Herstellen einer Verbindung mit Und Verwalten von Snowflake in Microsoft Purview

In diesem Artikel wird beschrieben, wie Sie Snowflake registrieren und wie Sie snowflake in Microsoft Purview authentifizieren und mit Snowflake interagieren. Weitere Informationen zu Microsoft Purview finden Sie im Einführungsartikel.

Unterstützte Funktionen

Scanfunktionen

Beim Scannen einer Snowflake-Quelle unterstützt Microsoft Purview Folgendes:

• Extrahieren von technischen Metadaten, einschließlich:

  • Server
  • Datenbanken
  • Schemata
  • Tabellen, einschließlich der Spalten, Fremdschlüssel und Eindeutigkeitseinschränkungen
  • Ansichten einschließlich der Spalten
  • Gespeicherte Prozeduren, einschließlich des Parameterdatasets und resultsets
  • Funktionen einschließlich des Parameterdatasets
  • Rohre
  • Stages
  • Streams einschließlich der Spalten
  • Aufgaben
  • Sequences

• Abrufen der statischen Herkunft für Ressourcenbeziehungen zwischen Tabellen, Sichten, Streams und gespeicherten Prozeduren.

Für gespeicherte Prozeduren können Sie die Detailebene auswählen, die in den Scaneinstellungen extrahiert werden soll. Die Herkunft gespeicherter Prozeduren wird für Snowflake Scripting (SQL) und JavaScript-Sprachen unterstützt und basierend auf der Prozedurdefinition generiert.

Beim Einrichten einer Überprüfung können Sie eine oder mehrere Snowflake-Datenbanken vollständig basierend auf den angegebenen Namen oder Namensmustern überprüfen oder die Überprüfung auf eine Teilmenge von Schemas festlegen, die den angegebenen Namen oder Namensmustern entsprechen.

Weitere Funktionen

Klassifizierungen, Vertraulichkeitsbezeichnungen, Richtlinien, Datenherkunft und Liveansicht finden Sie in der Liste der unterstützten Funktionen.

Bekannte Einschränkungen

• Wenn Sie ein Objekt aus der Datenquelle löschen, wird bei der nachfolgenden Überprüfung nicht automatisch das entsprechende Objekt in Microsoft Purview entfernt.
• Die Herkunft gespeicherter Prozeduren wird für die folgenden Muster nicht unterstützt:
  • In den Sprachen Java, Python und Scala definierte gespeicherte Prozeduren.
  • Gespeicherte Prozedur mit SQL EXECUTE IMMEDIATE mit statischer SQL-Abfrage als Variable.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Erstellen Sie kostenlos ein Konto.

• Ein aktives Microsoft Purview-Konto.

• Sie benötigen Datenquellenadministrator- und Datenleserberechtigungen, um eine Quelle zu registrieren und im Microsoft Purview-Portal zu verwalten. Weitere Informationen zu Berechtigungen finden Sie unter Zugriffssteuerung in Microsoft Purview.

• Wählen Sie die richtige Integration Runtime-Konfiguration für Ihr Szenario aus.

  • Um verwaltete Virtual Network Integration Runtime zum Herstellen einer Verbindung mit Snowflake über private Verbindung zu verwenden, führen Sie die Schritte unter Herstellen einer Verbindung mit Snowflake über einen verwalteten privaten Endpunkt aus, um den privaten Endpunkt einzurichten.
  • Um selbstgehostete Integration Runtime für die Überprüfung zu verwenden, richten Sie die neueste selbstgehostete Integration Runtime ein. Weitere Informationen finden Sie im Leitfaden zum Erstellen und Konfigurieren einer selbstgehosteten Integration Runtime.
    • Stellen Sie sicher, dass JDK 11 auf dem Computer installiert ist, auf dem die selbstgehostete Integration Runtime installiert ist. Starten Sie den Computer neu, nachdem Sie das JDK neu installiert haben, damit es wirksam wird.
    • Stellen Sie sicher Visual C++ Redistributable (Version Visual Studio 2012 Update 4 oder höher) auf dem Computer der selbstgehosteten Integration Runtime installiert ist. Wenn Sie dieses Update nicht installiert haben, können Sie es hier herunterladen.

Erforderliche Berechtigungen für die Überprüfung

Microsoft Purview unterstützt die Standardauthentifizierung (Benutzername und Kennwort) zum Überprüfen von Snowflake. Die Standardrolle des angegebenen Benutzers wird verwendet, um die Überprüfung durchzuführen. Der Snowflake-Benutzer muss über Nutzungsrechte für ein Warehouse und die zu überprüfenden Datenbanken sowie über Lesezugriff auf Systemtabellen verfügen, um auf erweiterte Metadaten zugreifen zu können.

