VNet サブネット IDs の許可¶
このトピックでは、組織内のAzure管理者により、Microsoft Azureストレージアカウント(つまり、コンテナー、コンテナー内のオブジェクト、およびストレージキュー)に対するSnowflakeのアクセスを明示的に許可する方法を説明します。このプロセスには、SnowflakeアカウントのAzure Virtual Network(VNet)サブネット IDs を許可することが含まれます。
これらの手順を完了する必要があるのは、Azureストレージアカウントへのすべての不正なトラフィックをブロックするように Azureストレージファイアウォール が構成されている場合 のみ です。
重要
現在、このセキュリティ機能を使用するには、ストレージアカウントがSnowflakeアカウントと同じAzure 地域 に存在する必要があります。
Snowflake VNet サブネット IDs を許可するには、
サポートされている任意のクライアントを使用して、Snowflakeアカウントにログインします。
USE ROLE を実行して、 ACCOUNTADMIN をユーザーセッションのアクティブなロールとして設定します。
USE ROLE ACCOUNTADMIN;
SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 関数をクエリして、Snowflakeアカウントが存在する VNet サブネットの IDs を取得します。
SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
クエリによって返された VNet サブネット IDs の両方を記録します。
お好みのAzureコマンドラインインターフェイスにログインします。
次のコマンドを実行して、ストレージアカウントにアクセスできるように、各Snowflake VNet サブネット ID を許可します。SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 関数によって返されるサブネット IDs ごとに、コマンドを1回実行する必要があります。
$ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"条件:
account_nameは、Snowflakeへのアクセスを許可するAzureストレージアカウントの名前です。snowflake_vnet_subnet_idは 、SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 関数によって返される最初の VNet サブネット IDs です。
例:
$ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"注釈
Azureクライアントは、次のようなエラーを返す場合があります。
Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
エラーは、AzureストレージアカウントがSnowflakeへの接続を開始できない場合があることを示します。これらのアクセス許可が付与されていないためです。このエラーは無視できます。許可機能はブロックされません。
仮想ネットワークルールを管理するための追加オプションについては、 Azureドキュメント をご参照ください。
この構成プロセス、またはその他のAzure構成ステップに関するヘルプについては、組織のAzure管理者にお問い合わせください。