- Kategorien:
DDL für Benutzer und Sicherheit (Integrationen von Drittanbieterservices)
ALTER STORAGE INTEGRATION¶
Ändert die Eigenschaften für eine bestehende Speicherintegration.
Unter diesem Thema:
Syntax¶
ALTER [ STORAGE ] INTEGRATION [ IF EXISTS ] <name> SET
cloudProviderParams
[ ENABLED = { TRUE | FALSE } ]
[ STORAGE_ALLOWED_LOCATIONS = ('<cloud>://<bucket>/<path>/', '<cloud>://<bucket>/<path>/') ]
[ STORAGE_BLOCKED_LOCATIONS = ('<cloud>://<bucket>/<path>/', '<cloud>://<bucket>/<path>/') ]
[ COMMENT = '<string_literal>' ]
ALTER [ STORAGE ] INTEGRATION [ IF EXISTS ] <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]
ALTER [ STORAGE ] INTEGRATION <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
ALTER [ STORAGE ] INTEGRATION [ IF EXISTS ] <name> UNSET {
ENABLED |
STORAGE_BLOCKED_LOCATIONS |
COMMENT
}
[ , ... ]
Wobei:
cloudProviderParams (for Amazon S3) ::= STORAGE_AWS_ROLE_ARN = '<iam_role>' [ STORAGE_AWS_OBJECT_ACL = 'bucket-owner-full-control' ]cloudProviderParams (for Microsoft Azure) ::= AZURE_TENANT_ID = '<tenant_id>'
Parameter¶
NameBezeichner für die zu ändernde Integration. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.
SET ...Gibt eine oder mehrere Eigenschaften/Parameter an, die für die Tabelle festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder Neue-Zeile-Zeichen):
ENABLED = TRUE | FALSEGibt an, ob diese Speicherintegration für die Nutzung in Stagingbereichen verfügbar ist.
TRUEermöglicht Benutzern das Erstellen neuer Stagingbereiche, die auf diese Integration verweisen. Bestehende Stagingbereiche, die auf diese Integration verweisen, funktionieren normal.FALSEverhindert, dass Benutzer neue Stagingbereiche erstellen, die auf diese Integration verweisen. Bestehende Stagingbereiche, die auf diese Integration verweisen, können nicht auf den Speicherort in der Stagingbereichsdefinition zugreifen.
STORAGE_ALLOWED_LOCATIONS = ('cloudspezifische_URL')Schränkt externe Stagingbereiche, die die Integration verwenden, explizit darauf ein, auf einen oder mehrere Speicherorte (Amazon S3, Google Cloud Storage oder Microsoft Azure) zu verweisen. Unterstützt eine durch Kommas getrennte Liste von URLs für vorhandene Buckets und optional Pfade zum Speichern von Datendateien für das Laden/Entladen. Unterstützt alternativ den Platzhalter
*mit der Bedeutung „Zugriff auf alle Buckets und/oder Pfade zulassen“.Beachten Sie Folgendes: Wenn der Wert
STORAGE_ALLOWED_LOCATIONSeinen bestimmten Speicherort einschließt, müssen alle Unterpfade am selben Speicherort erlaubt sein. In einemSTORAGE_BLOCKED_LOCATIONS-Wert kann kein Unterpfad enthalten sein. Beispiel: WennSTORAGE_ALLOWED_LOCATIONSden PfadSpeicherort/enthält, kannSTORAGE_BLOCKED_LOCATIONSnichtSpeicherort/path1/enthalten. WennSTORAGE_ALLOWED_LOCATIONSalsoSpeicherort/path1/enthält, kannSTORAGE_BLOCKED_LOCATIONSnichtSpeicherort/path1/path2/enthalten, und so weiter.Amazon S3
STORAGE_ALLOWED_LOCATIONS = ('s3://Bucket/Pfad/', 's3://Bucket/Pfad/')Bucketist der Name eines S3-Buckets, in dem Ihre Datendateien gespeichert sind (z. B.mybucket).Pfadist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.
Google Cloud Storage
STORAGE_ALLOWED_LOCATIONS = ('gcs://Bucket/Pfad/', 'gcs://Bucket/Pfad/')Bucketist der Name eines GCS-Buckets, in dem Ihre Datendateien gespeichert sind (z. B.mybucket).Pfadist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.
Microsoft Azure
STORAGE_ALLOWED_LOCATIONS = ('azure://Konto.blob.core.windows.net/Container/Pfad/', 'azure://Konto.blob.core.windows.net/Container/Pfad/')Kontoist der Name des Azure-Kontos (z. B.myaccount). Verwenden Sie den Endpunktblob.core.windows.netfür alle unterstützten Typen von Azure-Blob-Speicherkonten, einschließlich Data Lake Storage Gen2.Containerist der Name des Azure-Containers, in dem Ihre Datendateien gespeichert sind (z. B.mycontainer).Pfadist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.