Hier sehen Sie eine exemplarische Vorgehensweise zum Erstellen eines Benutzers speziell für die Microsoft Purview-Überprüfung und zum Einrichten der Berechtigungen. Wenn Sie einen vorhandenen Benutzer verwenden möchten, stellen Sie sicher, dass dieser über ausreichende Rechte für das Warehouse und die Datenbankobjekte verfügt.

1. Richten Sie eine Rolle ein purview_reader . Dazu benötigen Sie ACCOUNTADMIN-Rechte .

   USE ROLE ACCOUNTADMIN;
   
   --create role to allow read only access - this will later be assigned to the Microsoft Purview user
   CREATE OR REPLACE ROLE purview_reader;
   
   --make sysadmin the parent role
   GRANT ROLE purview_reader TO ROLE sysadmin;
   

2. Erstellen Sie ein Warehouse für Microsoft Purview, um Rechte zu verwenden und zu gewähren.

   --create warehouse - account admin required
   CREATE OR REPLACE WAREHOUSE purview_wh WITH 
       WAREHOUSE_SIZE = 'XSMALL' 
       WAREHOUSE_TYPE = 'STANDARD' 
       AUTO_SUSPEND = 300 
       AUTO_RESUME = TRUE 
       MIN_CLUSTER_COUNT = 1 
       MAX_CLUSTER_COUNT = 2 
       SCALING_POLICY = 'STANDARD';
   
   --grant rights to the warehouse
   GRANT USAGE ON WAREHOUSE purview_wh TO ROLE purview_reader;
   

3. Erstellen Sie einen Benutzer purview für die Microsoft Purview-Überprüfung.

   CREATE OR REPLACE USER purview 
       PASSWORD = '<password>'; 
   
   --note the default role will be used during scan
   ALTER USER purview SET DEFAULT_ROLE = purview_reader;
   
   --add user to purview_reader role
   GRANT ROLE purview_reader TO USER purview;
   

4. Gewähren Sie den Datenbankobjekten Leserechte.

   GRANT DATABASE ROLE SNOWFLAKE.OBJECT_VIEWER TO USER purview_reader;
   GRANT USAGE ON DATABASE <your_database_name> TO purview_reader;
   
   --grant reader access to all the database structures that purview can currently scan
   GRANT USAGE ON ALL SCHEMAS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE ON ALL FUNCTIONS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE ON ALL PROCEDURES IN DATABASE <your_database_name> TO role purview_reader;
   GRANT SELECT ON ALL TABLES IN DATABASE <your_database_name> TO role purview_reader;
   GRANT SELECT ON ALL VIEWS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE, READ on ALL STAGES IN DATABASE <your_database_name> TO role purview_reader;
   
   --grant reader access to any future objects that could be created
   GRANT USAGE ON FUTURE SCHEMAS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE ON FUTURE FUNCTIONS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE ON FUTURE PROCEDURES IN DATABASE <your_database_name> TO role purview_reader;
   GRANT SELECT ON FUTURE TABLES IN DATABASE <your_database_name> TO role purview_reader;
   GRANT SELECT ON FUTURE VIEWS IN DATABASE <your_database_name> TO role purview_reader;
   GRANT USAGE, READ ON FUTURE STAGES IN DATABASE <your_database_name> TO role purview_reader;
   

Registrieren

In diesem Abschnitt wird beschrieben, wie Sie Snowflake in Microsoft Purview mithilfe des klassischen Microsoft Purview-Governanceportals registrieren.

Schritte zum Registrieren

Führen Sie die folgenden Schritte aus, um eine neue Snowflake-Quelle in Microsoft Purview Unified Catalog zu registrieren:

1. Navigieren Sie im klassischen Microsoft Purview-Governanceportal zu Ihrem Microsoft Purview-Konto.
2. Wählen Sie im linken Navigationsbereich Data Map aus.
3. Wählen Sie Registrieren aus.
4. Wählen Sie unter Quellen registrieren die Option Snowflake aus. Wählen Sie Weiter.

Führen Sie auf dem Bildschirm Quellen registrieren (Snowflake) die folgenden Schritte aus:

1. Geben Sie einen Namen ein, mit dem die Datenquelle im Katalog aufgeführt wird.

2. Geben Sie die Server-URL im Format ein <account_identifier>.snowflakecomputing.com, orgname-accountname.snowflakecomputing.comz. B. . Erfahren Sie mehr über den Snowflake-Kontobezeichner. Beachten Sie, dass diese URL als Teil des vollqualifizierten Namens der Snowflake-Ressourcen verwendet wird und der Standardendpunkt für Microsoft Purview ist, um während der Überprüfung eine Verbindung mit Snowflake herzustellen.

3. Fügen Sie ggf. zusätzliche Hosts hinzu. Geben Sie sie an, wenn die Scanvorgänge eine Verbindung mit einem anderen Snowflake-Endpunkt als der Server-URL herstellen sollen. Sie können den Host für die Verbindung während der Einrichtung der Überprüfung auswählen.

