VNet サブネット IDs の許可

このトピックでは、組織のAzure管理者により、Microsoft Azureストレージアカウント(つまり、コンテナーとコンテナー内のオブジェクト)に対するSnowflakeのアクセスを明示的に許可する方法を説明します。このプロセスには、SnowflakeアカウントのAzure Virtual Network(VNet)サブネット IDs を許可することが含まれます。

これらの手順を完了する必要があるのは、Azureストレージアカウントへのすべての不正なトラフィックをブロックするように Azureストレージファイアウォール が構成されている場合 のみ です。

重要

現在、このセキュリティ機能を使用するには、ストレージアカウントがSnowflakeアカウントと同じAzure 地域 に存在する必要があります。

Snowflake VNet サブネット IDs を許可するには、

  1. サポートされている任意のクライアントを使用して、Snowflakeアカウントにログインします。

  2. USE ROLE を実行して、 ACCOUNTADMIN をユーザーセッションのアクティブなロールとして設定します。

    USE ROLE ACCOUNTADMIN;
    
  3. SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 関数をクエリして、Snowflakeアカウントが存在する VNet サブネットの IDs を取得します。

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    

    クエリによって返された VNet サブネット IDs を記録します。

  4. お好みのAzureコマンドラインインターフェイスにログインします。

  5. 次のコマンドを実行して、各Snowflake VNet サブネット IDs を許可し、ストレージアカウントにアクセスします。

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    

    条件:

    • アカウント名 は、Snowflakeへのアクセスを許可するAzureストレージアカウントの名前です。

    • Snowflake VNetサブネットID は 、SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 関数によって返される最初の VNet サブネット IDs です。各 VNet サブネット ID に対してコマンドを1回実行します。

    例:

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    

    注釈

    Azureクライアントは、次のようなエラーを返す場合があります。

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    

    エラーは、AzureストレージアカウントがSnowflakeへの接続を開始できない場合があることを示します。これらのアクセス許可が付与されていないためです。このエラーは無視できます。許可機能はブロックされません。

仮想ネットワークルールを管理するための追加オプションについては、 Azureドキュメント をご参照ください。

この構成プロセス、またはその他のAzure構成ステップに関するヘルプについては、組織のAzure管理者にお問い合わせください。

次: データをロードするためのAzureコンテナーの構成