Snowflake Data Clean Room : données externes provenant d’Azure Blob Storage

Les données analysées dans une Snowflake Data Clean Room peuvent être natives à Snowflake, résider en externe dans le stockage d’un fournisseur de cloud ou les deux. Un connecteur permet aux collaborateurs d’accéder aux données externes d’un fournisseur de cloud depuis la salle blanche.

Le connecteur de données externe utilise des tables externes Snowflake pour rendre les données disponibles. Soyez conscient qu’il existe un risque de sécurité accru associé à la liaison de tables externes dans une salle blanche. Par conséquent, le fournisseur doit autoriser explicitement l’utilisation de tables externes dans la salle blanche avant que les consommateurs puissent utiliser un connecteur pour inclure des données externes. Si le fournisseur utilise le connecteur de données externe, le consommateur est averti que des tables externes sont utilisées afin qu’il puisse décider d’installer ou non la salle blanche.

Cette rubrique décrit comment utiliser un connecteur pour que les analystes de salles blanches puissent accéder à des données externes à partir d’Azure Blob Storage.

Important

Les connecteurs tiers ne sont pas proposés par Snowflake et peuvent être soumis à des arguments supplémentaires. Ces intégrations sont mises à votre disposition pour votre commodité, mais vous êtes responsable de tout contenu envoyé ou reçu à partir des intégrations.

Les clients sont responsables de l’obtention de toutes les autorisations nécessaires à l’utilisation de Snowflake Data Clean Rooms. Veuillez vous assurer que vous respectez les lois et réglementations en vigueur lorsque vous utilisez Snowflake Data Clean Rooms, y compris en relation avec des connecteurs tiers à des fins d’activation.

Conditions préalables

Pour utiliser le connecteur pour les données externes :

Se connecter à Azure Blob Storage

Permettre aux collaborateurs de la salle blanche d’accéder aux données d’Azure Blob Storage consiste à suivre les étapes suivantes :

  1. Dans Azure, obtenez les identificateurs du stockage blob.

  2. Dans l’environnement de la salle blanche, créez le connecteur.

  3. Utilisez l’environnement de la salle blanche pour lancer le processus d” attribution des autorisations au connecteur, puis terminez le processus dans Microsoft.

  4. Dans l’environnement de la salle blanche, authentifiez le connecteur avec Azure.

Les sections suivantes décrivent ces étapes de manière plus détaillée.

Obtenir les identificateurs associés au stockage blob

Le connecteur de salle blanche a besoin de l’ID client associé à Azure Blob Storage et de l’URL qui identifie de manière unique le stockage blob auquel la salle blanche doit accéder. Avant de créer le connecteur, vous devez obtenir ces deux identificateurs auprès d’Azure.

Note

Microsoft a changé le nom d’Azure Active Directory en Microsoft Entra ID.

Pour obtenir l’ID de locataire qui établit une relation de confiance entre Azure Blob Storage et l’ID Microsoft Entra :

  1. Connectez-vous au portail Microsoft Azure.

  2. Dans le tableau de bord d’accueil, sélectionnez Microsoft Entra ID » Properties.

  3. Recherchez le champ Tenant ID et sélectionnez l’icône de copie. Vous utiliserez cet identificateur lorsque vous créerez le connecteur.

Pour obtenir l’URL qui identifie de manière unique le stockage en mode blob :

  1. Connectez-vous au portail Microsoft Azure.

  2. Dans le tableau de bord d’accueil, sélectionnez Storage Accounts.

  3. Naviguez dans le compte de stockage jusqu’à ce que le dossier de stockage blob apparaisse dans la liste. Ce dossier doit contenir les données que vous souhaitez inclure dans la salle blanche.

  4. Recherchez le dossier de stockage blob dans la liste et sélectionnez le menu plus » Copy URL. Vous utiliserez cet identificateur lorsque vous créerez le connecteur.

Créez le connecteur et copiez l’identificateur du principal de service

Vous êtes maintenant prêt à créer le connecteur dans l’environnement de la salle blanche. Une fois le connecteur créé, vous devrez copier l’identificateur du principal de service Azure qui est associé à l’environnement de la salle blanche.