   Tipp

   Wenn Sie Snowflake bereits gescannt haben, aber einen anderen Endpunkt verwenden möchten, z. B. vom öffentlichen Endpunkt zum privaten Endpunkt, können Sie einen anderen Host in der Datenquelle hinzufügen und diesen Host für die Verbindung bei der Überprüfung auswählen, um sicherzustellen, dass Microsoft Purview die Ressourcen mit demselben vollqualifizierten Namen wie zuvor generiert.

   Beim Registrieren einer Datenquelle führt Microsoft Purview eine Eindeutigkeitsprüfung durch, ob sich die Server-URL und andere Hosts nicht mit vorhandenen Quellen überschneiden.

4. Wählen Sie eine Sammlung aus der Liste aus.

5. Schließen Sie ab, um die Datenquelle zu registrieren.

   

Überprüfung

Führen Sie die folgenden Schritte aus, um Snowflake zu überprüfen, um Ressourcen automatisch zu identifizieren. Weitere Informationen zum Scannen im Allgemeinen finden Sie in unserer Einführung in Scans und Erfassung.

Authentifizierung für eine Überprüfung

Der unterstützte Authentifizierungstyp für eine Snowflake-Quelle ist Die Standardauthentifizierung und das Schlüsselpaar.

Der folgende Prozess muss für Anmeldeinformationen für Schlüsselpaare befolgt werden

Voraussetzungen für die Schlüsselpaarauthentifizierung

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

1. Snowflake-Zugriff

   1. Snowflake-Konto mit Administratorrechten

   2. Benutzerkonto für die Microsoft Purview-Überprüfung (z. B. purview_scanner)

   3. Zugriff zum Ausführen von ALTER USER-Befehlen

2. Tools & Software

   1. OpenSSL installiert (für die Schlüsselgenerierung)

   2. Azure CLI oder PowerShell (für Key Vault Vorgänge)

   3. Zugriff auf das Microsoft Purview-Portal

   4. Stellen Sie sicher, dass Sie über Microsoft Open JDK 11 verfügen. Klicken Sie hier , um herunterzuladen [Andere JDK-Varianten haben möglicherweise Probleme mit erweiterten verschlüsselten Algorithmen].

Schritt-für-Schritt-Konfiguration

Teil 1: Snowflake-Konfiguration

Dieser Schritt umfasst das Erstellen öffentlicher und privater Schlüssel und das anschließende Zuweisen des öffentlichen Schlüssels zu dem purview-Benutzer (im folgenden Beispiel purview_scanner), der eine Verbindung mit Snowflake herstellt, um die Überprüfung durchzuführen.

Schritt 1.1: Generieren eines RSA-Schlüsselpaars

• Generieren eines privaten Schlüssels

Öffnen Sie ein Terminal, und generieren Sie den privaten Schlüssel:

--For Encrypted Private Key (Recommended):  

openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 aes-256-cbc -v2prf hmacWithSHA512 - inform PEM -out rsa_key.p8  

--Note: You'll be prompted to enter a passphrase. Remember this passphrase! 

OR

--For Unencrypted Private Key:  

openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 aes-256-cbc -v2prf hmacWithSHA512 - inform PEM -out rsa_key.p8 -nocrypt 

Hinweis: Verwenden Sie die oben genannten Befehle, um den Schlüssel zu generieren.

• Generieren eines öffentlichen Schlüssels

openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub 

• Extrahieren von Inhalten mit öffentlichem Schlüssel

Anzeigen und Kopieren des Inhalts des öffentlichen Schlüssels (mit Ausnahme von Headern):

cat rsa_key.pub 

-----BEGIN PUBLIC KEY----- 
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... 
... -----END PUBLIC KEY----- 

Kopieren Sie alles zwischen den Zeilen BEGIN und END (ohne Trennzeichen).

Schritt 1.2: Zuweisen eines öffentlichen Schlüssels zum Snowflake-Benutzer

Stellen Sie eine Verbindung mit Snowflake her, und führen Sie Folgendes aus:

-- Create user if it doesn't exist 
CREATE USER IF NOT EXISTS purview_scanner 
  DEFAULT_ROLE = 'PUVRIEW_READER' 
  TYPE = 'SERVICE'  ; 
 -- Assign the public key (paste your key without the BEGIN/END lines) 
ALTER USER purview_scanner  
SET RSA_PUBLIC_KEY='MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...'; 
 -- Grant necessary privileges 
GRANT ROLE purview_reader TO USER purview_scanner; 
 -- Verify the fingerprint 
DESC USER purview_scanner; 

Schritt 1.3: Überprüfen der Schlüsselkonfiguration [optionaler Schritt zur Überprüfung]

Überprüfen Sie, ob der öffentliche Schlüsselfingerabdruck mit folgendem übereinstimmt:

In Snowflake:

DESC USER purview_scanner ->> SELECT SUBSTR( 
(SELECT "value" FROM $1 
WHERE "property" = 'RSA_PUBLIC_KEY_FP'), 
LEN('SHA256:') + 1) AS key; 

In der Befehlszeile:

openssl rsa -pubin -in rsa_key.pub -outform DER | openssl dgst -sha256 -binary | openssl 
enc -base64 

Beachten Sie, dass beide denselben Fingerabdruckhash erzeugen sollten.