STORAGE_BLOCKED_LOCATIONS = ('cloudspezifische_URL')Verhindert ausdrücklich, dass externe Stagingbereiche, die die Integration verwenden, auf einen oder mehrere Speicherorte (Amazon S3, Google Cloud Storage, Microsoft Azure) verweisen. Unterstützt eine durch Kommas getrennte Liste von URLs für vorhandene Speicherorte und optional Pfade zum Speichern von Datendateien für das Laden/Entladen. Wird häufig verwendet, wenn STORAGE_ALLOWED_LOCATIONS auf den Platzhalter
*gesetzt ist, sodass Zugriff auf alle Buckets in Ihrem Konto mit Ausnahme von gesperrten Speicherorten und (optional) Pfaden zulässig ist.Amazon S3
STORAGE_BLOCKED_LOCATIONS = ('s3://Bucket/Pfad/', 's3://Bucket/Pfad/')Bucketist der Name eines S3-Buckets, in dem Ihre Datendateien gespeichert sind (z. B.mybucket).Pfadist ein optionaler Pfad (oder ein Verzeichnis) im Bucket, der bzw. das den Zugriff auf Datendateien weiter einschränkt.
Google Cloud Storage
STORAGE_BLOCKED_LOCATIONS = ('gcs://Bucket/Pfad/', 'gcs://Bucket/Pfad/')Bucketist der Name eines GCS-Buckets, in dem Ihre Datendateien gespeichert sind (z. B.mybucket).Pfadist ein optionaler Pfad (oder ein Verzeichnis) im Bucket, der bzw. das den Zugriff auf Datendateien weiter einschränkt.
Microsoft Azure
STORAGE_BLOCKED_LOCATIONS = ('azure://Konto.blob.core.windows.net/Container/Pfad/', 'azure://Konto.blob.core.windows.net/Container/Pfad/')Kontoist der Name des Azure-Kontos (z. B.myaccount).Containerist der Name des Azure-Containers, in dem Ihre Datendateien gespeichert sind (z. B.mycontainer).Pfadist ein optionaler Pfad (oder ein Verzeichnis) im Container, der bzw. das den Zugriff auf Datendateien weiter einschränkt.
TAG Tag-Name = 'Tag-Wert' [ , Tag-Name = 'Tag-Wert' , ... ]Gibt den Tag-Namen (d. h. den Schlüssel) und den Tag-Wert an.
Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann. Die maximale Anzahl von eindeutigen Tag-Schlüsseln, die für ein Objekt festgelegt werden können, ist 20.
COMMENT = 'Zeichenfolgenliteral'Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.
UNSET ...Gibt eine oder mehrere Eigenschaften/Parameter an, die für die Speicherintegration nicht festgelegt werden sollen, wodurch sie auf ihre Standardwerte zurückgesetzt werden:
ENABLEDSTORAGE_BLOCKED_LOCATIONSTAG Tag-Name [ , Tag-Name ... ]COMMENT
Cloudanbieterparameter (cloudProviderParams)¶
Amazon S3
STORAGE_AWS_ROLE_ARN = IAM-RolleGibt den Amazon Resource Name (ARN) der AWS-Rolle für Identitäts- und Zugriffsverwaltung (IAM) an, die Berechtigungen für den S3-Bucket mit Ihren Datendateien gewährt. Weitere Informationen dazu finden Sie unter Konfigurieren des sicheren Zugriffs auf Amazon S3.
STORAGE_AWS_OBJECT_ACL = 'bucket-owner-full-control'Aktiviert die Unterstützung von AWS-Zugriffskontrolllisten (ACLs), um dem Eigentümer des S3-Buckets volle Kontrolle zu gewähren. Dateien, die in Amazon S3-Buckets aus entladenen Tabellendaten erstellt werden, sind Eigentum einer AWS-Rolle für Identitäts- und Zugriffsmanagement (IAM). ACLs unterstützen den Anwendungsfall, bei dem IAM-Rollen in einem AWS-Konto für den Zugriff auf S3-Buckets in einem oder mehreren anderen AWS-Konten konfiguriert sind. Ohne ACL-Unterstützung konnten Benutzer in Konten von Bucket-Eigentümern nicht auf die Datendateien zugreifen, die mithilfe einer Speicherintegration in einen externen (S3) Stagingbereich entladen wurden.
Wenn Benutzer Snowflake-Tabellendaten in Datendateien in einem S3-Stagingbereich mit COPY INTO <Speicherort> entladen, wendet die Entladeoperation eine ACL auf die entladenen Datendateien an. Die Datendateien wenden die Berechtigung
"s3:x-amz-acl":"bucket-owner-full-control"auf die Dateien an und gewähren dem Besitzer des S3-Buckets volle Kontrolle über sie.
Microsoft Azure
AZURE_TENANT_ID = 'Mandanten-ID'Gibt die ID Ihres Office 365-Mandanten an, zu dem die zulässigen und gesperrten Speicherkonten gehören. Die Authentifizierung einer Speicherintegration kann nur für einen einzigen Mandanten erfolgen. Daher müssen sich die zulässigen und blockierten Speicherorte auf Speicherkonten beziehen, die alle diesem einen Mandanten gehören.
Melden Sie sich beim Azure-Portal an, und klicken Sie auf Azure Active Directory » Properties, um Ihre Mandanten-ID zu ermitteln. Die Mandanten-ID wird im Feld Directory ID angezeigt.
Nutzungshinweise¶
Metadaten:
Achtung
Kunden müssen sicherstellen, dass bei der Nutzung des Snowflake-Dienstes keine personenbezogenen Daten (außer für ein Objekt „Benutzer“), sensible Daten, exportkontrollierte Daten oder andere regulierte Daten als Metadaten eingegeben werden. Weitere Informationen dazu finden Sie unter Metadatenfelder in Snowflake.
Beispiele¶
Das folgende Beispiel leitet die Operation einer angehaltenen Integration ein:
ALTER STORAGE INTEGRATION myint SET ENABLED = TRUE;