Abfragen von Apache Iceberg™-Tabellen mit einer externen Engine über Snowflake Horizon Catalog¶

Fragen Sie Snowflake-verwaltete Apache Iceberg™-Tabellen durch Verwendung einer externen Abfrage-Engine über Snowflake Horizon Catalog ab. Um diese Interoperabilität mit externen Engines sicherzustellen, ist Apache Polaris™ (Incubating) in Horizon Catalog integriert. Darüber hinaus stellt Horizon Catalog die Apache Iceberg™ REST API (Horizon Iceberg REST Catalog API) zur Verfügung. Diese API ermöglicht das Lesen der Tabellen durch Verwendung externer Abfrage-Engines.

Um von Snowflake verwaltete Iceberg-Tabellen mit einer externen Abfrage-Engine abzufragen, können Sie dieses Feature verwenden, anstatt Snowflake-verwaltete Iceberg-Tabellen mit Snowflake Open Catalog zu synchronisieren. Weitere Informationen zu Open Catalog finden Sie unter Überblick über Snowflake Open Catalog.

Durch die Verbindung einer externen Abfrage-Engine mit Iceberg-Tabellen über Horizon Catalog können Sie die folgenden Aufgaben durchführen:

Sie können eine externe Abfrage-Engine verwenden, die das offene Iceberg REST-Protokoll, wie z. B. Apache Spark™, für die Abfrage dieser Tabellen unterstützt.
Sie können über einen einzigen Horizon Catalog-Endpunkt alle bestehenden und neuen von Snowflake verwalteten Iceberg-Tabellen in einem neuen oder bestehenden Snowflake-Konto abfragen.
Sie können die Tabellen mit Ihren vorhandenen Benutzenden, Rollen, Richtlinien und Authentifizierungsmethoden in Snowflake abfragen.
Sie können automatische Anmeldeinformationen verwenden.

Weitere Informationen zum Snowflake Horizon Catalog finden Sie unter Snowflake Horizon Catalog.

Die folgende Abbildung zeigt externe Abfrage-Engines, die von Snowflake verwaltete Iceberg-Tabellen über Horizon Catalog lesen, und Snowflake beim Schreiben und Lesen in diesen Tabellen:

Abbildung mit externen Abfrage-Engines, die von Snowflake verwaltete Iceberg-Tabellen über Horizon Catalog lesen, und mit Snowflake beim Schreiben und Lesen in diesen Tabellen.

Rechnungsstellung¶

Die Horizon Iceberg REST Catalog-API ist in allen Snowflake-Editionen verfügbar.
Die API-Anfragen werden mit 0,5 Credits pro Million Aufrufe abgerechnet und als Cloud-Services berechnet.
Für den regionsübergreifenden Datenzugriff gelten regionsübergreifende Standardgebühren für ausgehende Daten, wie in der Snowflake Service Consumption Table angegeben.

Bemerkung

Die Abrechnung für dieses Feature ist ab Mitte 2026 geplant; Änderungen vorbehalten.

Unterstützte externe Engines und Kataloge¶

Die folgenden Tabellen sind zwar nicht vollständig, aber sie zeigen viele externe Engines und Kataloge, die in die Horizon Iceberg REST Catalog API integriert sind. Diese Integration ermöglicht den Zugriff auf von Snowflake verwaltete Iceberg-Tabellen über externe Systeme.

Unterstützte externe Engines¶

Die folgenden externen Abfrage-Engines sind in die Horizon Iceberg REST Catalog API integriert:

Produkt	Zugriff über Horizon Catalog auf von Snowflake verwaltete Iceberg-Tabellen
Apache Doris™	✔
Apache Flink™	✔
Apache Spark™	✔
Dremio	✔
DuckDB	✔
PyIceberg	✔
StarRocks	✔
Trino	✔

Unterstützte externe Kataloge¶

Die folgenden externen Kataloge lassen sich in die Horizon Iceberg REST Catalog API integrieren:

Produkt	Zugriff über Horizon Catalog auf von Snowflake verwaltete Iceberg-Tabellen	Kommentar
Apache Polaris™	✔
AWS Glue	✔	Anweisungen zum Konfigurieren dieser Integration finden Sie im AWS Big Data-Blog zum Zugriff auf Snowflake Horizon Catalog-Daten über den Katalogverbund im AWS Glue Data Catalog.
Palantir Foundry	✔	Anweisungen zum Konfigurieren dieser Integration finden Sie unter Iceberg-Tabellen (nur virtuelle Tabellen) in der Palantir-Dokumentation.
Databricks Unity-Katalog	Nicht angekündigt
Google BigLake Metastore	In der Entwicklung
Microsoft Fabric / Synapse	In der Entwicklung

Voraussetzungen¶

Rufen Sie den Kontobezeichner für Ihr Snowflake-Konto ab, das die abzufragenden Iceberg-Tabellen enthält. Eine Anweisung dazu finden Sie unter Kontobezeichner. Sie geben diesen Bezeichner an, wenn Sie eine externe Abfrage-Engine mit Ihren Iceberg-Tabellen verbinden möchten.