Teil 2: Azure Key Vault Setup

Schritt 2.1: Vorbereiten des Inhalts eines privaten Schlüssels

Zeigen Sie Ihren privaten Schlüssel an:

cat rsa_key.p8 

Kopieren Sie den gesamten Inhalt, einschließlich der Zeilen -----BEGIN ENCRYPTED PRIVATE KEY----- und -----END ENCRYPTED PRIVATE KEY-----.

Schritt 2.2: Speichern von Geheimnissen in Azure Key Vault

Sie müssen zwei Geheimnisse in Azure Key Vault speichern:

Geheimnis 1: Privater Schlüssel

KRITISCHE ANFORDERUNG: Der private Schlüssel MUSS mit Azure CLI oder Azure Cloud Shell gespeichert werden.

Verwenden Sie nicht die Benutzeroberfläche des Azure-Portals zum Erstellen des geheimen Schlüssels aus folgenden Gründen:

• Die Azure Portal-Texteingabe behält keine mehrzeilige Formatierung bei.

• Es konvertiert Zeilenumbrüche in Leerzeichen, wodurch das PEM-Format beschädigt wird.

• Snowflake-Verbindungen schlagen mit falsch formatierten Schlüsselfehlern fehl.

Das Kennwort-/Passphrasengeheimnis kann über das Portal (einzeilige Werte) erstellt werden.

Methode 1: Azure CLI (empfohlen)

# Replace with your values 
KEY_VAULT_NAME="your-keyvault-name"
CREDENTIAL_NAME="snowflake-purview-cred" 

# Store the private key from file (preserves multi-line format) 
az keyvault secret set \
 --vault-name $KEY_VAULT_NAME \
 --name "${CREDENTIAL_NAME}-privateKey" \
 --file rsa_key.p8 

OR

Methode 2: Azure Cloud Shell

1. Öffnen Azure Cloud Shell (https://shell.azure.com)

2. Hochladen der datei rsa_key.p8 mithilfe der Schaltfläche "Hochladen" (Ordnersymbol)

3. Führen Sie den folgenden Befehl aus:

az keyvault secret set \ 
  --vault-name your-keyvault-name \ 
  --name "snowflake-purview-cred-privateKey" \ 
  --file rsa_key.p8 

OR

Methode 3: PowerShell mit Azure CLI

# Read the private key preserving line breaks 
$privateKeyContent = Get-Content -Path "rsa_key.p8" -Raw 
 
# Store in Key Vault using Azure CLI 
az keyvault secret set ` 
  --vault-name "your-keyvault-name" ` 
  --name "snowflake-purview-cred-privateKey" ` 
  --value $privateKeyContent 

OR

Überprüfen des Privaten Schlüsselformats nach dem Upload: [optionaler Schritt]

# Retrieve and check the secret maintains proper formatting 
az keyvault secret show \ 
  --vault-name $KEY_VAULT_NAME \ 
  --name "${CREDENTIAL_NAME}-privateKey" \ 
  --query value -o tsv 
 
# Expected output: Multiple lines like this 
# -----BEGIN ENCRYPTED PRIVATE KEY----- 
# MIIFHDBOBgkqhkiG9w0BBQ0wQTApBgkqhkiG9w0BBQwwHAQI... 
# (multiple lines of base64 encoded content) 
# ... 
# -----END ENCRYPTED PRIVATE KEY-----

Richtig: Mehrere Zeilen mit beibehaltenen Zeilenumbrüchen

Falsch: Einzelne lange Zeile oder Text mit Leerzeichen anstelle von Zeilenumbrüchen

Geheimnis 2: Passphrase für private Schlüssel

Die Passphrase kann entweder mit Azure Portal oder Azure CLI erstellt werden (es handelt sich um einen einzeiligen Wert).

# Store the passphrase (if your key is encrypted) 
az keyvault secret set \
 --vault-name $KEY_VAULT_NAME \
 --name "${CREDENTIAL_NAME}-password" \
 --value "your_passphrase_here" 

Wichtig: Wenn Sie einen unverschlüsselten privaten Schlüssel verwendet haben, müssen Sie trotzdem das Kennwortgeheimnis erstellen, aber auf eine leere Zeichenfolge oder einen Platzhalterwert festlegen.

