SnowflakeのOrganizationsとAccounts設計: マルチアカウント戦略

SnowflakeのOrganizationは複数のAccountを 論理的にグループ化する最上位の管理単位です。 1つのOrganizationの配下に用途別・環境別・リージョン別のアカウントを配置し、 統一的なガバナンスと課金管理を実現します。ORGADMINロールがOrganizationレベルの管理操作を担当します。

Organization / Account の階層構造

Snowflakeのリソース階層は上から Organization → Account → Database → Schema → Table/View/UDF/... の構成です。Organizationは課金・ガバナンスの単位であり、 各Accountは独立したコンピュート・ストレージ・ユーザー・ロール体系を持ちます。

• Organization: 課金・契約・アカウント管理の単位。ORGADMINロールで管理
• Account: 独立したSnowflake環境。ACCOUNTADMINが最上位ロール。Edition/Cloud/Regionが個別に設定可能
• Account間のデータ共有はSecure Data SharingまたはDatabase Replicationで実現

ORGADMINロールと権限

ORGADMINはOrganizationレベルの管理ロールで、以下の操作が可能です。

• CREATE ACCOUNT: 新規アカウントの作成
• SHOW ORGANIZATION ACCOUNTS: 全アカウントの一覧表示
• ALTER ACCOUNT: アカウントの変更（名前変更、ドロップ）
• ORGANIZATION_USAGEスキーマの参照（コスト監視）
• Database Replicationのグローバル設定

-- ORGADMINロールの使用
USE ROLE ORGADMIN;

-- Organization内の全アカウント一覧
SHOW ORGANIZATION ACCOUNTS;

-- 特定アカウントの詳細
SHOW ORGANIZATION ACCOUNTS LIKE 'PROD_%';

CREATE ACCOUNT構文

ORGADMINロールでCREATE ACCOUNTを実行して新規アカウントを作成します。 管理者ユーザー、エディション、リージョンを指定します。

-- 本番アカウントの作成
USE ROLE ORGADMIN;
CREATE ACCOUNT prod_analytics
  ADMIN_NAME = 'admin_user'
  ADMIN_PASSWORD = '********'
  ADMIN_RSA_PUBLIC_KEY = 'MIIBIjANBgkqh...'
  EMAIL = '[email protected]'
  EDITION = 'ENTERPRISE'
  REGION = 'AWS_AP_NORTHEAST_1'
  COMMENT = '分析チーム本番環境';

-- 開発アカウントの作成（Standard Editionでコスト抑制）
CREATE ACCOUNT dev_sandbox
  ADMIN_NAME = 'dev_admin'
  ADMIN_PASSWORD = '********'
  EMAIL = '[email protected]'
  EDITION = 'STANDARD'
  REGION = 'AWS_AP_NORTHEAST_1'
  COMMENT = '開発・検証用サンドボックス';

-- アカウント名の変更
ALTER ACCOUNT dev_sandbox RENAME TO dev_analytics;

-- アカウントのドロップ（復元不可・25日間の猶予期間あり）
ALTER ACCOUNT dev_analytics DROP;

マルチアカウント設計パターン

組織の規模と要件に応じて、アカウント分割の粒度を設計します。

アカウントレベルのパラメータ設定

-- アカウント作成後の初期設定（各アカウントのACCOUNTADMINで実行）
USE ROLE ACCOUNTADMIN;

-- ネットワークポリシーの設定（IP制限）
CREATE NETWORK POLICY corp_network_policy
  ALLOWED_IP_LIST = ('203.0.113.0/24', '198.51.100.0/24')
  BLOCKED_IP_LIST = ()
  COMMENT = '社内ネットワークからのみアクセス許可';
ALTER ACCOUNT SET NETWORK_POLICY = corp_network_policy;

-- セッションタイムアウトの設定
ALTER ACCOUNT SET
  STATEMENT_TIMEOUT_IN_SECONDS = 3600
  STATEMENT_QUEUED_TIMEOUT_IN_SECONDS = 600;

-- Resource Monitorの作成
CREATE RESOURCE MONITOR monthly_monitor
  WITH CREDIT_QUOTA = 5000
  FREQUENCY = MONTHLY
  START_TIMESTAMP = IMMEDIATELY
  TRIGGERS
    ON 80 PERCENT DO NOTIFY
    ON 100 PERCENT DO SUSPEND;
ALTER ACCOUNT SET RESOURCE_MONITOR = monthly_monitor;

アカウント間のデータ連携

-- Secure Data Sharing（プロバイダー側）
USE ROLE ACCOUNTADMIN;
CREATE SHARE analytics_share;
GRANT USAGE ON DATABASE analytics TO SHARE analytics_share;
GRANT USAGE ON SCHEMA analytics.public TO SHARE analytics_share;
GRANT SELECT ON TABLE analytics.public.kpi_summary
  TO SHARE analytics_share;
ALTER SHARE analytics_share ADD ACCOUNTS = prod_marketing;

-- Data Sharing（コンシューマー側）
USE ROLE ACCOUNTADMIN;
CREATE DATABASE shared_analytics
  FROM SHARE provider_org.prod_analytics.analytics_share;
GRANT IMPORTED PRIVILEGES ON DATABASE shared_analytics
  TO ROLE analyst_role;

-- Database Replication（リージョン間同期）
-- プライマリ側
ALTER DATABASE analytics ENABLE REPLICATION
  TO ACCOUNTS prod_eu_west;
-- セカンダリ側（prod_eu_westで実行）
CREATE DATABASE analytics AS REPLICA OF
  prod_analytics.analytics;

Organization横断のガバナンス

• Listing（Marketplace）: Organization内のアカウント間でプライベートリスティングを使ったデータカタログ化
• SCIM統合: 各アカウントでSCIM Integration（Azure AD / Okta）を設定し、ユーザー・グループの自動プロビジョニング
• Connection: Client Redirect用の接続URLをOrganizationレベルで管理し、フェイルオーバー時に接続先を自動切り替え

試験で問われるポイント

• CREATE ACCOUNTはORGADMINロールでのみ実行可能
• 各アカウントは独立したEdition/Cloud/Regionを持てる
• 同一Organization内のアカウント間ではSecure Data Sharingが最も効率的なデータ連携手段
• ORGADMINはOrganization管理専用ロールであり、アカウント内のデータには直接アクセスできない
• 環境分離/部門分離/リージョン分離の各パターンのメリット・デメリット

問題で確認

よくある質問