Autorisation des IDs du sous-réseau VNet

Cette rubrique décrit comment un administrateur Azure de votre organisation peut explicitement accorder à Snowflake un accès à votre compte de stockage Azure (c’est-à-dire à vos conteneurs et aux objets qu’ils contiennent). Le processus implique l’autorisation des IDs de sous-réseau Azure Virtual Network (VNet) pour votre compte Snowflake.

Il est nécessaire de suivre ces instructions uniquement si le pare-feu de stockage Azure est configuré pour bloquer tout trafic non autorisé vers votre compte de stockage Azure.

Important

Cette fonctionnalité de sécurité nécessite actuellement que votre compte de stockage se trouve dans la même région Azure que votre compte Snowflake.

Pour autoriser les IDs sous-réseau VNet Snowflake :

  1. Connectez-vous à votre compte Snowflake à l’aide de n’importe quel client pris en charge.

  2. Exécutez USE ROLE pour définir ACCOUNTADMIN comme rôle actif pour la session utilisateur.

    USE ROLE ACCOUNTADMIN;
    
  3. Interrogez la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO pour récupérer les IDs du sous-réseau VNet dans lequel se trouve votre compte Snowflake :

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    

    Enregistrez les IDs du sous-réseau VNet renvoyés par la requête.

  4. Connectez-vous à votre interface de ligne de commande Azure préférée.

  5. Exécutez la commande suivante pour autoriser chacun des IDs du sous-réseau VNet Snowflake, afin d’accéder à votre compte de stockage :

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    

    Où :

    • nom_compte est le nom du compte de stockage Azure auquel vous accordez l’accès à Snowflake.

    • id_sous_réseau_vnet_snowflake est le premier des IDs de sous-réseau VNet renvoyés par la fonction SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO. Exécutez la commande une fois pour chaque ID de sous-réseau VNet.

    Par exemple :

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    

    Note

    Le client Azure peut renvoyer une erreur similaire à celle-ci :

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    

    L’erreur indique que votre compte de stockage Azure peut ne pas établir de connexion à Snowflake, car ces autorisations ne sont pas accordées. Vous pouvez ignorer cette erreur. Cela ne bloquera pas la fonction d’autorisation.

Pour plus d’options pour la gestion de vos règles de réseau virtuel, voir la documentation Azure.

Pour obtenir une aide concernant ce processus de configuration ou l’une des autres étapes de configuration Azure, veuillez contacter l’administrateur Azure de votre entreprise.

Suivant : Configuration d’un conteneur Azure pour le chargement de données