Verwenden von Azure Portal:

1. Wechseln Sie zu Geheimnissen → Generieren/Importieren.

2. Name: snowflake-purview-cred.password

3. Wert: Ihre Passphrase (oder eine leere Zeichenfolge für unverschlüsselte Schlüssel)

4. Wählen Sie Erstellen aus

Erstellen und Ausführen der Überprüfung

Führen Sie die folgenden Schritte aus, um eine neue Überprüfung zu erstellen und auszuführen:

1. Navigieren Sie im klassischen Microsoft Purview-Governanceportal zu Quellen.

2. Wählen Sie die registrierte Snowflake-Quelle aus.

3. Wählen Sie + Neuer Scan aus.

4. Geben Sie die folgenden Details an:

   1. Name: Der Name der Überprüfung

   2. Verbindung über Integration Runtime herstellen: Wählen Sie die Azure automatisch aufgelöste Integration Runtime, Managed Virtual Network IR oder SHIR gemäß Ihrem Szenario aus. Weitere Informationen finden Sie unter Auswählen der richtigen Integration Runtime-Konfiguration für Ihr Szenario. Um managed Virtual Network IR zum Herstellen einer Verbindung mit Snowflake über private Verbindung zu verwenden, führen Sie die Schritte unter Herstellen einer Verbindung mit Snowflake über einen verwalteten privaten Endpunkt aus, um zuerst den privaten Endpunkt einzurichten.

   3. Host für Verbindung: Wählen Sie den Endpunkt aus, der während der Überprüfung zum Herstellen der Verbindung mit Snowflake verwendet wird. Sie können aus der Server-URL oder den anderen Hosts wählen, die Sie in der Datenquelle konfiguriert haben.

   4. Anmeldeinformationen: Wählen Sie die Anmeldeinformationen aus, um eine Verbindung mit Ihrer Datenquelle herzustellen.

      Bei Verwendung der Standardauthentifizierung beim Erstellen von Anmeldeinformationen.

      • Geben Sie im Eingabefeld Benutzername den Benutzernamen an, der zum Herstellen einer Verbindung mit Snowflake verwendet wird.
      • Speichern Sie das Benutzerkennwort, das zum Herstellen einer Verbindung mit Snowflake verwendet wird, im geheimen Schlüssel.

      Bei Verwendung eines Schlüsselpaars beim Erstellen von Anmeldeinformationen

      • Geben Sie Benutzername an: purview_scanner (Ihr Snowflake-Benutzer)

      • Kennwort Key Vault Referenz:

      • Key Vault-Verbindung: Wählen Sie Ihre Key Vault aus.

      • Geheimnisname: snowflake-purview-cred.password

      • Private Key Vault-Referenz:

      • Key Vault-Verbindung: Wählen Sie Ihre Key Vault aus.

      • Geheimnisname: snowflake-purview-cred.privateKey

   5. Warehouse: Geben Sie den Namen des Lagers an, das instance verwendet wird, um die Überprüfung in Großbuchstaben zu ermöglichen. Die Standardrolle, die dem in den Anmeldeinformationen angegebenen Benutzer zugewiesen ist, muss über NUTZUNGsrechte für dieses Warehouse verfügen.

   6. Datenbanken: Geben Sie mindestens eine Datenbank instance Namen an, die in Großbuchstaben importiert werden sollen. Trennen Sie die Namen in der Liste durch einen Semikolon (;). Beispiel: DB1;DB2. Die Standardrolle, die dem in den Anmeldeinformationen angegebenen Benutzer zugewiesen ist, muss über ausreichende Rechte für die Datenbankobjekte verfügen.

      Hinweis

      Die Klassifizierung wird nicht auf Tabellen angewendet, wenn mehr als eine Datenbank instance Namen angegeben werden.

      Zulässige Datenbanknamensmuster können statische Namen sein oder Denkplatzhalter %enthalten. Beispiel: A%;%B;%C%;D:

      • Beginnen Sie mit A oder
      • Enden Sie mit B oder
      • C oder enthalten
      • Gleich D

   7. Schema: Listet eine Teilmenge der zu importierenden Schemas auf, ausgedrückt als durch Semikolons getrennte Liste. Beispiel: schema1;schema2. Alle Benutzerschemas werden importiert, wenn diese Liste leer ist. Alle Systemschemas und -objekte werden standardmäßig ignoriert.

      Zulässige Schemanamensmuster, die verwenden, können statische Namen sein oder einen Wildcard -Wert enthalten. Beispiel: A%;%B;%C%;D:

      • Beginnen Sie mit A oder
      • Enden Sie mit B oder
      • C oder enthalten
      • Gleich D

      Die Verwendung von NOT- und Sonderzeichen ist nicht zulässig.

   8. Details zu gespeicherten Prozeduren: Steuert die Anzahl der aus gespeicherten Prozeduren importierten Details:

      • Signatur (Standard): Der Name und die Parameter gespeicherter Prozeduren.
      • Code, Signatur: Name, Parameter und Code von gespeicherten Prozeduren.
      • Herkunft, Code, Signatur: Der Name, die Parameter und der Code der gespeicherten Prozeduren sowie die vom Code abgeleitete Datenherkunft.
      • Keine: Details zu gespeicherten Prozeduren sind nicht enthalten.

