Snowflake Data Clean Room: Azure Blobストレージからの外部データ¶
Snowflake Data Clean Room で分析されるデータは、Snowflakeネイティブであり、クラウドプロバイダーストレージの外部、またはその両方に存在することができます。 connector により、共同作業者はクリーンルーム内からクラウドプロバイダーの外部データにアクセスできます。
外部データコネクタは、 Snowflake外部テーブル を使用してデータを利用できるようにします。クリーンルーム内で外部テーブルをリンクさせることは、セキュリティ上のリスクが高まることに注意してください。その結果、コンシューマーが外部データを含めるためにコネクタを使用する前に、プロバイダーはクリーンルーム内で外部テーブルの使用を明示的に許可しなければなりません。プロバイダーが外部データコネクタを使用する場合、コンシューマーは外部テーブルが使用されていることを警告され、クリーンルームをインストールするかどうかを決めることができます。
このトピックでは、クリーンルームのアナリストがAzure Blob Storageから外部データにアクセスできるようにするためのコネクタの使用方法について説明します。
重要
サードパーティコネクタは、Snowflake提供ではないため、追加条件が適用される場合があります。これらの統合は、お客様の便宜のために提供されるものですが、統合に送受信されるコンテンツについては、お客様が責任を負うものとします。
お客様は、Snowflake Data Clean Roomsの使用に関連して必要な同意を取得する責任を負うものとします。アクティベーションを目的としたサードパーティコネクタとの接続も含め、Snowflake Data Clean Roomsを使用する際は、適用される法律および規制を遵守していることを確認してください。
前提条件¶
外部データ用コネクタを使用するには:
プロバイダーは、明示的に クリーンルーム内での外部テーブルの使用を許可しなければなりません。
ファイルはParquet形式でなければなりません。
Azure Blob Storageへの接続¶
クリーンルームのコラボレーターがAzure Blob Storageからデータにアクセスできるようにする手順は以下のとおりです。
Azureでは、 ブロブストレージの識別子を取得 します。
クリーンルーム環境では、 コネクタを作成 します。
クリーンルーム環境を使用して、 コネクタに許可を付与する プロセスを開始し、Microsoftでプロセスを完了します。
クリーンルーム環境では、 Azure でコネクタを認証 します。
以下のセクションでは、これらの手順について詳しく説明します。
ブロブストレージに関連する識別子を取得する¶
クリーンルームコネクタには、Azure Blob Storageに関連付けられたテナントIDと、クリーンルームがアクセスする必要があるブロブストレージを一意に識別するURLが必要です。コネクタを作成する前に、これら両方の識別子をAzureから取得する必要があります。
注釈
Microsoftは、Azure Active Directoryの名称をMicrosoft Entra ID に変更しました。
Azure Blob StorageとMicrosoft Entra ID間の信頼関係を確立するテナントIDを取得するには、以下の手順に従います。
Microsoft Azureポータルにサインインします。
ホームダッシュボードから、 Microsoft Entra ID » Properties を選択します。
Tenant ID フィールドを見つけ、コピーアイコンを選択します。この識別子は、 コネクタを作成 するときに使用します。
ブロブストレージを一意に識別するURLを取得するには:
Microsoft Azureポータルにサインインします。
ホームダッシュボードから、 Storage Accounts を選択します。
リストにブロブストレージフォルダーが表示されるまで、ストレージアカウントをナビゲートします。このフォルダーには、クリーンルームに含めるデータが含まれている必要があります。
リストでブロブストレージフォルダーを見つけ、 ... その他のメニュー » Copy URL を選択します。この識別子は、 コネクタを作成 するときに使用します。
コネクタを作成し、サービスプリンシパルの識別子をコピーします。¶
これで、クリーンルーム環境でコネクタを作成する準備が整いました。コネクタを作成したら、クリーンルーム環境に関連付けられているAzureサービスプリンシパルの識別子をコピーする必要があります。
クリーンルーム環境でコネクタを作成するには:
メールアドレスを入力し、 Continue を選択します。
パスワードを入力してください。
複数のクリーンルーム環境に関連している場合は、使用するSnowflakeアカウントを選択します。
左のナビゲーションで、 Connectors を選択し、 Microsoft Azure セクションを展開します。
Tenant ID フィールドに、 前のステップ でコピーしたテナント ID を入力します。
Path URL フィールドに、 前のステップ でコピーしたブロブストレージの URL を入力し、URL の
https://
をazure://
に置き換えます。Create を選択します。
コピーアイコンを使用して、クリーンルーム環境に関連付けられている Azure service principal の識別子をコピーし、次のタスクのために保存します。Azureは、サービスプリンシパルを使用してアプリケーションへのアクセスを許可します。
コネクタへアクセス許可を付与する¶
クリーンルームでは、Azure Blob Storageの外部データへのアクセス許可が必要です。これらの許可を与えるプロセスは、クリーンルーム環境で始まり、Microsoftで終わります。
コネクタに権限を付与するには:
クリーンルーム環境で Connectors を選択し、 Microsoft Azure セクションを展開します。クリーンルームからサインアウトされた場合は、 ウェブアプリにサインインする をご参照ください。
Consent URL を選択します。Microsoftダイアログが表示されます。
Microsoftのダイアログで、 Consent on behalf of your organization が選択されていることを確認し、 Accept を選択します。
Microsoftは、クリーンルーム環境に関連付けられたAzureサービスプリンシパルに、テナント内のブロブストレージへのアクセストークンを付与します。
新しいブラウザウィンドウで、Microsoft Azureポータルにサインインします。
ホームダッシュボードから、 Storage Accounts を選択します。
ブロブストレージを含むストレージアカウントを選択します。
Access Control (IAM) を選択します。
Add role assignment を選択します。
Azure service principal に読み取り専用アクセスを許可するには、 Storage Blob Data Reader を選択し、次に Next を選択します。
Members タブで、 + Select members を選択します。
クリーンルーム環境に関連するサービス責任者を検索できます。その識別子を 前のステップ でコピーしました。
Tip
Microsoftは、クリーンルーム環境用のサービスプリンシパルを作成するのに1時間以上かかることがあります。リストにサービスプリンシパルが見つからない場合は、1~2時間待ってから再度この手順を実行してください。
Review + assign を選択します。
コネクタの認証コード¶
これで、コネクタを認証してAzure Blob Storageにアクセスできるようにする準備ができました。コネクタを認証するためには:
クリーンルーム環境で Connectors を選択し、 Microsoft Azure セクションを展開します。クリーンルームからサインアウトされた場合は、 ウェブアプリにサインインする をご参照ください。
接続先のブロブストレージを選択してから、 Authenticate を選択します。
AWSの外部データへのアクセスを削除する¶
クリーンルーム環境からAzure Blob Storageへのアクセスを削除するには:
メールアドレスを入力し、 Continue を選択します。
パスワードを入力してください。
複数のクリーンルーム環境に関連している場合は、使用するSnowflakeアカウントを選択します。
左のナビゲーションで、 Connectors を選択し、 Microsoft Azure セクションを展開します。
現在接続されているブロブストレージを見つけ、ゴミ箱アイコンを選択します。