifier($db_var) to role datahub_role;
grant select on future tables in database identifier($db_var) to role datahub_role;
grant select on all external tables in database identifier($db_var) to role datahub_role;
grant select on future external tables in database identifier($db_var) to role datahub_role;
grant select on all views in database identifier($db_var) to role datahub_role;
grant select on future views in database identifier($db_var) to role datahub_role;

-- 授予查看表/视图结构的权限
grant references on all tables in database identifier($db_var) to role datahub_role;
grant references on future tables in database identifier($db_var) to role datahub_role;
grant references on all external tables in database identifier($db_var) to role datahub_role;
grant references on future external tables in database identifier($db_var) to role datahub_role;
grant references on all views in database identifier($db_var) to role datahub_role;
grant references on future views in database identifier($db_var) to role datahub_role;

血缘与使用统计权限

要获取数据血缘和使用统计信息，需要额外授权：

-- 授予访问Snowflake系统数据库的权限
grant imported privileges on database snowflake to role datahub_role;

特殊场景：导入数据库权限

如果您的Snowflake实例中包含导入的数据库，需要使用以下特殊授权方式：

grant IMPORTED PRIVILEGES on database "<your-database>" to role datahub_role;

最佳实践建议

1. 权限最小化：只为datahub_role授予必要的权限，避免过度授权
2. 定期审计：定期检查datahub_user的实际使用情况
3. 密码轮换：定期更换datahub_user的密码
4. 仓库选择：为元数据采集选择适当大小的计算仓库，避免影响生产查询性能

后续步骤

完成上述权限配置后，您已经为WhereHows接入Snowflake元数据做好了准备。接下来可以进入具体的采集配置阶段，包括：

• 配置数据源连接信息
• 设置采集范围和频率
• 定义元数据转换规则

通过本文的详细指导，您应该能够顺利完成WhereHows与Snowflake集成的准备工作。正确的权限配置是确保元数据采集顺利进行的基础，也是保障系统安全的重要环节。