Set up Openflow - Snowflake Deployment: Create Snowflake role

Openflow - Snowflake Deployment nécessite la création d’un certain nombre de ressources qui sont spécifiques non pas à un déploiement, mais à une exécution spécifique. En général, ces ressources comprennent :

  • Creation of Runtime specific Snowflake role

  • Création de règles réseau et d’intégrations d’accès externes (EAI) spécifiques aux exécutions

Cette rubrique décrit la création de ces ressources.

  1. Create a Snowflake Role and associated privileges to write data to Snowflake Role for Runtimes on Snowflake Deployment Section

  2. Associate Snowflake Role. See Snowflake Role for Runtimes in the Snowflake Deployment Section.

  3. Créer des intégrations d’accès externes et les associer à des exécutions Consultez Création d’intégrations d’accès externes.

  4. Une connexion PrivateLink sortante est requise pour se connecter à un système privé à l’aide d’une sortie SPCS.

Create a Snowflake role

When creating and editing Openflow Runtimes, Runtime Owners will have the ability to associate a role with the Runtime. This role will be used for flows that execute within the Runtime. For more information about Snowflake Roles, see What is a Snowflake role?.

Note

As OPENFLOW_ADMIN, you’ll create the Snowflake role and grant it to OPENFLOW_ADMIN, so that users granted that role are authorized to set this role on the Runtime.

Creating a Snowflake role is a prerequisite for creating a Runtime and involves the following steps:

  1. Créer le rôle en lui-même

  2. Accordez au rôle l’accès à l’entrepôt utilisé par l’exécution.

  3. Accordez au rôle l’accès aux objets Snowflake utilisés par l’exécution.

  4. Accordez au rôle l’accès aux intégrations d’accès externes utilisées par l’environnement d’exécution.

To create a Snowflake role:

  1. Create the required Snowflake role.

    Note

    <RUNTIMENAME> indique le nom de l’exécution associée.

    USE ROLE OPENFLOW_ADMIN;

CREATE ROLE IF NOT EXISTS OPENFLOW_RUNTIME_ROLE_<RUNTIMENAME>;

GRANT ROLE OPENFLOW_RUNTIME_ROLE_<RUNTIMENAME> TO ROLE OPENFLOW_ADMIN;
    Copy

  2. Allow the Snowflake role to use an existing warehouse that you are planning to use for data ingestion. Use this warehouse later when configuring your connectors for runtimes where you will be using this Snowflake role.

    GRANT USAGE, OPERATE ON WAREHOUSE <OPENFLOW_INGEST_WAREHOUSE> TO ROLE OPENFLOW_RUNTIME_ROLE_<RUNTIMENAME>;
    Copy

  3. Allow the Snowflake role to use, create or otherwise access Snowflake objects.

    Note

    En fonction du connecteur Openflow créé, les objets sous-jacents requis varieront. L’exemple ci-dessous est présenté à titre indicatif seulement.

    GRANT USAGE ON DATABASE <OPENFLOW_SPCS_DATABASE> TO ROLE OPENFLOW_RUNTIME_ROLE_<RUNTIMENAME>;
GRANT USAGE ON SCHEMA <OPENFLOW_SPCS_SCHEMA> TO ROLE OPENFLOW_RUNTIME_ROLE_<RUNTIMENAME>;
    Copy

Créer des règles réseau et des intégrations d’accès externes

Le modèle de sécurité de Snowflake fournit un accès sécurisé à des points de terminaison et à des systèmes externes à Snowflake à l’aide de politiques réseau.

Deux éléments clés des politiques réseau sont les Règles de réseau et les intégrations d’accès externes (EAI). Chacun de ces éléments est utilisé pour fournir un accès sécurisé aux ressources externes requises par l’exécution.

Il existe trois étapes nécessaires pour créer des règles réseau et des intégrations d’accès externes :

  1. Créer la règle réseau, en regroupant les identificateurs de réseau en zones logiques.

  2. Create the external access integration (EAI), specifying the list of network rules and assuring the Snowflake Role has USAGE on the EAI.

  3. Associer l’EAI à l’exécution dans l’UI d’Openflow lors de la création d’exécutions.

Pour créer la règle réseau et l’EAI requises, procédez comme suit :

Note

Ces exemples utilisent RUNTIME_NAME comme caractère de remplacement pour le nom de l’exécution en cours de création.

  1. Créez une règle réseau appropriée. Voir CREATE NETWORK RULE pour plus d’informations.

    Note

    <OPENFLOW_DATABASE> indique le nom de la base de données qui contiendra la règle réseau. Snowflake suggère de créer une base de données spécifique pour les règles réseau et les intégrations d’accès externes liées à Openflow.

    USE DATABASE <OPENFLOW_DATABASE>;

CREATE OR REPLACE NETWORK RULE OPENFLOW_<RUNTIME_NAME>_NETWORK_RULE
    MODE = EGRESS
    TYPE = HOST_PORT
    VALUE_LIST = ('comma separated list of host:port pairs');
    Copy

  2. Créez l’intégration externe associée. Voir CREATE EXTERNAL ACCESS INTEGRATION pour plus d’informations.

    USE ROLE ACCOUNTADMIN;

CREATE OR REPLACE EXTERNAL ACCESS INTEGRATION OPENFLOW_<RUNTIME>_EAI
   ALLOWED_NETWORK_RULES = (OPENFLOW_<RUNTIME_NAME>_NETWORK_RULE)
   ENABLED = TRUE;
    Copy

  3. Grant access to the EAI to the previously created Snowflake role.

    GRANT USAGE ON INTEGRATION OPENFLOW_<RUNTIME_NAME>_EAI TO ROLE OPENFLOW_RUNTIME_ROLE_<RUNTIME_NAME>;
    Copy

Prochaines étapes

Créer une exécution

Langage: Français