Kategorien:

DDL für Benutzer und Sicherheit (Integrationen von Drittanbieterservices)

CREATE STORAGE INTEGRATION

Erstellt eine neue Speicherintegration im Konto oder ersetzt eine vorhandene Integration.

Eine Speicherintegration ist ein Snowflake-Objekt, das eine generierte Identitäts- und Zugriffsverwaltungsentität (IAM) für Ihren externen Cloudspeicher zusammen mit einem optionalen Satz zulässiger oder blockierter Speicherorte (Amazon S3, Microsoft Azure oder Google Cloud Storage) speichert. Cloudanbieter-Administratoren in Ihrer Organisation erteilen der generierten Entität Berechtigungen für die Speicherorte. Dank dieser Option müssen Benutzer beim Erstellen von Stagingbereichen oder beim Laden/Entladen von Daten keine Anmeldeinformationen eingeben.

Eine einzelne Speicherintegration kann mehrere externe Stagingbereiche unterstützen. Die URL in der Stagingbereichsdefinition muss mit dem für den Parameter STORAGE_ALLOWED_LOCATIONS angegebenen Speicherort übereinstimmen.

Warnung

Durch das Neuerstellen einer Speicherintegration (mithilfe von CREATE OR REPLACE STORAGE INTEGRATION) wird die Zuordnung zwischen der Speicherintegration und jedem Stagingbereich, der auf sie verweist, aufgehoben. Grund ist, dass ein Stagingbereich mit einer Speicherintegration verknüpft ist, wobei anstelle des Namens der Speicherintegration eine ausgeblendete ID verwendet wird. Im Hintergrund löscht die CREATE OR REPLACE-Syntax das Objekt und erstellt es mit einer anderen verborgenen ID neu.

Wenn Sie eine Speicherintegration neu erstellen müssen, nachdem diese mit einer oder mehreren Stagingbereichen verknüpft wurde, müssen Sie die Zuordnung zwischen einem Stagingbereich und der Speicherintegration neu einrichten, indem Sie ALTER STAGE Stagingbereichsname SET STORAGE_INTEGRATION = Speicherintegrationsname ausführen, wobei:

  • Stagingbereichsname ist der Name des Stagingbereichs.

  • Speicherintegrationsname ist der Name der neuen Speicherintegration.

Bemerkung

Speicherintegrationen können so konfiguriert werden, dass sie Cloudspeicher von Amazon S3, Microsoft Azure oder Google Cloud Storage unterstützen, unabhängig davon, bei welchem Cloudanbieter Ihr Snowflake-Konto gehostet wird.

Cloudanbieter berechnen Gebühren für Daten, die aus dem eigenen Netzwerk heraus übertragen werden. Um diese Kosten wieder hereinzuholen, erhebt Snowflake eine Byte-abhängige Gebühr, wenn Sie Daten aus Snowflake (gehostet auf Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform) in den externen Stagingbereich einer anderen Region oder eines anderen Cloudanbieters entladen. Snowflake berechnet keine Gebühren für eingehende Daten (z. B. beim Laden von Daten in Snowflake). Weitere Informationen dazu finden Sie auf der Preisseite (auf der Snowflake-Website).

Siehe auch:

ALTER STORAGE INTEGRATION, DROP INTEGRATION, SHOW INTEGRATIONS

Unter diesem Thema:

Syntax

CREATE [ OR REPLACE ] STORAGE INTEGRATION [IF NOT EXISTS]
  <name>
  TYPE = EXTERNAL_STAGE
  cloudProviderParams
  ENABLED = { TRUE | FALSE }
  STORAGE_ALLOWED_LOCATIONS = ('<cloud>://<bucket>/<path>/', '<cloud>://<bucket>/<path>/')
  [ STORAGE_BLOCKED_LOCATIONS = ('<cloud>://<bucket>/<path>/', '<cloud>://<bucket>/<path>/') ]
  [ COMMENT = '<string_literal>' ]

Wobei:

cloudProviderParams (for Amazon S3) ::=
  STORAGE_PROVIDER = S3
  STORAGE_AWS_ROLE_ARN = '<iam_role>'
cloudProviderParams (for Google Cloud Storage) ::=
  STORAGE_PROVIDER = GCS
cloudProviderParams (for Microsoft Azure) ::=
  STORAGE_PROVIDER = AZURE
  AZURE_TENANT_ID = '<tenant_id>'

Erforderliche Parameter

Name

Zeichenfolge, die den Bezeichner (d. h. den Namen) für die Integration angibt. Muss in Ihrem Konto eindeutig sein.

Darüber hinaus muss der Bezeichner mit einem Buchstaben beginnen und darf keine Leer- oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen gesetzt (z. B. "My object"). Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.

TYPE = EXTERNAL_STAGE

Geben Sie den Typ der Integration an:

  • EXTERNAL_STAGE: Erstellt eine Schnittstelle zwischen Snowflake und einem externen Cloudspeicherort.

