Stockage cloud sécurisé avec des étapes sans informations d’identification

Stockage cloud sécurisé avec des étapes sans informations d’identification


De nombreuses organisations connectent leur stockage cloud à Snowflake à l’aide d’étapes externes. Ils utilisent des étapes externes pour copier des données dans Snowflake à partir de leur stockage cloud et pour exécuter des requêtes sur des données dans des fichiers externes. Pour créer ces objets d’étape externes, les organisations ont dû fournir leurs informations d’identification pour s’authentifier auprès du stockage en nuage et également fournir l’URL.

Cependant, de nombreuses organisations ont des exigences strictes en matière de sécurité et de gouvernance et ne souhaitent pas partager les informations d’identification pour leur stockage dans le cloud. Dans certains cas, les organisations souhaitent également restreindre les emplacements de stockage cloud pouvant être connectés à Snowflake. Les scènes externes ne répondaient pas entièrement à ces exigences dans le passé.

Les étapes sans identifiant répondent à ces préoccupations en séparant les responsabilités entre l’administrateur Snowflake du service informatique et les utilisateurs de l’unité commerciale. Intégrations de stockage, un nouveau type d’objet, permet à un administrateur Snowflake de créer une politique de confiance entre Snowflake et le fournisseur de cloud. Lorsque Snowflake se connecte au stockage cloud de l’organisation, le fournisseur de cloud s’authentifie et autorise l’accès via cette politique de confiance. À l’aide d’une intégration de stockage donnée, l’administrateur peut également restreindre les emplacements de stockage cloud que Snowflake peut utiliser, ce qui permet à l’administrateur d’appliquer des politiques organisationnelles pour la sortie et l’entrée de données.

L’administrateur peut fournir des privilèges d’utilisation de l’intégration du stockage à des rôles moins privilégiés, tels que les utilisateurs professionnels, qui peuvent à leur tour créer des étapes externes qui font référence à l’intégration du stockage pour accéder aux données. L’administrateur et le créateur de l’étape ne transmettent aucune information d’identification à Snowflake à aucun moment.

Ci-dessous, vous pouvez voir un diagramme du processus d’utilisation des intégrations de stockage et des étapes sans informations d’identification.

Credential less stages

  1. Un administrateur crée une intégration de stockage. Par exemple,
create storage integration sfc_demo_storage_int
type = external_stage
storage_provider = S3
enabled = true
storage_aws_role_arn = 'aws role arn'
storage_allowed_locations = ('s3://sfc-demo-data/click-stream-data/website');

2. L’administrateur crée une politique d’approbation entre le fournisseur de cloud et Snowflake.

L’administrateur exécute la description sur l’objet d’intégration de stockage et utilise l’utilisateur Snowflake IAM pour créer une stratégie d’approbation.

describe storage integration sfc_demo_storage_int;

3. L’administrateur accorde des privilèges d’utilisation de l’intégration de stockage aux rôles utilisés par les utilisateurs métier.

grant usage on storage integration sfc_demo_storage_int to role business_analyst;

4. Les utilisateurs professionnels créent des étapes externes à l’aide de l’intégration du stockage.

create stage sshah_stage URL = 
's3://sfc-demo-data/click-stream-data/website/' storage_integration = 
sfc_demo_storage_int;

Snowflake prend en charge les intégrations de stockage pour Amazon Simple Storage Service (S3), Stockage Blob Azure, et Google Cloud Storage. Les administrateurs peuvent également créer des intégrations de stockage pour les cas d’utilisation inter-cloud. Par exemple, ils peuvent créer une intégration de stockage pour Azure Blob Storage sur un compte Snowflake exécuté dans AWS.

Les intégrations de stockage et les étapes externes sans informations d’identification permettent à l’administrateur de se connecter au stockage de manière sécurisée et gérable. Cette fonctionnalité est désormais généralement disponible dans Snowflake. En savoir plus sur les étapes sans identifiant Snowflake dans le Communauté de flocon de neige.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.