VNet 서브넷 IDs 허용하기¶
이 항목에서는 조직의 Azure 관리자가 Microsoft Azure 저장소 계정(즉, 컨테이너, 해당 컨테이너의 오브젝트 및 저장소 큐)에 Snowflake 액세스 권한을 명시적으로 부여할 수 있는 방법을 설명합니다. 이 프로세스에는 Snowflake 계정에 대해 Azure 가상 네트워크(VNet) 서브넷 IDs를 허용하는 작업이 포함됩니다.
Azure 저장소 방화벽 이 Azure 저장소 계정에 대한 모든 무단 트래픽을 차단하도록 구성된 경우에만 이러한 지침을 완료하면 됩니다.
중요
이 보안 기능을 사용하려면 현재 저장소 계정이 Snowflake 계정과 동일한 Azure 리전 에 있어야 합니다.
Snowflake VNet 서브넷 IDs를 허용하려면:
지원되는 클라이언트를 사용하여 Snowflake 계정에 로그인합니다.
USE ROLE 을 실행하여 ACCOUNTADMIN을 사용자 세션의 활성 역할로 설정합니다.
USE ROLE ACCOUNTADMIN;
SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 함수를 쿼리하여 Snowflake 계정이 위치한 VNet 서브넷의 IDs을 검색합니다.
SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
쿼리에서 반환된 VNet 서브넷 IDs를 기록합니다.
선호하는 Azure 명령줄 인터페이스에 로그인합니다.
다음 명령을 실행하여 각 Snowflake VNet 서브넷 ID가 저장소 계정에 액세스할 수 있도록 허용합니다. SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 함수에서 반환된 각 서브넷 ID에 대해 이 명령을 한 번 실행해야 합니다.
$ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"여기서
account_name은 Snowflake에 대한 액세스 권한을 부여하는 Azure 저장소 계정의 이름입니다.snowflake_vnet_subnet_id는 SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 함수에 의해 반환되는 첫 번째 VNet 서브넷 ID입니다.
예:
$ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"참고
Azure 클라이언트는 다음과 유사한 오류를 반환할 수 있습니다.
Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
이 오류는 해당 권한이 부여되지 않아 Azure 저장소 계정이 Snowflake에 연결하지 못할 수 있음을 나타냅니다. 이 오류는 무시할 수 있습니다. 이 오류는 허용 기능을 차단하지 않습니다.
가상 네트워크 규칙을 관리하기 위한 추가 옵션은 Azure 설명서 를 참조하십시오.
이 구성 프로세스 또는 다른 Azure 구성 단계에 대한 지원이 필요한 경우 조직의 Azure 관리자에게 문의하십시오.
다음 항목: 데이터를 로드하기 위해 Azure 컨테이너 구성하기