      Hinweis

      Wenn Sie selbstgehostete Integration Runtime für die Überprüfung verwenden, werden ab Version 5.30.8541.1 andere benutzerdefinierte Einstellungen als die Standardsignatur unterstützt. Die früheren Versionen extrahieren immer den Namen und die Parameter gespeicherter Prozeduren.

   9. Maximal verfügbarer Arbeitsspeicher (bei Verwendung der selbstgehosteten Integration Runtime): Maximaler Arbeitsspeicher (in GB) auf der VM des Kunden, der von Überprüfungsprozessen verwendet werden soll. Dies hängt von der Größe der zu scannenden Snowflake-Quelle ab.

      Hinweis

      Stellen Sie als Faustregel 1 GB Arbeitsspeicher für jeweils 1.000 Tabellen bereit.

5. Wählen Sie Verbindung testen aus, um die Einstellungen zu überprüfen (verfügbar bei Verwendung von Azure Integration Runtime).

6. Wählen Sie Weiter.

7. Wählen Sie einen Überprüfungsregelsatz für die Klassifizierung aus. Sie können zwischen dem Systemstandard und vorhandenen benutzerdefinierten Regelsätzen wählen oder einen neuen Regelsatz inline erstellen. Weitere Informationen finden Sie im Artikel Klassifizierung .

   Hinweis

   Die Klassifizierung wird nicht auf Tabellen oder Sichten angewendet, wenn der Tabellenname, der Sichtname, der Schemaname oder der Datenbankname Sonderzeichen enthalten.

   Hinweis

   Wenn Sie eine selbstgehostete Runtime verwenden, müssen Sie ein Upgrade auf Version 5.26.404.1 oder höher durchführen, um die Snowflake-Klassifizierung verwenden zu können. Die neueste Version von Microsoft Integration Runtime finden Sie hier.

8. Wählen Sie Ihren Scantrigger aus. Sie können einen Zeitplan einrichten oder die Überprüfung einmal ausführen.

9. Überprüfen Sie Ihre Überprüfung, und wählen Sie Speichern und ausführen aus.

Anzeigen Ihrer Überprüfungen und Überprüfungsausführungen

So zeigen Sie vorhandene Überprüfungen an:

1. Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.
2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.
3. Wählen Sie die Überprüfung aus, die Ergebnisse enthält, die Sie anzeigen möchten. Im Bereich werden alle vorherigen Überprüfungsausführungen zusammen mit den status und Metriken für jede Überprüfungsausführung angezeigt.
4. Wählen Sie die Ausführungs-ID aus, um die Details der Überprüfungsausführung zu überprüfen.

Verwalten ihrer Überprüfungen

So bearbeiten, abbrechen oder löschen Sie eine Überprüfung:

1. Wechseln Sie zum Microsoft Purview-Portal. Wählen Sie im linken Bereich Data Map aus.

2. Wählen Sie die Datenquelle aus. Sie können eine Liste der vorhandenen Überprüfungen für diese Datenquelle unter Zuletzt verwendete Überprüfungen anzeigen, oder Sie können alle Überprüfungen auf der Registerkarte Scans anzeigen.

3. Wählen Sie die Überprüfung aus, die Sie verwalten möchten. Anschließend können Sie:

   • Bearbeiten Sie die Überprüfung, indem Sie Überprüfung bearbeiten auswählen.
   • Brechen Sie eine laufende Überprüfung ab, indem Sie Überprüfungsausführung abbrechen auswählen.
   • Löschen Sie Ihre Überprüfung, indem Sie Überprüfung löschen auswählen.

Herkunft

Nachdem Sie Ihre Snowflake-Quelle überprüft haben, können Sie Unified Catalog durchsuchen oder Unified Catalog suchen, um die Ressourcendetails anzuzeigen.

Wechseln Sie zur Registerkarte Asset –> Herkunft. Die Ressourcenbeziehung wird angezeigt, falls zutreffend. Informationen zu den unterstützten Snowflake-Herkunftsszenarien finden Sie im Abschnitt unterstützte Funktionen . Weitere Informationen zur Herkunft im Allgemeinen finden Sie im Benutzerhandbuch zur Datenherkunft und -herkunft.

Herstellen einer Verbindung mit Snowflake über einen verwalteten privaten Endpunkt

In diesem Abschnitt werden die erforderlichen Schritte zum Einrichten eines verwalteten privaten Endpunkts (PE) von Microsoft Purview zu Snowflake auf Azure beschrieben. Erfahren Sie mehr über Azure Private Link und Snowflake.