ENABLED = TRUE | FALSE

Gibt an, ob diese Speicherintegration für die Nutzung in Stagingbereichen verfügbar ist.

  • TRUE ermöglicht Benutzern das Erstellen neuer Stagingbereiche, die auf diese Integration verweisen. Bestehende Stagingbereiche, die auf diese Integration verweisen, funktionieren normal.

  • FALSE verhindert, dass Benutzer neue Stagingbereiche erstellen, die auf diese Integration verweisen. Bestehende Stagingbereiche, die auf diese Integration verweisen, können nicht auf den Speicherort in der Stagingbereichsdefinition zugreifen.

STORAGE_ALLOWED_LOCATIONS = ('cloudspezifische_URL')

Schränkt externe Stagingbereiche, die die Integration verwenden, explizit darauf ein, auf einen oder mehrere Speicherorte zu verweisen (d. h. S3-Bucket, GCS-Bucket oder Azure-Container) Unterstützt eine durch Kommas getrennte Liste von URLs für vorhandene Buckets und optional Pfade zum Speichern von Datendateien für das Laden/Entladen. Unterstützt alternativ den Platzhalter * mit der Bedeutung „Zugriff auf alle Buckets und/oder Pfade zulassen“.

Amazon S3

STORAGE_ALLOWED_LOCATIONS = ('s3://Bucket/Pfad/', 's3://Bucket/Pfad/')

  • Bucket ist der Name eines S3-Buckets, in dem Ihre Datendateien gespeichert sind (z. B. mybucket).

  • Pfad ist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.

Google Cloud Storage

STORAGE_ALLOWED_LOCATIONS = ('gcs://Bucket/Pfad/', 'gcs://Bucket/Pfad/')

  • Bucket ist der Name eines GCS-Buckets, in dem Ihre Datendateien gespeichert sind (z. B. mybucket).

  • Pfad ist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.

Microsoft Azure

STORAGE_ALLOWED_LOCATIONS = ('azure://Konto.blob.core.windows.net/Container/Pfad/', 'azure://Konto.blob.core.windows.net/Container/Pfad/')

  • Konto ist der Name des Azure-Kontos (z. B. myaccount). Verwenden Sie den Endpunkt blob.core.windows.net für alle unterstützten Typen von Azure-Blob-Speicherkonten, einschließlich Data Lake Storage Gen2.

  • Container ist der Name des Azure Blob-Containers, in dem Ihre Datendateien gespeichert sind (z. B. mycontainer).

  • Pfad ist ein optionaler Pfad mit Unterscheidung von Groß-/Kleinschreibung für Dateien am Cloudspeicherort (d. h. Dateien haben Namen, die mit einer gemeinsamen Zeichenfolge beginnen), wodurch der Zugriff auf bestimmte Dateien eingegrenzt wird. Pfade werden von den verschiedenen Cloudspeicherdiensten alternativ als Präfixe oder Ordner bezeichnet.

Optionale Parameter

STORAGE_BLOCKED_LOCATIONS = ('Cloud-spezifische_URL')

Verhindert ausdrücklich, dass externe Stagingbereiche, die die Integration verwenden, auf einen oder mehrere Speicherorte verweisen (d. h. S3-Buckets oder GCS-Buckets). Unterstützt eine durch Kommas getrennte Liste von URLs für vorhandene Speicherorte und optional Pfade zum Speichern von Datendateien für das Laden/Entladen. Wird häufig verwendet, wenn STORAGE_ALLOWED_LOCATIONS auf den Platzhalter * gesetzt ist, sodass Zugriff auf alle Buckets in Ihrem Konto mit Ausnahme von gesperrten Speicherorten und (optional) Pfaden zulässig ist.

Amazon S3

STORAGE_BLOCKED_LOCATIONS = ('s3://Bucket/Pfad/', 's3://Bucket/Pfad/')

  • Bucket ist der Name eines S3-Buckets, in dem Ihre Datendateien gespeichert sind (z. B. mybucket).

  • Pfad ist ein optionaler Pfad (oder ein Verzeichnis) im Bucket, der bzw. das den Zugriff auf Datendateien weiter einschränkt.

Google Cloud Storage

STORAGE_BLOCKED_LOCATIONS = ('gcs://Bucket/Pfad/', 'gcs://Bucket/Pfad/')

  • Bucket ist der Name eines GCS-Buckets, in dem Ihre Datendateien gespeichert sind (z. B. mybucket).

  • Pfad ist ein optionaler Pfad (oder ein Verzeichnis) im Bucket, der bzw. das den Zugriff auf Datendateien weiter einschränkt.

Microsoft Azure

STORAGE_BLOCKED_LOCATIONS = ('azure://Konto.blob.core.windows.net/Container/Pfad/', 'azure://Konto.blob.core.windows.net/Container/Pfad/')

  • Konto ist der Name des Azure-Kontos (z. B. myaccount).

  • Container ist der Name des Azure Blob-Containers, in dem Ihre Datendateien gespeichert sind (z. B. mycontainer).