Tipp

Um Ihren Kontobezeichner mit SQL abzurufen, können Sie den folgenden Befehl ausführen:

SELECT CURRENT_ORGANIZATION_NAME() || '-' || CURRENT_ACCOUNT_NAME();

Copy

(Optional) Private Konnektivität¶

Für eine sichere Konnektivität sollten Sie die eingehende und ausgehende private Konnektivität für Ihr Snowflake-Konto konfigurieren, während Sie auf den Endpunkt des Horizon Catalog zugreifen.

Bemerkung

Private Konnektivität wird nur für von Snowflake verwaltete Iceberg-Tabellen unterstützt, die auf Amazon S3 oder Azure Storage (ADLS) gespeichert sind.

Workflow für das Abfragen von Iceberg-Tabellen mithilfe einer externen Abfrage-Engine¶

Um Iceberg-Tabellen mithilfe einer externen Abfrage-Engine abzufragen, führen Sie die folgenden Schritte aus:

Schritt 1: Iceberg-Tabellen erstellen¶

Wichtig

Wenn Sie bereits über abzufragende Snowflake-verwaltete Iceberg-Tabellen verfügen, können Sie diesen Schritt überspringen.

In diesem Schritt erstellen Sie von Snowflake verwaltete Iceberg-Tabellen, die Snowflake als Katalog verwenden, sodass Sie sie mit einer externen Abfrage-Engine abfragen können. Anleitungen finden Sie unter den folgenden Themen:

Tutorial: Ihre erste Apache Iceberg™-Tabelle erstellen: In diesem Tutorial wird erläutert, wie Sie eine Datenbank erstellen, eine von Snowflake verwaltete Iceberg-Tabelle erstellen und Daten in die Tabelle laden.
Eine von Snowflake verwaltete Iceberg-Tabelle erstellen: Beispielcode für das Erstellen einer von Snowflake verwalteten Iceberg-Tabelle.

Schritt 2: Zugriffssteuerung konfigurieren¶

Wichtig

Wenn Sie bereits Rollen haben, die mit Zugriff auf die Iceberg-Tabellen konfiguriert sind, die Sie abfragen möchten, können Sie diesen Schritt überspringen.

In diesem Schritt konfigurieren Sie die Zugriffssteuerung für die von Snowflake verwalteten Iceberg-Tabellen, die Sie mit einer externen Abfrage-Engine abfragen möchten. Sie können zum Beispiel die folgenden Rollen in Snowflake einrichten:

Die data_engineer-Rolle, die Zugriff auf alle Schemas und alle von Snowflake verwalteten Iceberg-Tabellen in einer Datenbank hat.
Die data_analyst-Rolle, die Zugriff auf ein Schema in der Datenbank und innerhalb dieses Schemas nur Zugriff auf zwei von Snowflake verwaltete Iceberg-Tabellen hat.

Den Zugriff auf Ihre Iceberg-Tabellen konfigurieren¶

Um Iceberg-Tabellen abzufragen, muss die Rolle, mit der die Operation ausgeführt wird, die USAGE-Berechtigung für das externe Volume haben, das Sie für die Verbindung mit Ihrem externen Cloudspeicher verwenden.

Im folgenden Beispiel wird die Berechtigung USAGE-Berechtigung für ein externes Volume namens my_ext_vol einer Rolle namens data_engineer erteilt.

GRANT USAGE ON EXTERNAL VOLUME my_ext_vol TO ROLE data_engineer;

Copy

Weitere Informationen über die USAGE-Berechtigung für externe Volumes siehe:ref:label-external_volume_privileges.

Bemerkung

Um Iceberg-Tabellen abzufragen, muss die Rolle, mit der der Vorgang durchgeführt wird, auch die SELECT-Berechtigung für die Iceberg-Tabelle und die USAGE- undMONITOR-Berechtigungen für die übergeordnete Datenbank und das Schema haben. Ein Beispiel für die Gewährung dieser Berechtigungen für eine Rolle finden Sie unter:ref:label-tables_iceberg_query_using_external_query_engine_snowflake_horizon_set_up_service_account_user.

