Permissão de IDs da sub-rede VNet

Este tópico descreve como um administrador Azure em sua organização pode conceder explicitamente ao Snowflake acesso à sua conta de armazenamento do Microsoft Azure (ou seja, seus contêineres, os objetos contidos nesses contêineres e suas filas de armazenamento). O processo envolve permitir as IDs da sub-rede do Azure Virtual Network (VNet) para sua conta Snowflake.

O preenchimento dessas instruções é necessário somente se o firewall de armazenamento Azure estiver configurado para bloquear todo o tráfego não autorizado para sua conta de armazenamento Azure.

Importante

Esse recurso de segurança requer atualmente que sua conta de armazenamento esteja localizada na mesma região Azure que sua conta Snowflake.

Para permitir as IDs da sub-rede VNet do Snowflake:

  1. Faça login em sua conta Snowflake usando qualquer cliente compatível.

  2. Execute USE ROLE para definir ACCOUNTADMIN como a função ativa da sessão do usuário.

    USE ROLE ACCOUNTADMIN;
    
    Copy
  3. Consulte a função SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO para recuperar as IDs da sub-rede VNet na qual sua conta Snowflake está localizada:

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    
    Copy

    Registre as IDs de subrede da VNet retornadas pela consulta.

  4. Faça login em sua interface preferida de linha de comando Azure.

  5. Execute o seguinte comando para permitir que cada ID de sub-rede VNet do Snowflake acesse sua conta de armazenamento. Você deve executar o comando uma vez para cada uma das IDs de sub-rede retornadas pela função SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO:

    $ az storage account network-rule add --account-name <account_name> --resource-group myRG --subnet "<snowflake_vnet_subnet_id>"
    
    Copy

    Onde:

    • account_name é o nome da conta de armazenamento Azure à qual você está concedendo acesso ao Snowflake.

    • snowflake_vnet_subnet_id é a primeira das IDs da sub-rede VNet retornada pela função SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO.

    Por exemplo:

    $ az storage account network-rule add --account-name my_storage_account --resource-group myRG --subnet "/subscriptions/abcd1234-0123-456e-78f9-1a2bcde3ef4g5/resourceGroups/otherRG/providers/Microsoft.Network/virtualNetworks/otherVNET/subnets/default"
    
    Copy

    Nota

    O cliente Azure pode retornar um erro semelhante a este:

    Unable retrieve endpoint status for one or more subnets. Status 'insufficent permissions' indicates lack of subnet read permissions ('Microsoft.Network/virtualNetworks/subnets/read').
    
    Copy

    O erro indica que sua conta de armazenamento Azure não pode iniciar conexões com o Snowflake porque essas permissões não foram concedidas. Você pode ignorar esse erro. Ele não bloqueará o recurso de permissão.

Para opções adicionais para gerenciar suas regras de rede virtual, consulte a documentação do Azure.

Para obter ajuda com o processo de configuração ou qualquer outra etapa de configuração do Azure, entre em contato com o administrador Azure de sua organização.

Próximo: Configuração de um contêiner Azure para carregamento de dados