  • Pfad ist ein optionaler Pfad (oder ein Verzeichnis) im Bucket, der bzw. das den Zugriff auf Datendateien weiter einschränkt.

COMMENT = 'Zeichenfolgenliteral'

Zeichenfolge (Literal), die einen Kommentar zur Integration enthält.

Standard: Kein Wert

Cloudanbieterparameter (cloudProviderParams)

Amazon S3

STORAGE_PROVIDER = S3

Gibt den Cloudspeicheranbieter an, der Ihre Datendateien speichert.

STORAGE_AWS_ROLE_ARN = IAM-Rolle

Gibt den Amazon Resource Name (ARN) der AWS-Rolle für Identitäts- und Zugriffsverwaltung (IAM) an, die Berechtigungen für den S3-Bucket mit Ihren Datendateien gewährt. Weitere Informationen dazu finden Sie unter Konfigurieren des sicheren Zugriffs auf Amazon S3.

Google Cloud Storage

STORAGE_PROVIDER = GCS

Gibt den Cloudspeicheranbieter an, der Ihre Datendateien speichert.

Microsoft Azure

STORAGE_PROVIDER = AZURE

Gibt den Cloudspeicheranbieter an, der Ihre Datendateien speichert.

AZURE_TENANT_ID = 'Mandanten-ID'

Gibt die ID Ihres Office 365-Mandanten an, zu dem die zulässigen und gesperrten Speicherkonten gehören. Die Authentifizierung einer Speicherintegration kann nur für einen einzigen Mandanten erfolgen. Daher müssen sich die zulässigen und blockierten Speicherorte auf Speicherkonten beziehen, die alle diesem einen Mandanten gehören.

Melden Sie sich beim Azure-Portal an, und klicken Sie auf Azure Active Directory » Properties, um Ihre Mandanten-ID zu ermitteln. Die Mandanten-ID wird im Feld Directory ID angezeigt.

Nutzungshinweise

  • Dieser SQL-Befehl kann nur von Kontoadministratoren (Benutzer mit der Rolle ACCOUNTADMIN) oder von Rollen mit der globalen Berechtigung CREATE INTEGRATION ausgeführt werden.

Beispiele

Im folgenden Beispiel wird eine Integration erstellt, die externe Stagingbereiche, die die Integration nutzen, explizit darauf beschränkt, auf einen von zwei Buckets und Pfaden zu verweisen:

Amazon S3

CREATE STORAGE INTEGRATION s3_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = S3
  STORAGE_AWS_ROLE_ARN = 'arn:aws:iam::001234567890:role/myrole'
  ENABLED = TRUE
  STORAGE_ALLOWED_LOCATIONS = ('s3://mybucket1/path1/', 's3://mybucket2/path2/');

Google Cloud Storage

CREATE STORAGE INTEGRATION gcs_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = GCS
  ENABLED = TRUE
  STORAGE_ALLOWED_LOCATIONS = ('gcs://mybucket1/path1/', 'gcs://mybucket2/path2/');

Microsoft Azure

CREATE STORAGE INTEGRATION azure_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = AZURE
  ENABLED = TRUE
  AZURE_TENANT_ID = '<tenant_id>'
  STORAGE_ALLOWED_LOCATIONS = ('azure://myaccount.blob.core.windows.net/mycontainer/path1/', 'azure://myaccount.blob.core.windows.net/mycontainer/path2/');

Im folgenden Beispiel wird eine Integration erstellt, die es externen Stagingbereichen, die die Integration nutzen, erlaubt, auf einen beliebigen Bucket und Pfad in Ihrem Konto zu verweisen, mit Ausnahme von solchen, die explizit gesperrt sind:

Amazon S3

CREATE STORAGE INTEGRATION s3_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = S3
  STORAGE_AWS_ROLE_ARN = 'arn:aws:iam::001234567890:role/myrole'
  ENABLED = TRUE
  STORAGE_ALLOWED_LOCATIONS = ('*')
  STORAGE_BLOCKED_LOCATIONS = ('s3://mybucket3/path3/', 's3://mybucket4/path4/');

Google Cloud Storage

CREATE STORAGE INTEGRATION gcs_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = GCS
  ENABLED = TRUE
  STORAGE_ALLOWED_LOCATIONS = ('*')
  STORAGE_BLOCKED_LOCATIONS = ('gcs://mybucket3/path3/', 'gcs://mybucket4/path4/');

Microsoft Azure

CREATE STORAGE INTEGRATION azure_int
  TYPE = EXTERNAL_STAGE
  STORAGE_PROVIDER = AZURE
  ENABLED = TRUE
  AZURE_TENANT_ID = 'a123b4c5-1234-123a-a12b-1a23b45678c9'
  STORAGE_ALLOWED_LOCATIONS = ('*')
  STORAGE_BLOCKED_LOCATIONS = ('azure://myaccount.blob.core.windows.net/mycontainer/path3/', 'azure://myaccount.blob.core.windows.net/mycontainer/path4/');