Beispiel: Einen Dienstkontobenutzer einrichten¶

Im folgenden Beispiel wird ein Dienstkontobenutzender in Snowflake mit schreibgeschütztem Zugriff auf eine Iceberg-Tabelle eingerichtet:

Erstellt eine``data_engineer``-Rolle.
Gewährt die data_engineer-Rolle derUSAGE-Berechtigung für das externe Volumen my_ext_vol.
Gewährt die data_engineer-RolleUSAGE- und MONITOR-Berechtigungen für die iceberg_test_db-Datenbank und deren public-Schema.
Gewährt SELECT-Berechtigungen für die``test_table``-Iceberg-Tabelle.
Erstellt einen Dienstbenutzer mit dem Namen``horizon_rest_srv_account_user`` und weist diesem Benutzer die data_engineer-Rolle zu.

CREATE OR REPLACE ROLE data_engineer;

GRANT USAGE ON EXTERNAL VOLUME my_ext_vol TO ROLE data_engineer;

GRANT USAGE,MONITOR ON DATABASE iceberg_test_db TO ROLE data_engineer;
GRANT USAGE,MONITOR ON SCHEMA iceberg_test_db.public TO ROLE data_engineer;

GRANT SELECT ON TABLE iceberg_test_db.public.test_table TO ROLE data_engineer;

CREATE OR REPLACE USER horizon_rest_srv_account_user TYPE=SERVICE DEFAULT_ROLE=data_engineer;

GRANT ROLE data_engineer TO USER horizon_rest_srv_account_user;

Copy

(Optional) Zukünftige Berechtigungszuweisungen auf Iceberg-Tabellen anwenden¶

Um den Zugriff auf alle neuen Iceberg-Tabellen zu gewährleisten, die in einem Schema erstellt wurden, verwenden Sie die Syntax GRANT …ONFUTUREICEBERGTABLES.

Im folgenden Beispiel wird der Rolle data_engineer Zugriff auf alle Iceberg-Tabellen gewährt, die unter einem Schema namens my_schema erstellt wurden.

GRANT SELECT, REFERENCES ON FUTURE ICEBERG TABLES IN SCHEMA my_db.my_schema TO ROLE data_engineer;

Copy

Weitere Informationen zur Zugriffssteuerung in Snowflake finden Sie unter folgenden Themen:

Schritt 3: Zugriffstoken für die Authentifizierung besorgen¶

In diesem Schritt erhalten Sie ein Zugriffstoken, das Sie beim Authentifizieren des Horizon Catalog-Endpunkts für Ihr Snowflake-Konto benötigen. Sie benötigen ein Zugriffstoken für jeden Benutzenden –Service oder Mensch – und für jede Rolle, die mit Zugriff auf von Snowflake verwaltete Iceberg-Tabellen konfiguriert ist. Sie benötigen zum Beispiel ein Zugriffstoken für einen Benutzer mit DATA_ENGINEER-Rolle und einen anderen Benutzer mit einer DATA_ANALYST-Rolle.

Sie geben dieses Zugriffstoken später beim Verbinden einer externen Abfrage-Engine mit Iceberg-Tabellen über Horizon Catalog an.

Sie können ein Zugriffstoken erhalten, indem Sie eine der folgenden Authentifizierungsoptionen verwenden:

External OAuth¶

Wenn Sie External OAuth verwenden, generieren Sie ein Zugriffstoken für Ihren Identitätsanbieter. Eine Anweisung dazu finden Sie unter Übersicht zu External OAuth.

Bemerkung

Für External OAuth können Sie auch Ihre Verbindung zur Engine mit automatischer Tokenaktualisierung konfigurieren, anstatt ein Zugriffstoken anzugeben.

Schlüsselpaar-Authentifizierung¶

Wenn Sie die Schlüsselpaar-Authentifizierung verwenden, signieren Sie ein JSON Web Token (JWT) mit Ihrem privaten Schlüssel.

Die folgenden Schritte beschreiben, wie Sie ein Zugriffstoken für die Schlüsselpaar-Authentifizierung generieren:

Schritt 1: Schlüsselpaar-Authentifizierung konfigurieren¶

In diesem Schritt werden Sie die folgenden Aufgaben ausführen:

Privaten Schlüssel generieren
Öffentlichen Schlüssel generieren
Private und öffentliche Schlüssel sicher speichern
Erteilen Sie die Berechtigung, einem Snowflake Benutzer einen öffentlichen Schlüssel zuzuweisen.
Snowflake-Benutzern einen öffentlichen Schlüssel zuweisen
Fingerabdruck des öffentlichen Schlüssels des Benutzers überprüfen

Eine Anweisung dazu finden Sie unter Konfigurieren der Schlüsselpaar-Authentifizierung.

