Zulassen von VNet-Subnetze-IDs

Unter diesem Thema wird beschrieben, wie ein Microsoft Azure-Administrator Ihrer Organisation Ihrem Azure-Speicherkonto (d. h. Containern, den Objekten in diesen Containern und Ihren Speicherwarteschlangen) expliziten Zugriff auf Snowflake gewähren kann. Bei diesem Vorgang werden die von Ihrem Snowflake-Konto verwendeten Subnetz-IDs für das Azure Virtual Network (VNet) zugelassen.

Diese Schritte müssen nur dann ausgeführt werden, wenn die Azure-Speicherfirewall so konfiguriert ist, dass der gesamte nicht autorisierte Datenverkehr zu Ihrem Azure-Speicherkonto blockiert wird.

Wichtig

Für diese Sicherheitsfunktion muss sich Ihr Speicherkonto derzeit in derselben Azure-Region wie Ihr Snowflake-Konto befinden.

So lassen Sie Snowflake-VNet-Subnetz-IDs zu:

  1. Melden Sie sich mit einem beliebigen unterstützten Client bei Ihrem Snowflake-Konto an.

  2. Führen Sie USE ROLE aus, um ACCOUNTADMIN als aktive Rolle für die Benutzersitzung festzulegen.

    USE ROLE ACCOUNTADMIN;
    
    Copy
  3. Fragen Sie die Funktion SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO ab, um die IDs des VNet-Subnetzes abzurufen, in dem sich Ihr Snowflake-Konto befindet:

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    
    Copy

    Notieren Sie sich die von der Abfrage zurückgegebenen VNet-Subnetz-IDs.

  4. Melden Sie sich bei Ihrer bevorzugten Azure-Befehlszeilenschnittstelle an.

  5. Verwenden Sie den folgenden Befehl, um den Zugriff auf Ihr Speicherkonto für alle Snowflake-VNet-Subnetze-ID zuzulassen: Sie müssen den Befehl einmal für jede Subnetz-ID ausführen, die von der Funktion SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO zurückgegeben wird:

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    
    Copy

    Wobei:

    • account_name ist der Name des Azure-Speicherkontos, dem Sie Zugriff auf Snowflake gewähren.

    • snowflake_vnet_subnet_id ist die erste der VNet-Subnetz-IDs, die von der Funktion SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO zurückgegeben werden.

    Beispiel:

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    
    Copy

    Bemerkung

    Der Azure-Client gibt möglicherweise einen Fehler zurück, der dem folgenden ähnelt:

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    
    Copy

    Der Fehler weist darauf hin, dass Ihr Azure-Speicherkonto möglicherweise keine Verbindungen zu Snowflake initiiert, da diese Berechtigungen nicht erteilt wurden. Sie können diesen Fehler ignorieren. Die Zulassungsfunktion wird dadurch nicht blockiert.

Weitere Optionen zum Verwalten von Regeln für Ihr virtuelles Netzwerk finden Sie in der Azure-Dokumentation.

Wenden Sie sich an den Azure-Administrator Ihrer Organisation, wenn Sie Hilfe zu diesem Konfigurationsvorgang oder einem der anderen Azure-Konfigurationsschritte benötigen.

Nächstes Thema: Konfigurieren eines Azure-Containers zum Laden von Daten