Snowflake Data Clean Room:Google Cloud Platform 的外部数据

备注

Snowflake Data Clean Rooms 目前不支持数据主体同意管理。客户有责任确保其已获得使用其 Clean Room 中关联的数据的所有必要权利和同意。客户在使用 Data Clean Room 时还必须确保遵守所有适用的法律和法规,包括与第三方连接器的连接。

Snowflake Data Clean Room 中分析的数据可以是 Snowflake 的原生数据,也可以是云提供商存储中的外部数据,或两者兼而有之。连接器 允许协作者从 Clean Room 内访问云提供商的外部数据。

外部数据连接器使用 Snowflake External Tables 来提供数据。请注意,在 Clean Room 中链接 External Tables 会增加安全风险。因此,在使用者使用连接器包含外部数据之前,提供商必须明确允许在 Clean Room 中使用 External Tables。如果提供商使用外部数据连接器,则系统会警告使用者正在使用 External Tables,以便他们决定是否安装 Clean Room。

本主题介绍如何使用连接器,以便 Clean Room 分析师使用 Google Cloud Platform 桶访问外部数据。

重要

第三方连接器不由 Snowflake 提供,并可能受附加条款的约束。 提供这些集成是为了方便您的使用,但您必须对从这些集成发送或接收的任何内容负责。

客户有责任获得与使用 Snowflake Data Clean Room 有关的任何必要同意。请确保您在使用 Snowflake Data Clean Room 时遵守适用的法律和法规,包括与用于激活目的的第三方连接器相关的法律和法规。

先决条件

要使用外部数据的连接器,请执行以下操作:

连接到 Google Cloud Platform 桶

要允许 Clean Room 协作者访问来自 Google Cloud Platform (GCP) 存储空间的数据,包括以下步骤:

  1. 在 GCP 中,获取 GCP 桶的 URL

  2. 在 Clean Room 环境中,创建连接器

  3. 在 GCP 中,为连接器授予权限

  4. 在 Clean Room 环境中,使用 GCP 对连接器进行身份验证

以下各部分将更详细地讨论这些步骤。

获取 GCP 桶的 URL

Clean Room 连接器需要 GCP 存储桶的 URL 才能访问数据。在创建连接器之前,您必须:

  1. 以项目编辑者的身份登录 Google Cloud Platform Console。

  2. 在控制台仪表板中,选择 Cloud Storage » Browser

  3. 选择包含您要从 Clean Room 访问的数据的桶,然后导航到该数据的位置。桶不能为空。

  4. 选择复制图标以复制存储桶的 URL 并将其保存,以供下一个任务使用。

创建连接器并复制服务账户标识符

现在,您可以在 Clean Room 环境中创建连接器。创建连接器后,您需要复制有关其服务账户的详细信息,以便它与 GCP 中的桶相关联。要在 Clean Room 环境中创建连接器,请执行以下步骤:

  1. 导航至 Snowflake Data Clean Room 登录页面

  2. 输入电子邮件地址,然后选择 Continue

  3. 输入密码。

  4. 如果您与多个 Clean Room 环境相关联,请选择要使用的 Snowflake 账户。

  5. 在左侧导航栏中,选择 Connectors,然后展开 Google Cloud 部分。

  6. Storage bucket URL 字段中,输入您从 GCP 中复制的 URL,然后在 URL 中将 https:// 替换为 gcs://

  7. 选择 Create。Clean Room 会生成一个用于访问 GCP 的服务账户。

  8. 使用复制图标复制服务账户的标识符,并将其保存,以供下一个任务使用。

为连接器授予权限

Clean Room 需要权限才能访问 GCP 桶中的外部数据。授予这些权限包括为连接器的服务账户创建一个专用 GCP 角色,然后将该服务账户添加为 GCP 桶的委托人。

要为连接器的服务账户创建专用 GCP 角色,请执行以下操作:

  1. 以项目编辑者身份登录 Google Cloud Platform Console。

  2. 在控制台仪表板中,选择 IAM & admin » Roles

  3. 选择 Create Role

  4. 输入角色的名称和描述。

  5. 选择 Add Permissions,然后添加以下权限:

  • storage.buckets.get

  • storage.objects.list

  • storage.objects.get

现在您已经创建了专用角色,可以将连接器的服务账户关联为 GCP 桶的委托人了。要关联服务账户,请执行以下操作:

  1. 以项目编辑者的身份登录 Google Cloud Platform Console。

  2. 在控制台仪表板中,选择 Cloud Storage » Browser

  3. 选择包含外部数据的桶。

  4. 选择 Show Info Panel。信息面板会滑动打开。

    显示 Google Cloud Platform 桶的信息面板

  5. 选择 Add Principals

  6. New Principals 文本框中,粘贴您从 Clean Room 复制的服务账户标识符。

  7. Select a role 下拉列表中,选择您为服务账户创建的专用角色。

对连接器进行身份验证

现在,您可以对连接器进行身份验证,以确保它可以访问 GCP 桶。要对连接器进行身份验证,请执行以下步骤:

  1. 在 Clean Room 的左侧导航栏中,选择 Connectors 并展开 Google Cloud 部分。如果您已退出 Clean Room,请参阅 登录 Web 应用程序

  2. 选择您要连接的 GCP 桶,然后选择 Authenticate

移除在 GCP 上访问外部数据的权限

要从 Clean Room 环境中移除对 GCP 桶的访问权限,请执行以下操作:

  1. 导航至 Snowflake Data Clean Room 登录页面

  2. 输入电子邮件地址,然后选择 Continue

  3. 输入密码。

  4. 如果您与多个 Clean Room 环境相关联,请选择要使用的 Snowflake 账户。

  5. 在左侧导航栏中,选择 Connectors,然后展开 Google Cloud 部分。

  6. 找到当前连接的 GCP 桶,然后选择垃圾桶图标。

语言: 中文