Schritt 2: Den Benutzenden eine Rolle zuweisen¶

Führen Sie den Befehl GRANT ROLE aus, um den Benutzenden der Schlüsselpaar-Authentifizierung die Snowflake-Rolle zuzuweisen, die über Berechtigungen für die Tabellen verfügt, die Sie abfragen möchten. Um beispielsweise dem Benutzer my_service_user die Rolle ENGINEER zuzuweisen, führen Sie die folgenden Befehle aus:

GRANT ROLE ENGINEER to user my_service_user;

Copy

Schritt 3: Ein JSON-Web-Token (JWT) generieren¶

In diesem Schritt verwenden Sie SnowSQL, um ein JSON-Web-Token (JWT) für die Schlüsselpaar-Authentifizierung zu generieren.

Bemerkung

Auf Ihrem Computer muss SnowSQL installiert sein.
Alternativ können Sie mit Python, Snowflake, CLI, Java oder Node.js, ein JWT generieren. Ein Beispiel dazu finden Sie in den folgenden Abschnitten:

Verwenden Sie SnowSQL, um ein JWT zu generieren:

snowsql --private-key-path "<private_key_file>" \
  --generate-jwt \
  -h "<account_identifier>.snowflakecomputing.com" \
  -a "<account_locator>" \
  -u "<user_name>"

Copy

Wobei:

<private_key_file> is the path to your private key file that corresponds to the public key assigned to your Snowflake user. For example: /Users/jsmith/.ssh/rsa_key.p8.
<account_identifier> gibt den Kontobezeichner für Ihr Snowflake-Konto an, im Format <organization_name>-<account_name>. Informationen darüber, wie Sie Ihren Kontobezeichner finden, erhalten Sie unter Unterstützte externe Engines und Kataloge. Ein Beispiel für einen Kontobezeichner ist myorg-myaccount.
<account_locator> ist der Konto-Locator Ihres Snowflake-Kontos.

Informationen zum Suchen des Konto-Locators finden Sie unter Snowflake-Kontoinformationen in Snowsight suchen. Sehen Sie sich den Konto-Locator im Dialogfeld Account Details an.
<user_name> ist der Benutzername für eine(n) Snowflake-Benutzende(n), wobei dieser/diesem Benutzenden der öffentliche Schlüssel zugewiesen ist.

Schritt 4: Zugriffstoken generieren¶

Wichtig

Um ein Zugriffstoken zu generieren, müssen Sie zuerst ein JWT generieren. Sie müssen zunächst ein JWT generieren, weil Sie das JWT zum Generieren des Zugriffstoken benötigen.

Verwenden Sie einen curl-Befehl zum Generieren eines Zugriffstoken:

curl -i --fail -X POST "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog/v1/oauth/tokens" \
 --header 'Content-Type: application/x-www-form-urlencoded' \
 --data-urlencode 'grant_type=client_credentials' \
 --data-urlencode 'scope=session:role:<role>' \
 --data-urlencode 'client_secret=<JWT_token>'

Copy

Wobei:

<account_identifier> gibt den Kontobezeichner für Ihr Snowflake-Konto an, im Format <organization_name>-<account_name>. Informationen darüber, wie Sie Ihren Kontobezeichner finden, erhalten Sie unter Unterstützte externe Engines und Kataloge. Ein Beispiel für einen Kontobezeichner ist myorg-myaccount.
<role> ist die Snowflake-Rolle, der Zugriff auf Iceberg-Tabellen wie ENGINEER gewährt wird.
<JWT_token> ist das JWT, das Sie im vorherigen Schritt generiert haben.

Programmgesteuertes Zugriffstoken (PAT)¶

Wenn Sie PATs verwenden, generieren Sie ein PAT zur Authentifizierung.

Zuerst generieren Sie ein PAT, das Sie für das Verbinden einer externen Abfrage-Engine mit Iceberg-Tabellen verwenden. Dann generieren Sie ein Zugriffstoken, das Sie nur zur Überprüfung der Berechtigungen für Ihr PAT verwenden.

Schritt 1: PAT generieren¶

Eine Anleitung zum Konfigurieren und Generieren einer PAT finden Sie unter Verwenden von programmatische Zugriffstoken für die Authentifizierung.

Im folgenden Beispiel wird ein programmgesteuertes Zugriffstoken (PAT) für den Dienstkontobenutzenden, den Sie im vorherigen Schritt erstellt haben, unter Verwendung des ALTER USER … ADD PROGRAMMATIC ACCESS TOKEN (PAT)-Befehls erstellt:

ALTER USER IF EXISTS HORIZON_REST_SRV_ACCOUNT_USER
ADD PAT HORIZON_REST_SRV_ACCOUNT_USER_PAT
  DAYS_TO_EXPIRY = 7
  ROLE_RESTRICTION = 'DATA_ENGINEER'
  COMMENT = 'HORIZON REST API PAT FOR SERVICE ACCOUNT';

Copy

Schritt 2: Ein Zugriffstoken für Ihr PAT generieren¶

In diesem Schritt generieren Sie ein Zugriffstoken für Ihr PAT.

