Zulassen von VNet-Subnetze-IDs

Unter diesem Thema wird beschrieben, wie ein Microsoft Azure-Administrator Ihrer Organisation Ihrem Azure-Speicherkonto (d. h. Containern und den Objekten in diesen Containern) expliziten Zugriff auf Snowflake gewähren kann. Bei diesem Vorgang werden die von Ihrem Snowflake-Konto verwendeten Subnetz-IDs für das Azure Virtual Network (VNet) zugelassen.

Diese Schritte müssen nur dann ausgeführt werden, wenn die Azure-Speicherfirewall so konfiguriert ist, dass der gesamte nicht autorisierte Datenverkehr zu Ihrem Azure-Speicherkonto blockiert wird.

Wichtig

Für diese Sicherheitsfunktion muss sich Ihr Speicherkonto derzeit in derselben Azure-Region wie Ihr Snowflake-Konto befinden.

So lassen Sie Snowflake-VNet-Subnetz-IDs zu:

  1. Melden Sie sich mit einem beliebigen unterstützten Client bei Ihrem Snowflake-Konto an.

  2. Führen Sie USE ROLE aus, um ACCOUNTADMIN als aktive Rolle für die Benutzersitzung festzulegen.

    USE ROLE ACCOUNTADMIN;
    
  3. Fragen Sie die Funktion SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO ab, um die IDs des VNet-Subnetzes abzurufen, in dem sich Ihr Snowflake-Konto befindet:

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    

    Notieren Sie sich die von der Abfrage zurückgegebenen VNet-Subnetz-IDs.

  4. Melden Sie sich bei Ihrer bevorzugten Azure-Befehlszeilenschnittstelle an.

  5. Verwenden Sie den folgenden Befehl, um den Zugriff auf Ihr Speicherkonto für alle Snowflake-VNet-Subnetze-IDs zuzulassen:

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    

    Wobei:

    • Kontoname ist der Name des Azure-Speicherkontos, dem Sie Zugriff auf Snowflake gewähren.

    • Snowflake-VNet-Subnetz-ID ist die erste der VNet-Subnetz-IDs, die von der Funktion SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO zurückgegeben werden. Führen Sie den Befehl einmal für jede VNet-Subnetz-ID aus.

    Beispiel:

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    

    Bemerkung

    Der Azure-Client gibt möglicherweise einen Fehler zurück, der dem folgenden ähnelt:

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    

    Der Fehler weist darauf hin, dass Ihr Azure-Speicherkonto möglicherweise keine Verbindungen zu Snowflake initiiert, da diese Berechtigungen nicht erteilt wurden. Sie können diesen Fehler ignorieren. Die Zulassungsfunktion wird dadurch nicht blockiert.

Weitere Optionen zum Verwalten von Regeln für Ihr virtuelles Netzwerk finden Sie in der Azure-Dokumentation.

Wenden Sie sich an den Azure-Administrator Ihrer Organisation, wenn Sie Hilfe zu diesem Konfigurationsvorgang oder einem der anderen Azure-Konfigurationsschritte benötigen.

Nächstes Thema: Konfigurieren eines Azure-Containers zum Laden von Daten