允许虚拟私有云 IDs

本主题描述了您组织中的 AWS 管理员如何明确授予 Snowflake 对 AWS S3 存储账户(即桶以及这些桶中的对象)的访问权限。该过程涉及为 Snowflake 账户允许 Amazon Virtual Private Cloud (Amazon VPC) IDs。

重要

此安全功能当前要求 S3 桶与 Snowflake 账户位于同一 AWS 区域

若要为 Snowflake 账户允许 Amazon VPC IDs,请执行以下操作:

  1. 使用任何支持的客户端登录 Snowflake 账户。

  2. 执行 USE ROLE,将 ACCOUNTADMIN 设置为用户会话的活动角色。

    USE ROLE ACCOUNTADMIN;
    Copy

  3. 查询 SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO 函数,以检索 Snowflake 账户所在的 AWS 虚拟网络 (VNet) 的 IDs:

    SELECT SYSTEM$GET_SNOWFLAKE_PLATFORM_INFO();
    Copy

    记录查询返回的 VPC IDs。

  4. 通过创建一个 ` 针对特定 VPC 的 Amazon S3 策略 <https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html?shortFooter=true#example-bucket-policies-restrict-access-vpc (https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html?shortFooter=true#example-bucket-policies-restrict-access-vpc)>`_,来允许 VPC IDs。

  5. 为 Snowflake 提供一个可访问允许的 Amazon S3 桶的 AWS 身份和访问管理 (IAM) 角色,而不是 AWS 密钥。

如需有关此配置过程或任何其他 AWS 配置步骤的帮助,请联系您所在组织的 AWS 管理员。

下一步:配置对 Amazon S3 的安全访问

语言: 中文