Achtung

Sie geben das Zugriffstoken, das Sie in diesem Schritt generieren, nur an, wenn Sie die Berechtigungen für Ihr PAT überprüfen. Wenn Sie eine externe Abfrage-Engine mit Iceberg-Tabellen verbinden, müssen Sie Ihr PAT angeben, den Sie im vorherigen Schritt generiert haben, nicht das Zugriffstoken, das Sie in diesem Schritt generieren.

Verwenden Sie einen curl-Befehl, um ein Zugriffstoken für Ihr PAT zu generieren:

curl -i --fail -X POST "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog/v1/oauth/tokens" \
 --header 'Content-Type: application/x-www-form-urlencoded' \
 --data-urlencode 'grant_type=client_credentials' \
 --data-urlencode 'scope=session:role:<role>' \
 --data-urlencode 'client_secret=<PAT_token>'

Copy

Wobei:

<account_identifier> gibt den Kontobezeichner für Ihr Snowflake-Konto an, im Format <organization_name>-<account_name>. Informationen darüber, wie Sie Ihren Kontobezeichner finden, erhalten Sie unter Unterstützte externe Engines und Kataloge. Ein Beispiel für einen Kontobezeichner ist myorg-myaccount.
<role> ist die Snowflake-Rolle, die Ihrem PAT gewährt wird. Sie hat Zugriff auf die Iceberg-Tabellen, die Sie abfragen möchten, wie z. B. ENGINEER.
<PAT_token> ist der Wert für das PAT-Token, das Sie im vorherigen Schritt generiert haben.

Schritt 4: Berechtigungen für Zugriffstoken überprüfen¶

In diesem Schritt überprüfen Sie die Berechtigungen für das Zugriffstoken, die Sie im vorherigen Schritt erhalten haben.

Überprüfen des Zugriffs auf den Horizon IRC-Endpunkt
Abrufen der Metadaten für eine Tabelle

Überprüfen des Zugriffs auf den Horizon IRC-Endpunkt¶

Verwenden Sie einen curl-Befehl, um zu überprüfen, ob Sie die Berechtigung haben, auf Ihren Horizon IRC-Endpunkt zuzugreifen:

curl -i --fail -X GET "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog/v1/config?warehouse=<database_name>" \
-H "Authorization: Bearer <access_token>" \
-H "Content-Type: application/json"

Copy

Wobei:

<account_identifier> gibt den Kontobezeichner für Ihr Snowflake-Konto an, im Format <organization_name>-<account_name>. Informationen darüber, wie Sie Ihren Kontobezeichner finden, erhalten Sie unter Unterstützte externe Engines und Kataloge. Ein Beispiel für einen Kontobezeichner ist myorg-myaccount.
<access_token> ist das von Ihnen generierte Zugriffstoken. Bei einem PAT ist dieser Wert das Zugriffstoken, das Sie generiert haben, nicht das persönliche Zugriffstoken (PAT), die Sie generiert haben.
<database_name> ist der Name der Datenbank, die Sie abfragen möchten.

Wichtig

Sie müssen den Datenbanknamen in Großbuchstaben angeben, auch wenn er mit Kleinbuchstaben erstellt wurde.

Beispiel Rückgabewert:

{
  "defaults": {
    "default-base-location": ""
  },
  "overrides": {
    "prefix": "MY-DATABASE"
  }
}

Abrufen der Metadaten für eine Tabelle¶

Sie können auch eine GET-Anforderung erstellen, um die Metadaten für eine Tabelle abzurufen. Snowflake verwendet den Vorgang loadTable, um Tabellendaten aus Ihrem REST-Katalog zu laden.

curl -i --fail -X GET "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog/v1/<database_name>/namespaces/<namespace_name>/tables/<table_name>" \
 -H "Authorization: Bearer <access_token>" \
 -H "Content-Type: application/json"

Copy

Wobei:

<account_identifier> gibt den Kontobezeichner für Ihr Snowflake-Konto an, im Format <organization_name>-<account_name>. Informationen darüber, wie Sie Ihren Kontobezeichner finden, erhalten Sie unter Unterstützte externe Engines und Kataloge. Ein Beispiel für einen Kontobezeichner ist myorg-myaccount.
<database_name> ist die Datenbank der Tabelle, deren Metadaten Sie abrufen möchten.
<namespace_name> ist der Namespace der Tabelle, deren Metadaten Sie abrufen möchten.
<table_name> ist die Tabelle, deren Metadaten Sie abrufen möchten.
<access_token> ist das von Ihnen generierte Zugriffstoken. Bei einem PAT ist dieser Wert das Zugriffstoken, das Sie generiert haben, nicht das persönliche Zugriffstoken (PAT), die Sie generiert haben.