Pour créer le connecteur dans votre environnement de salle blanche :

  1. Accédez à la page de connexion Snowflake Data Clean Rooms.

  2. Saisissez votre adresse e-mail et sélectionnez Continue.

  3. Entrez votre mot de passe.

  4. Si vous êtes associé à plusieurs environnements de salles blanches, sélectionnez le compte Snowflake que vous souhaitez utiliser.

  5. Dans la navigation de gauche, sélectionnez Connectors, puis développez la section Microsoft Azure.

  6. Dans le champ Tenant ID, entrez l’ID client que vous avez copié à l’étape précédente.

  7. Dans le champ Path URL, entrez l’URL du stockage blob que vous avez copiée dans l’étape précédente, puis remplacez https:// par azure:// dans l’URL.

  8. Sélectionnez Create.

  9. Utilisez l’icône de copie pour copier l’identificateur du Azure service principal qui est maintenant associé à l’environnement de la salle blanche, et enregistrez-le pour la tâche suivante. Azure utilise des principaux de service pour accorder l’accès aux applications.

Accorder des autorisations au connecteur

Les salles blanches ont besoin d’une autorisation d’accès aux données externes dans Azure Blob Storage. Le processus d’attribution de ces autorisations commence dans la salle blanche et se termine chez Microsoft.

Pour accorder des autorisations au connecteur :

  1. Dans l’environnement de la salle blanche, sélectionnez Connectors et développez la section Microsoft Azure. Si vous êtes déconnecté de la salle blanche, consultez Connectez-vous à l’application Web..

  2. Sélectionnez Consent URL. Une boîte de dialogue Microsoft apparaît.

  3. Dans la boîte de dialogue Microsoft, assurez-vous que Consent on behalf of your organization est sélectionné, puis sélectionnez Accept.

    Microsoft accorde au principal de service Azure associé à l’environnement de la salle blanche un jeton d’accès au stockage blob à l’intérieur de votre client.

  4. Dans une nouvelle fenêtre de navigateur, connectez-vous au portail Microsoft Azure.

  5. Dans le tableau de bord d’accueil, sélectionnez Storage Accounts.

  6. Sélectionnez le compte de stockage qui contient le stockage blob.

  7. Sélectionnez Access Control (IAM).

  8. Sélectionnez Add role assignment.

  9. Sélectionnez Storage Blob Data Reader pour accorder un accès en lecture seule au Azure service principal, puis sélectionnez Next.

  10. Dans l’onglet Members, sélectionnez + Select members.

  11. Recherchez le principal de service associé à l’environnement de la salle blanche. Vous avez copié son identificateur dans une étape précédente.

    Astuce

    Microsoft peut prendre plus d’une heure pour créer le principal de service pour l’environnement de la salle blanche. Si vous ne trouvez pas le principal de service dans la liste, attendez 1 à 2 heures, puis essayez à nouveau de réaliser cette étape.

  12. Sélectionnez Review + assign.

Authentifier le connecteur

Vous êtes maintenant prêt à authentifier le connecteur pour vous assurer qu’il peut accéder à Azure Blob Storage. Pour authentifier le connecteur :

  1. Dans l’environnement de la salle blanche, sélectionnez Connectors et développez la section Microsoft Azure. Si vous êtes déconnecté de la salle blanche, consultez Connectez-vous à l’application Web..

  2. Sélectionnez le stockage blob auquel vous vous connectez, puis sélectionnez Authenticate.

Supprimer l’accès aux données externes sur AWS

Pour supprimer l’accès à Azure Blob Storage à partir d’un environnement de salle blanche :

  1. Accédez à la page de connexion Snowflake Data Clean Rooms.

  2. Saisissez votre adresse e-mail et sélectionnez Continue.

  3. Entrez votre mot de passe.

  4. Si vous êtes associé à plusieurs environnements de salles blanches, sélectionnez le compte Snowflake que vous souhaitez utiliser.

  5. Dans la navigation de gauche, sélectionnez Connectors et développez la section Microsoft Azure.

  6. Recherchez le stockage blob actuellement connecté et sélectionnez l’icône de la corbeille.

Langage: Français