Autorisation des IDs du sous-réseau VNet

Cette rubrique décrit comment un administrateur Azure de votre organisation peut explicitement accorder à Snowflake un accès à votre compte de stockage Azure (c’est-à-dire à vos conteneurs, aux objets qu’ils contiennent et vos files d’attente de stockage). Le processus implique l’autorisation des IDs de sous-réseau Azure Virtual Network (VNet) pour votre compte Snowflake.

Il est nécessaire de suivre ces instructions uniquement si le pare-feu de stockage Azure est configuré pour bloquer tout trafic non autorisé vers votre compte de stockage Azure.

Important

Cette fonctionnalité de sécurité nécessite actuellement que votre compte de stockage se trouve dans la même région Azure que votre compte Snowflake.

Pour autoriser les IDs sous-réseau VNet Snowflake :

  1. Connectez-vous à votre compte Snowflake à l’aide de n’importe quel client pris en charge.

  2. Exécutez USE ROLE pour définir ACCOUNTADMIN comme rôle actif pour la session utilisateur.

    USE ROLE ACCOUNTADMIN;
    
    Copy
  3. Interrogez la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO pour récupérer les IDs du sous-réseau VNet dans lequel se trouve votre compte Snowflake :

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    
    Copy

    Enregistrez les deux IDs du sous-réseau VNet renvoyés par la requête.

  4. Connectez-vous à votre interface de ligne de commande Azure préférée.

  5. Exécutez la commande suivante pour autoriser chacun des ID du sous-réseau VNet Snowflake, afin d’accéder à votre compte de stockage. Vous devez exécuter la commande une fois pour chacun des IDs du sous-réseau renvoyés par la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO :

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    
    Copy

    Où :

    • account_name est le nom du compte de stockage Azure auquel vous accordez l’accès à Snowflake.

    • snowflake_vnet_subnet_id est le premier des IDs du sous-réseau VNet renvoyés par la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO.

    Par exemple :

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    
    Copy

    Note

    Le client Azure peut renvoyer une erreur similaire à celle-ci :

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    
    Copy

    L’erreur indique que votre compte de stockage Azure peut ne pas établir de connexion à Snowflake, car ces autorisations ne sont pas accordées. Vous pouvez ignorer cette erreur. Cela ne bloquera pas la fonction d’autorisation.

Pour plus d’options pour la gestion de vos règles de réseau virtuel, voir la documentation Azure.

Pour obtenir une aide concernant ce processus de configuration ou l’une des autres étapes de configuration Azure, veuillez contacter l’administrateur Azure de votre entreprise.

Suivant : Configuration d’un conteneur Azure pour le chargement de données