Wichtig

Sie müssen die Namen von Datenbank, Namespaces und Tabellen in Großbuchstaben angeben, auch wenn das Objekt mit Kleinbuchstaben erstellt wurde.

(Optional) Schritt 5: Konfigurieren von Datenschutzrichtlinien¶

In diesem Schritt konfigurieren Sie Datenschutzrichtlinien für Iceberg-Tabellen. Wenn Sie keine Tabellen haben, die Sie mit Snowflake-Datenrichtlinien schützen müssen, können Sie mit dem nächsten Schritt fortfahren.

Bemerkung

Auf Tabellen, die durch Datenschutzrichtlinien geschützt sind, kann über die Horizon Iceberg REST API und durch Verwendung von Apache Spark™ zugegriffen werden.

Eine Anleitung zum Konfigurieren von Datenschutzrichtlinien finden Sie unter Konfigurieren von Datenschutzrichtlinien für Iceberg-Tabellen, auf die über die Horizon Iceberg REST API und mit Apache Spark™ zugegriffen wird.

Schritt 6: Externe Abfrage-Engine mit Iceberg-Tabellen über Horizon Catalog verbinden¶

In diesem Schritt verbinden Sie eine externe Abfrage-Engine mit Iceberg-Tabellen über Horizon Catalog. Diese Verbindung ermöglicht es Ihnen, die Tabellen mithilfe der externen Abfrage-Engine abzufragen.

Die externen Engines verwenden den Apache Iceberg™ REST-Endpunkt, der von Snowflake bereitgestellt wird. Für Ihr Snowflake-Konto hat dieser Endpunkt das folgende Format:

https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog

Copy

Der Beispielcode in diesem Schritt zeigt, wie eine Verbindung in Spark eingerichtet wird, und der Beispielcode ist in PySpark. Weitere Informationen finden Sie in den folgenden Abschnitten:

Verbindung mit External OAuth oder Schlüsselpaar-Authentifizierung herstellen
Verbinden über ein programmgesteuertes Zugriffstoken (PAT)

Verbindung mit External OAuth oder Schlüsselpaar-Authentifizierung herstellen¶

Verwenden Sie eine der folgenden Konfigurationen für die Verbindung:

Um auf Iceberg-Tabellen zuzugreifen, für die keine Snowflake-Datenschutzrichtlinien konfiguriert sind, Verbinden Sie eine externe Abfrage-Engine, ohne Datenrichtlinien durchzusetzen.
Um auf Iceberg-Tabellen zuzugreifen, für die Snowflake-Zeilenzugriffs- und Maskierungsrichtlinien konfiguriert sind, Verbinden Sie eine externe Abfrage-Engine mit Durchsetzung der Datenrichtlinien.

Verbinden mit einer externen Abfrage-Engine, ohne Datenrichtlinien durchzusetzen¶

Verwenden Sie den folgenden Beispielcode, um die externe Abfrage-Engine mit Iceberg-Tabellen zu verbinden, indem Sie externes OAuth oder die Schlüsselpaar-Authentifizierung verwenden.

Dieser Code setzt keine Datenschutzrichtlinien durch:

# Snowflake Horizon Catalog Configuration, change as per your environment

CATALOG_URI = "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog"
HORIZON_SESSION_ROLE = f"session:role:<role>"
CATALOG_NAME = "<database_name>" #provide in UPPER CASE

# Cloud Service Provider Region Configuration (where the Iceberg data is stored)
REGION = "eastus2"

# Paste the External Oauth Access token that you generated in Snowflake here
ACCESS_TOKEN = "<your_access_token>"

# Iceberg Version
ICEBERG_VERSION = "1.9.1"

def create_spark_session():
  """Create and configure Spark session for Snowflake Iceberg access."""
  spark = (
      SparkSession.builder
      .appName("SnowflakeIcebergReader")
      .master("local[*]")

# JAR Dependencies for Iceberg and Azure
      .config(
          "spark.jars.packages",
          f"org.apache.iceberg:iceberg-spark-runtime-3.5_2.12:{ICEBERG_VERSION},"
          f"org.apache.iceberg:iceberg-aws-bundle:{ICEBERG_VERSION}"
          # for Azure storage, use the below package and comment above azure bundle
          # f"org.apache.iceberg:iceberg-azure-bundle:{ICEBERG_VERSION}"
      )

      # Iceberg SQL Extensions
      .config("spark.sql.extensions", "org.apache.iceberg.spark.extensions.IcebergSparkSessionExtensions")
      .config("spark.sql.defaultCatalog", CATALOG_NAME)