1. Rufen Sie in Ihrem Snowflake-Konto die Zielendpunkte und die Ressourcen-ID ab. Führen Sie die Systemfunktion SYSTEM$GET_PRIVATELINK_CONFIG() mit der Rolle Account Admin aus, und notieren Sie sich die Werte der folgenden Eigenschaften:

   • privatelink-pls-id
   • privatelink-account-url
   • regionless-privatelink-account-url
   • privatelink_ocsp-url

   use role accountadmin; 
   select key, value::varchar from table(flatten(input=>parse_json(SYSTEM$GET_PRIVATELINK_CONFIG())));
   

2. Erstellen Sie in Microsoft Purview einen verwalteten privaten Endpunkt für Snowflake.

   1. Führen Sie die Schritte unter Erstellen eines verwalteten Virtual Network Integration Runtime aus. Wenn Sie bereits über eine verfügen, stellen Sie sicher, dass es sich in Version 2 befindet, die Snowflake PE unterstützt.
   2. Erstellen Sie einen verwalteten privaten Endpunkt für Snowflake. Navigieren Sie zu Verwalteter privater Endpunkt ->+ Neu ->Snowflake, und geben Sie die folgenden Informationen ein.
      • Ressourcen-ID oder Alias: Geben Sie den Wert von privatelink-pls-id ein, den Sie abgerufen haben.
      • Vollqualifizierte Domänennamen: Fügen Sie die privatelink_ocsp-url, regionless-privatelink-account-url und privatelink-account-url hinzu.

   

3. Nach dem Erstellen des PE wird der Bereitstellungsstatus Erfolgreich und der Genehmigungsstatus Pending (Ausstehend) angezeigt. Öffnen Sie pe, und suchen Sie die Ressourcen-ID des verwalteten privaten Endpunkts auf der Detailseite.

4. Wenden Sie sich an den technischen Support von Snowflake , und geben Sie die Ressourcen-ID an, damit Snowflake dieses PE genehmigen kann.

5. Nachdem der Snowflake-Support bestätigt hat, dass die PE genehmigt wurde, sollte in Microsoft Purview der Status "Genehmigt " für Ihren verwalteten privaten Endpunkt angezeigt werden.

6. Registrieren Sie die Datenquelle , und richten Sie eine Überprüfung ein. Wählen Sie beim Einrichten der Überprüfung die verwaltete Virtual Network IR aus, die snowflake PE zugeordnet ist.

Tipps zur Problembehandlung

• Überprüfen Sie Ihren Kontobezeichner im Quellregistrierungsschritt. Schließen Sie nicht https:// am Anfang ein.
• Stellen Sie sicher, dass der Name des Warehouses und der Datenbankname auf der Seite zum Einrichten der Überprüfung in Großbuchstaben enthalten sind.
• Überprüfen Sie Ihren Schlüsseltresor. Stellen Sie sicher, dass das Kennwort keine Tippfehler enthält.
• Überprüfen Sie die Anmeldeinformationen, die Sie in Microsoft Purview eingerichtet haben. Der angegebene Benutzer muss über eine Standardrolle mit den erforderlichen Zugriffsrechten für das Warehouse und die Datenbank verfügen, die Sie überprüfen möchten. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Überprüfung. VERWENDEN Sie DESCRIBE USER; , um die Standardrolle des Benutzers zu überprüfen, den Sie für Microsoft Purview angegeben haben.
• Verwenden Sie den Abfrageverlauf in Snowflake, um zu sehen, ob Aktivitäten auftreten.
  • Wenn ein Problem mit der Konto-ID oder dem Kennwort vorliegt, werden keine Aktivitäten angezeigt.
  • Wenn ein Problem mit der Standardrolle vorliegt, sollte zumindest eine USE WAREHOUSE . . . -Anweisung angezeigt werden.
  • Sie können die QUERY_HISTORY_BY_USER Tabellenfunktion verwenden, um zu ermitteln, welche Rolle von der Verbindung verwendet wird. Das Einrichten eines dedizierten Microsoft Purview-Benutzers erleichtert die Problembehandlung.

Problembehandlung für die Schlüsselpaarauthentifizierung

Problem 1: "Fehler beim Testen der Verbindung"

Symptome: Beim Verbindungstest in Purview tritt ein Fehler auf.

Mögliche Ursachen und Lösungen:

1. Öffentlicher Schlüssel nicht zugewiesen

   1. Überprüfen Sie in Snowflake: DESC USER purview_scanner;

   2. Überprüfen, RSA_PUBLIC_KEY_FP aufgefüllt ist

2. Probleme mit dem Key Vault-Zugriff

   1. Überprüfen, ob die verwaltete Identität über Die Berechtigungen "Abrufen" und "Auflisten" verfügt

   2. Überprüfen Key Vault Firewalleinstellungen

3. Falsche Geheimnisnamen

   1. Überprüfen: {credentialName}.password ist vorhanden

   2. Überprüfen: {credentialName}.privateKey ist vorhanden

Problem 2: "Ungültiges Format des privaten Schlüssels" oder "Verbindungsfehler mit Schlüsselfehler"

Symptome:

• Fehler beim Authentifizierungsfehler "Ungültiges Format des privaten Schlüssels"

