Snowflake Data Clean Room: Externe Daten aus Azure Blob Storage

Daten, die in einem Snowflake Data Clean Room analysiert werden, können in Snowflake selbst oder extern in einem Speicher eines Cloudanbieters gespeichert sein oder beides. Ein Konnektor ermöglicht es den Teilnehmern, vom Reinraum aus auf externe Daten eines Cloudanbieters zuzugreifen.

Der Konnektor für externe Daten verwendet Snowflake-externe Tabellen, um Daten verfügbar zu machen. Seien Sie sich bewusst, dass das Verknüpfen von externen Tabellen in einem Reinraum ein erhöhtes Sicherheitsrisiko birgt. Daher muss der Anbieter die Verwendung externer Tabellen im Reinraum ausdrücklich zulassen, bevor Verbraucher einen Konnektor zur Aufnahme externer Daten verwenden können. Wenn der Anbieter den externen Konnektor verwendet, wird der Verbraucher gewarnt, dass externe Tabellen verwendet werden, damit er entscheiden kann, ob er den Reinraum installieren möchte.

Unter diesem Thema wird beschrieben, wie Sie einen Konnektor verwenden, damit Reinraum-Analysten auf externe Daten aus einem Azure Blob Storage zugreifen können.

Wichtig

Konnektoren von Drittanbietern werden nicht von Snowflake angeboten und können zusätzlichen Bedingungen unterliegen. Diese Integrationen werden Ihnen zur Verfügung gestellt, aber Sie sind für alle Inhalte verantwortlich, die an die Integrationen gesendet oder von ihnen empfangen werden.

Kunden sind dafür verantwortlich, alle erforderlichen Genehmigungen im Zusammenhang mit ihrer Nutzung von Snowflake Data Clean Rooms einzuholen. Bitte stellen Sie sicher, dass Sie die geltenden Gesetze und Vorschriften einhalten, wenn Sie Snowflake Data Clean Rooms verwenden, auch in Verbindung mit Konnektoren von Drittanbietern zu Aktivierungszwecken.

Voraussetzungen

So verwenden Sie den Konnektor für externe Daten:

Mit Azure Blob Storage verbinden

Um Reinraum-Teilnehmern den Zugriff auf Daten in Azure Blob Storage zu ermöglichen, führen Sie folgende Schritte aus:

  1. In Azure: Ermitteln Sie den Bezeichner des Blobspeichers.

  2. In der Reinraumumgebung: Erstellen Sie den Konnektor.

  3. Verwenden Sie die Reinraumumgebung, um den Prozess zum Erteilen von Berechtigungen für den Konnektor einzuleiten und dann den Prozess in Microsoft abzuschließen.

  4. In der Reinraumumgebung: Authentifizieren Sie den Konnektor mit Azure.

In den folgenden Abschnitten werden diese Schritte ausführlicher erörtert:

Bezeichner im Zusammenhang mit Blobspeicher ermitteln

Der Reinraum-Konnektor benötigt die mit Azure Blob Storage verknüpften Mandanten-ID und die URL, die den Blobspeicher, auf den der Reinraum zugreifen muss, eindeutig identifiziert. Bevor Sie den Konnektor erstellen, müssen Sie diese beiden Bezeichner in Azure ermitteln.

Bemerkung

Microsoft hat den Namen von Azure Active Directory in Microsoft Entra ID geändert.

So ermitteln Sie die Mandanten-ID, die eine Vertrauensstellung zwischen Azure Blob Storage und Microsoft Entra ID herstellt:

  1. Melden Sie sich beim Microsoft Azure-Portal an.

  2. Wählen Sie im Startseiten-Dashboard die Option Microsoft Entra ID » Properties aus.

  3. Suchen Sie das Feld Tenant ID, und wählen Sie das Kopiersymbol aus. Sie werden diesen Bezeichner verwenden, wenn Sie den Konnektor erstellen.

So ermitteln Sie die URL, die den Blobspeicher eindeutig identifiziert:

  1. Melden Sie sich beim Microsoft Azure-Portal an.

  2. Wählen Sie im Startseiten-Dashboard die Option Storage Accounts aus.

  3. Navigieren Sie im Speicherkonto, bis Sie den Blobspeicher-Ordner in der Liste sehen. Dieser Ordner muss die Daten enthalten, die Sie in den Reinraum aufnehmen möchten.

  4. Suchen Sie den Blobspeicher-Ordner in der Liste, und wählen Sie im Mehr-Menü » Copy URL aus. Sie werden diesen Bezeichner verwenden, wenn Sie den Konnektor erstellen.

Konnektor erstellen und Bezeichner des Dienstprinzipals kopieren

Sie sind nun bereit, den Konnektor in der Reinraumumgebung zu erstellen. Sobald Sie den Konnektor erstellt haben, müssen Sie den Bezeichner des Azure-Dienstprinzipals kopieren, der mit der Reinraumumgebung verknüpft ist.