      # Horizon REST Catalog Configuration
      .config(f"spark.sql.catalog.{CATALOG_NAME}", "org.apache.iceberg.spark.SparkCatalog")
      .config(f"spark.sql.catalog.{CATALOG_NAME}.type", "rest")
      .config(f"spark.sql.catalog.{CATALOG_NAME}.uri", CATALOG_URI)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.warehouse", CATALOG_NAME)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.token", ACCESS_TOKEN)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.scope", HORIZON_SESSION_ROLE)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.client.region", REGION)

      # Required for vended credentials
      .config(f"spark.sql.catalog.{CATALOG_NAME}.header.X-Iceberg-Access-Delegation", "vended-credentials")
      .config("spark.sql.iceberg.vectorization.enabled", "false")
      .getOrCreate()
  )
  spark.sparkContext.setLogLevel("ERROR")
  return spark

Copy

Wobei:

<account_identifier> ist Ihr Snowflake-Kontobezeichner für das Snowflake-Konto, das die Iceberg-Tabellen enthält, die Sie abfragen möchten. Wie Sie diesen Bezeichner finden, erfahren Sie unter Unterstützte externe Engines und Kataloge.
<your_access_token> ist Ihr -Zugriffstoken, das Sie erhalten haben. Wie Sie es erhalten, erfahren Sie unter Schritt 3: Zugriffstoken für die Authentifizierung besorgen.

Bemerkung

Für External OAuth können Sie auch Ihre Verbindung zur Engine mit automatischer Tokenaktualisierung konfigurieren, anstatt ein Zugriffstoken anzugeben.
<database_name> ist der Name der Datenbank in Ihrem Snowflake-Konto, die von Snowflake verwaltete Iceberg-Tabellen enthält, die Sie abfragen möchten.

Bemerkung

Die Eigenschaft .warehouse in Spark erwartet Ihren Snowflake-*Datenbank*namen, nicht den Namen Ihres Snowflake-Warehouses.
<role> ist die Rolle in Snowflake, die mit Zugriff auf die Iceberg-Tabellen konfiguriert ist, die Sie abfragen möchten. Beispiel: DATA_ENGINEER.

Wichtig

Standardmäßig ist das Codebeispiel für Apache Iceberg™-Tabellen eingerichtet, die auf Amazon S3 gespeichert sind. Wenn Ihre Iceberg-Tabellen auf Azure Storage (ADLS) gespeichert sind, führen Sie die folgenden Schritte aus:

Versehen Sie die folgende Zeile mit Kommentarmarkierungen: f"org.apache.iceberg:iceberg-aws-bundle:{ICEBERG_VERSION}"

Entfernen Sie die Kommentarmarkierungen in der folgenden Zeile: # f"org.apache.iceberg:iceberg-azure-bundle:{ICEBERG_VERSION}"

Verbinden mit einer externen Abfrage-Engine mit Durchsetzung der Datenrichtlinien¶

Um eine Verbindung mit durchgesetzten Datenschutzrichtlinien herzustellen, finden Sie weitere Informationen unter Spark mit Iceberg-Tabellen verbinden.

Verbinden über ein programmgesteuertes Zugriffstoken (PAT)¶

Verwenden Sie eine der folgenden Konfigurationen für die Verbindung:

Wenn Sie keine Datenschutzrichtlinien mit den Iceberg-Tabellen verwenden, die Sie abfragen möchten, verwenden Sie die Konfiguration Verbinden mit einer externen Abfrage-Engine, ohne Datenrichtlinien durchzusetzen.
Wenn Sie Datenschutzrichtlinien mit den Iceberg-Tabellen verwenden, die Sie abfragen möchten, verwenden Sie die Konfiguration Verbinden mit einer externen Abfrage-Engine mit Durchsetzung der Datenrichtlinien.

Verbinden mit einer externen Abfrage-Engine, ohne Datenrichtlinien durchzusetzen¶

Verwenden Sie den folgenden Beispielcode, um die externe Abfrage-Engine mit Iceberg-Tabellen zu verbinden, indem Sie ein programmgesteuertes Zugriffstoken (PAT) verwenden.