• Verbindungstest schlägt sofort fehl

• Fehlermeldungen zu falsch formatierten PEM- oder Schlüsselanalysefehlern

Häufige Ursache: Privater Schlüssel wurde über Azure Portal gespeichert (beschädigtes mehrzeiliges Format)

Lösung:

1. Überprüfen Sie, ob das Schlüsselformat beschädigt ist:

   # Retrieve the secret and check format 
   az keyvault secret show \
    --vault-name your-keyvault \
    --name "snowflake-purview-cred-privateKey" \
    --query value -o tsv | head -5 
   
   # Should show multiple lines starting with: 
   # -----BEGIN ENCRYPTED PRIVATE KEY----- 
   # MIIFHDBOBgkqhkiG9w0BBQ0wQTApBgkqhkiG9w... 
   # (NOT a single long line)
   
   

2. Wenn sie beschädigt ist, LÖSCHEN Sie, und erstellen Sie sie mithilfe der CLI neu:

   # Delete the corrupted secret az keyvault secret delete \
    --vault-name your-keyvault \
    --name "snowflake-purview-cred-privateKey" 
   
   # Wait for soft-delete purge (or purge immediately if needed) 
   az keyvault secret purge \
    --vault-name your-keyvault \
    --name "snowflake-purview-cred-privateKey" 
   
   # Recreate using CLI with
    --file parameter az keyvault secret set \
    --vault-name your-keyvault \
    --name "snowflake-purview-cred-privateKey" \
    --file rsa_key.p8
   

3. Zusätzliche Überprüfungen:

   1. Stellen Sie sicher, dass der private Schlüssel im PKCS#8-PEM-Format vorliegt.

   2. Fügen Sie -----EGIN ENCRYPTED PRIVATE KEY----- und -----END ENCRYPTED PRIVATE KEY ein-----zeilen

   3. Überprüfen Sie zuerst den Schlüssel lokal:

   openssl rsa -in rsa_key.p8 -check
   

Denken Sie daran: Verwenden Sie immer Azure CLI oder Cloud Shell für Geheimnisse mit privatem Schlüssel, NIEMALS die benutzeroberfläche des Azure Portals.

Problem 3: "Fingerabdruckkonflikt bei öffentlichen Schlüsseln"

Symptom: Die Authentifizierung ist erfolgreich, aber es wird ein falscher Schlüssel verwendet.

Lösung:

# Regenerate public key from private key 
openssl rsa -in rsa_key.p8 -pubout -out rsa_key_new.pub 

# Verify fingerprint 
openssl rsa -pubin -in rsa_key_new.pub -outform DER | openssl dgst sha256 -binary | openssl enc -base64 

# Update in Snowflake 
ALTER USER purview_scanner SET RSA_PUBLIC_KEY='';

Problem 4: "Passphrase Falsch"

Symptom: Fehler bei der Schlüsselentschlüsselung

Lösung:

1. Überprüfen Sie, ob die Passphrase in Key Vault mit der bei der Schlüsselgenerierung verwendeten übereinstimmt.

2. Lokales Testen der Passphrase:

openssl rsa -in rsa_key.p8 -check 
# Enter passphrase when prompted

Problem 5: "Fehlende Snowflake-Berechtigungen"

Symptom: Die Verbindung ist erfolgreich, aber die Überprüfung schlägt fehl.

Lösung:

Erteilen Sie dem Snowflake-Benutzer erforderliche Berechtigungen:

-- Create role for Purview 
CREATE ROLE IF NOT EXISTS purview_reader; 

-- Grant usage on warehouse 
GRANT USAGE ON WAREHOUSE COMPUTE_WH TO ROLE purview_reader; 

-- Grant usage on database  
GRANT USAGE ON DATABASE my_database TO ROLE purview_reader; 

-- Grant usage on all schemas  
GRANT USAGE ON ALL SCHEMAS IN DATABASE my_database TO ROLE  purview_reader; 

-- Grant select on all tables  
GRANT SELECT ON ALL TABLES IN DATABASE my_database TO ROLE  purview_reader;  
GRANT SELECT ON FUTURE TABLES IN DATABASE my_database TO ROLE  purview_reader; 

-- Grant select on all views  
GRANT SELECT ON ALL VIEWS IN DATABASE my_database TO ROLE  purview_reader;  
GRANT SELECT ON FUTURE VIEWS IN DATABASE my_database TO ROLE  purview_reader; 

-- Assign role to user  
GRANT ROLE purview_reader TO USER purview_scanner; 

-- Set as default role  
ALTER USER purview_scanner SET DEFAULT_ROLE = purview_reader;

Nächste Schritte

Nachdem Sie Ihre Quelle registriert haben, folgen Sie den folgenden Anleitungen, um mehr über Microsoft Purview und Ihre Daten zu erfahren.

• Data Estate Insights in Microsoft Purview

• Herkunft in Microsoft Purview

• Unified Catalog suchen