So erstellen Sie den Konnektor in Ihrer Reinraumumgebung:

  1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

  2. Geben Sie Ihre E-Mail-Adresse ein, und wählen Sie Continue aus.

  3. Geben Sie Ihr Kennwort ein.

  4. Wenn Sie mit mehreren Reinraumumgebungen verbunden sind, wählen Sie das Snowflake-Konto aus, das Sie verwenden möchten.

  5. Wählen Sie im linken Navigationsbereich Connectors aus, und erweitern Sie den Microsoft Azure-Bereich.

  6. Geben Sie in das Feld Tenant ID die Mandanten-ID ein, die Sie im vorherigen Schritt kopiert haben.

  7. Geben Sie in das Feld Path URL die URL des Blobspeichers ein, die Sie im vorherigen Schritt kopiert haben, und ersetzen Sie dann in der URL https:// durch azure://.

  8. Wählen Sie Create aus.

  9. Verwenden Sie das Kopiersymbol, um den Bezeichner des Azure service principal zu kopieren, der nun mit der Reinraumumgebung verbunden ist, und speichern Sie diesen Bezeichner für die nächste Aufgabe. Azure verwendet Dienstprinzipale, um den Zugriff auf Anwendungen zu gewähren.

Konnektor Berechtigungen erteilen

Reinräume benötigen die Berechtigung, auf externe Daten in Azure Blob Storage zugreifen zu dürfen. Der Prozess der Erteilung dieser Berechtigungen beginnt in der Reinraumumgebung und endet bei Microsoft.

So erteilen Sie dem Konnektor Berechtigungen:

  1. Wählen Sie in der Reinraumumgebung Connectors aus, und erweitern Sie den Abschnitt Microsoft Azure. Wenn Sie aus der Reinraumumgebung abgemeldet sind, siehe Bei der Web-App anmelden.

  2. Wählen Sie Consent URL aus. Ein Microsoft-Dialog wird angezeigt.

  3. Stellen Sie im Microsoft-Dialog sicher, dass Consent on behalf of your organization aktiviert ist, und wählen Sie dann Accept aus.

    Microsoft gewährt dem Azure-Dienstprinzipal, der mit der Reinraumumgebung verbunden ist, ein Zugriffstoken für den Blobspeicher innerhalb Ihres Mandanten.

  4. Melden Sie sich in einem neuen Browserfenster beim Microsoft Azure-Portal an.

  5. Wählen Sie im Startseiten-Dashboard die Option Storage Accounts aus.

  6. Wählen Sie das Speicherkonto aus, das den Blobspeicher enthält.

  7. Wählen Sie Access Control (IAM) aus.

  8. Wählen Sie Add role assignment aus.

  9. Wählen Sie Storage Blob Data Reader aus, um einen Nur-Lese-Zugriff auf einen Azure service principal zu gewähren, und wählen Sie dann Next aus.

  10. Wählen Sie auf der Registerkarte Members die Option + Select members aus.

  11. Suchen Sie nach dem Dienstprinzipal für die Reinraumumgebung. Sie haben seinen Bezeichner in einem vorherigen Schritt kopiert.

    Tipp

    Microsoft kann mehr als eine Stunde brauchen, um den Dienstprinzipal für die Reinraumumgebung zu erstellen. Wenn Sie den Dienstprinzipal nicht in der Liste finden können, warten Sie 1-2 Stunden und versuchen Sie dann erneut, diesen Schritt auszuführen.

  12. Wählen Sie Review + assign aus.

Authentifizieren des Konnektors

Jetzt können Sie den Konnektor authentifizieren, um sicherzustellen, dass er auf den Azure Blob Storage zugreifen kann. So authentifizieren Sie den Konnektor:

  1. Wählen Sie in der Reinraumumgebung Connectors aus, und erweitern Sie den Abschnitt Microsoft Azure. Wenn Sie aus der Reinraumumgebung abgemeldet sind, siehe Bei der Web-App anmelden.

  2. Wählen Sie den Blobspeicher aus, zu dem Sie eine Verbindung herstellen möchten, und wählen Sie Authenticate aus.

Zugriff auf externe Daten auf AWS entfernen

So entfernen Sie den Zugriff auf einen Azure Blob Storage aus einer Reinraumumgebung:

  1. Navigieren Sie zu der Anmeldeseite von Snowflake Data Clean Rooms.

  2. Geben Sie Ihre E-Mail-Adresse ein, und wählen Sie Continue aus.

  3. Geben Sie Ihr Kennwort ein.

  4. Wenn Sie mit mehreren Reinraumumgebungen verbunden sind, wählen Sie das Snowflake-Konto aus, das Sie verwenden möchten.

  5. Wählen Sie im linken Navigationsbereich Connectors aus, und erweitern Sie den Microsoft Azure-Bereich.

  6. Suchen Sie den Blobspeicher, der derzeit verbunden ist, und wählen Sie das Mülleimersymbol aus.

Sprache: Deutsch