Dieser Code setzt keine Datenschutzrichtlinien durch:

# Snowflake Horizon Catalog Configuration, change as per your environment

CATALOG_URI = "https://<account_identifier>.snowflakecomputing.com/polaris/api/catalog"
HORIZON_SESSION_ROLE = f"session:role:<role>"
CATALOG_NAME = "<database_name>" #provide in UPPER CASE

# Cloud Service Provider Region Configuration (where the Iceberg data is stored)
REGION = "eastus2"

# Paste the PAT you generated in Snowflake here
PAT_TOKEN = "<your_PAT_token>"

# Iceberg Version
ICEBERG_VERSION = "1.9.1"

def create_spark_session():
  """Create and configure Spark session for Snowflake Iceberg access."""
  spark = (
      SparkSession.builder
      .appName("SnowflakeIcebergReader")
      .master("local[*]")

# JAR Dependencies for Iceberg and Azure
      .config(
          "spark.jars.packages",
          f"org.apache.iceberg:iceberg-spark-runtime-3.5_2.12:{ICEBERG_VERSION},"
          f"org.apache.iceberg:iceberg-aws-bundle:{ICEBERG_VERSION}"
          # for Azure storage, use the below package and comment above azure bundle
          # f"org.apache.iceberg:iceberg-azure-bundle:{ICEBERG_VERSION}"
      )

      # Iceberg SQL Extensions
      .config("spark.sql.extensions", "org.apache.iceberg.spark.extensions.IcebergSparkSessionExtensions")
      .config("spark.sql.defaultCatalog", CATALOG_NAME)

      # Horizon REST Catalog Configuration
      .config(f"spark.sql.catalog.{CATALOG_NAME}", "org.apache.iceberg.spark.SparkCatalog")
      .config(f"spark.sql.catalog.{CATALOG_NAME}.type", "rest")
      .config(f"spark.sql.catalog.{CATALOG_NAME}.uri", CATALOG_URI)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.warehouse", CATALOG_NAME)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.credential", PAT_TOKEN)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.scope", HORIZON_SESSION_ROLE)
      .config(f"spark.sql.catalog.{CATALOG_NAME}.client.region", REGION)

      # Required for vended credentials
      .config(f"spark.sql.catalog.{CATALOG_NAME}.header.X-Iceberg-Access-Delegation", "vended-credentials")
      .config("spark.sql.iceberg.vectorization.enabled", "false")
      .getOrCreate()
  )
  spark.sparkContext.setLogLevel("ERROR")
  return spark

Copy

Wobei:

<account_identifier> ist Ihr Snowflake-Kontobezeichner für das Snowflake-Konto, das die Iceberg-Tabellen enthält, die Sie abfragen möchten. Wie Sie diesen Bezeichner finden, erfahren Sie unter Unterstützte externe Engines und Kataloge.
<your_PAT_token> ist das PAT, das Sie erhalten haben. Wie Sie es erhalten, erfahren Sie unter Schritt 3: Zugriffstoken für die Authentifizierung besorgen.
<role> ist die Rolle in Snowflake, die mit Zugriff auf die Iceberg-Tabellen konfiguriert ist, die Sie abfragen möchten. Beispiel: DATA_ENGINEER.
<database_name> ist der Name der Datenbank in Ihrem Snowflake-Konto, die von Snowflake verwaltete Iceberg-Tabellen enthält, die Sie abfragen möchten.

Bemerkung

Die Eigenschaft .warehouse in Spark erwartet Ihren Snowflake-*Datenbank*namen, nicht den Namen Ihres Snowflake-Warehouses.

Wichtig

Versehen Sie die folgende Zeile mit Kommentarmarkierungen: f"org.apache.iceberg:iceberg-aws-bundle:{ICEBERG_VERSION}"

Entfernen Sie die Kommentarmarkierungen in der folgenden Zeile: # f"org.apache.iceberg:iceberg-azure-bundle:{ICEBERG_VERSION}"

Verbinden mit einer externen Abfrage-Engine mit Durchsetzung der Datenrichtlinien¶

Um eine Verbindung mit durchgesetzten Datenschutzrichtlinien herzustellen, finden Sie weitere Informationen unter Spark mit Iceberg-Tabellen verbinden.

Schritt 7: Iceberg-Tabellen abfragen¶

Dieser Schritt enthält die folgenden Code-Beispiele für die Verwendung von Apache Spark™ zur Abfrage von Iceberg-Tabellen:

Namespaces anzeigen
Namespaces verwenden
Tabellen anzeigen
Eine Tabelle abfragen

Namespaces anzeigen¶

spark.sql("show namespaces").show()

Copy

Namespace verwenden¶

spark.sql("use namespace <your_schema_name_in_snowflake>")

Copy

Tabellen anzeigen¶

spark.sql("show tables").show()

Copy

Eine Tabelle abfragen¶

spark.sql("use namespace spark_demo")
spark.sql("select * from <your_table_name_in_snowflake>").show()

Copy

Überlegungen zum Abfragen von Iceberg-Tabellen mit einer externen Abfrage-Engine¶

Beachten Sie die folgenden Punkte, wenn Sie Iceberg-Tabellen mit einer externen Abfrage-Engine abfragen: