Exécuter des requêtes fédérées sur Snowflake (jeton d’accès OAuth)

Cette page explique comment configurer Lakehouse Federation pour exécuter des requêtes fédérées sur des données Snowflake qui ne sont pas gérées par Azure Databricks. Pour en savoir plus sur lakehouse Federation, consultez Qu’est-ce que la Fédération Lakehouse ?

Pour vous connecter à votre base de données Snowflake avec Lakehouse Federation, vous devez créer les éléments suivants dans votre metastore Azure Databricks Unity Catalog :

• Une connexion à votre base de données Snowflake.
• Un catalogue étranger qui met en miroir votre base de données Snowflake dans Unity Catalog pour vous puissiez utiliser la syntaxe de requête et les outils de gouvernance des données Unity Catalog, afin de gérer l’accès utilisateur Azure Databricks à la base de données.

Cette page explique comment exécuter des requêtes fédérées sur des données Snowflake à l’aide d’un jeton d’accès OAuth. Pour obtenir d’autres méthodes d’authentification, consultez les pages suivantes :

• OAuth intégré à Snowflake
• OAuth avec l’ID Microsoft Entra
• OAuth avec Okta
• Clé privée PEM
• Authentification de base (nom d’utilisateur/mot de passe)

Vous pouvez exécuter des requêtes fédérées sur Snowflake à l’aide de la fédération de requêtes ou de la fédération de catalogue.

Dans la fédération de requête, JDBC envoie (push) la requête catalogue Unity vers le bas vers la base de données externe. Cela est idéal pour les rapports à la demande ou les travaux de preuve de concept sur vos pipelines ETL.

Dans la fédération de catalogue, la requête Catalogue Unity s’exécute directement sur le stockage de fichiers. Cette approche est utile pour la migration incrémentielle sans adaptation du code ou en tant que modèle hybride à long terme pour les organisations qui doivent conserver certaines données dans Snowflake en même temps que leurs données inscrites dans le catalogue Unity. Voir Activer la fédération du catalogue Snowflake.

Avant de commencer

Conditions requises pour l’espace de travail :

• Espace de travail activé pour Unity Catalog.

Voici les exigences de calcul à respecter :

• Connectivité réseau de votre ressource de calcul aux systèmes de base de données cibles. Consultez l’article Recommandations de mise en réseau pour Lakehouse Federation.
• Le calcul Azure Databricks doit utiliser Databricks Runtime 13.3 LTS ou ultérieur et le mode d’accès Standard ou Dédié .
• Les entrepôts SQL doivent être pro ou serverless et doivent utiliser la version 2023.40 ou ultérieure.

Autorisations requises :

• Pour créer une connexion, vous devez être un administrateur de metastore ou un utilisateur disposant du privilège CREATE CONNECTION sur le metastore Unity Catalog attaché à l’espace de travail.
• Pour créer un catalogue étranger, vous devez disposer de l’autorisation CREATE CATALOG sur le metastore et être le propriétaire de la connexion ou disposer du privilège CREATE FOREIGN CATALOG sur la connexion.

Des exigences d’autorisation supplémentaires sont spécifiées dans chaque section basée sur les tâches qui suit.

Demander un jeton d’accès OAuth

Suivez comment : générer et utiliser un jeton OAuth à l’aide de Snowflake OAuth pour les clients personnalisés dans la Base de connaissances Snowflake.

Créer une connexion

Une connexion spécifie un chemin d’accès et des informations d’identification pour accéder à un système de base de données externe. Pour créer une connexion, vous pouvez utiliser l’Explorateur de catalogues ou la commande SQL CREATE CONNECTION dans un notebook Azure Databricks ou l’éditeur de requête SQL Databricks.

Autorisations requises : administrateur de metastore ou utilisateur disposant du privilège CREATE CONNECTION.

1. Dans votre espace de travail Azure Databricks, cliquez sur Catalogue.

2. En haut du volet Catalogue, cliquez sur , puis sélectionnez Créer une connexion dans le menu.

   Sinon, dans la page Accès rapide , cliquez sur le bouton Emplacements externes des données > externes , accédez à l’onglet Connexions , puis cliquez sur Créer une connexion.

3. Dans la page de Informations de base de connexion de l’assistant Configurer la connexion, entrez un Nom de connexion convivial.

4. Pour le type de connexion, sélectionnez Snowflake.

5. Pour le type d’authentification, sélectionnez-le OAuth Access Token dans le menu déroulant.

6. (Facultatif) Ajoutez un commentaire.

7. Cliquez sur Suivant.

8. Entrez les informations d’authentification et de connexion suivantes dans la page Authentification .

   • Hôte : par exemple. snowflake-demo.east-us-2.azure.snowflakecomputing.com
   • Port : la valeur par défaut est 443.
   • Utilisateur : utilisez votre nom d’utilisateur Snowflake personnel.
   • Jeton d’accès : jeton d’accès à partir de demander un jeton d’accès OAuth.
   • (Facultatif) Expire en secondes : délai d’expiration (en secondes) pour le jeton d’accès à partir de demander un jeton d’accès OAuth (expires_in).

9. Cliquez sur Suivant.

10. Dans la page Détails de la connexion , entrez le nom de votre entrepôt Snowflake.

11. Si vous souhaitez utiliser le proxy pour vous connecter à Snowflake, cochez la case Utiliser le proxy et renseignez les détails requis.

12. Cliquez sur Create connection (Créer la connexion).

13. Sur la pageConcepts de base du catalogue, saisissez un nom pour le catalogue étranger.

14. Pour la base de données, entrez un nom de base de données dans Snowflake. Un catalogue étranger reflète une base de données dans un système de données externe afin que vous puissiez interroger et gérer l’accès aux données de cette base de données à l’aide d’Azure Databricks et Unity Catalog.

15. (Facultatif) Cliquez sur Tester la connexion pour vérifier qu’elle fonctionne.

16. Cliquez sur Créer un catalogue.

17. Dans la page Access, sélectionnez les espaces de travail dans lesquels les utilisateurs peuvent accéder au catalogue que vous avez créé. Vous pouvez sélectionner Tous les espaces de travail ont accès, ou cliquer sur Affecter aux espaces de travail, sélectionner les espaces de travail, puis cliquer sur Attribuer.

18. Changez le propriétaire qui pourra gérer l'accès à tous les objets du catalogue. Commencez à taper un responsable dans la zone de texte, puis cliquez sur le responsable dans les résultats affichés.

19. Accordez des privilèges sur le catalogue. Cliquez sur Octroyer :

    1. Spécifiez les Principaux qui auront accès aux objets du catalogue. Commencez à taper un responsable dans la zone de texte, puis cliquez sur le responsable dans les résultats affichés.
    2. Sélectionnez les Préréglages de privilège à accorder pour chaque principal. Tous les utilisateurs d'un compte reçoivent BROWSE par défaut.
       • Sélectionnez Lecteur de données dans le menu déroulant pour accorder des privilèges read aux les objets du catalogue.
       • Sélectionnez Éditeur de données dans le menu déroulant pour accorder read et modify privilèges sur les objets du catalogue.
       • Sélectionnez manuellement les privilèges à accorder.
    3. Cliquez sur Accorder.

20. Cliquez sur Suivant.

21. Sur la page Métadonnées, indiquez des paires clé-valeur pour les balises. Pour plus d’informations, consultez Appliquer des étiquettes aux objets sécurisables du catalogue Unity.

22. (Facultatif) Ajoutez un commentaire.

23. Cliquez sur Enregistrer.

Identificateurs sensibles à la casse de la base de données

Le champ database du catalogue étranger est mappé à un identificateur de la base de données Snowflake. Si l’identificateur de la base de données Snowflake n’est pas sensible à la casse, celle utilisée dans le catalogue étranger <database-name> est conservée. Toutefois, si l’identificateur de la base de données Snowflake est sensible à la casse, vous devez encapsuler le catalogue étranger <database-name> entre guillemets doubles pour conserver la casse.

Par exemple:

• database est converti en DATABASE

• "database" est converti en database

• "database""" est converti en database"

  Pour échapper à un guillemet double, utilisez-en un autre.

• "database"" entraîne une erreur, car le guillemet double n’est pas correctement échappé.

Pour plus d’informations, consultez Spécifications de l’identificateur dans la documentation Snowflake.

Pushdowns pris en charge

Les pushdowns suivants sont pris en charge :

• Filtres
• Prévisions
• Limite
• Jointures
• Agrégats (Average, Corr, CovPopulation, CovSample, Count, Max, Min, StddevPop, StddevSamp, Sum, VariancePop, VarianceSamp)
• Fonctions (fonctions de chaîne, fonctions mathématiques, données, fonctions Time et Timestamp, et autres fonctions diverses, telles qu'Alias, Cast, SortOrder)
• Fonctions Windows (DenseRank, Rank, RowNumber)
• Tri

Mappages de types de données

Lorsque vous lisez de Snowflake vers Spark, les types de données sont mappés comme suit :

Limites

• Le point de terminaison OAuth Snowflake doit être accessible depuis les adresses IP du plan de contrôle de Databricks. Consultez les adresses IP sortantes à partir du plan de contrôle Azure Databricks. Snowflake prend en charge la configuration de stratégies réseau au niveau de l’intégration de sécurité, ce qui permet une stratégie réseau distincte autorisant la connectivité directe du plan de contrôle Databricks au point de terminaison OAuth pour l’autorisation.
• Les options utiliser le proxy, hôte proxy, port du proxy et la configuration des rôles Snowflake ne sont pas prises en charge. Indiquez le rôle Snowflake dans le cadre de l’étendue OAuth.

Ressources supplémentaires

Consultez les articles suivants dans la documentation Snowflake :

• Configurer Snowflake OAuth pour les clients personnalisés
• Référence SQL : CREATE SECURITY INTEGRATION (Snowflake OAuth)