允许访问 Google Cloud Storage

如果您的 Google Cloud 组织会强制实施 域限制约束 (https://cloud.google.com/resource-manager/docs/organization-policy/restricting-domains),则 Google Cloud 管理员必须允许域限制中的 Google Workspace 客户 ID,以便 Snowflake 服务账户可以访问您的存储。

重要

如果您的 Google Cloud 组织是在 2024 年 5 月 3 日当天或之后创建的,则 Google Cloud Platform 会强制在项目组织策略中实施 域限制约束 (https://cloud.google.com/resource-manager/docs/organization-policy/restricting-domains)。默认约束会将您的域列为唯一允许的值。

要允许 Snowflake 服务账户访问您的存储,您必须 更新域限制

检索 Google Workspace 客户 ID

在更新组织策略之前,您必须先检索与 Snowflake 服务账户关联的 Google Workspace 客户 ID。

调用 SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 函数:

SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
Copy

该函数会返回项目 ID 和 Snowflake 服务账户的 Google Workspace 客户 ID (snowflake-customer-directory-id)。

输出示例:

{
  "snowflake-project-id":["preprod-deployment1-a12b"],
  "snowflake-customer-directory-id":["A01bcd2ef"]
}

更新域约束的允许列表

要更新域约束的允许列表,必须更新组织策略。具体而言,您必须将 Snowflake 服务账户的 Google Workspace 客户 ID 添加到约束中的 allowed_values 列表。

有关说明,请参阅 Google Cloud 文档中的 设置组织策略 (https://cloud.google.com/resource-manager/docs/organization-policy/restricting-domains#setting_the_organization_policy)。

语言: 中文