雪花外级& PII资料

Question

我们计划使用外部级将敏感的PII数据从Azure Blob存储(ADLS Gen2)加载到雪花中，外部阶段由存储数据的容器的Azure凭据(服务主体)保护。

然而，对于网络团队来说，这是一个不可接受的解决方案。考虑了使用加密密钥。然而，所提出的关键问题是

定级PII数据的exposed.

• Allowing

• 完整容器可能是

• 、雪花VNet子网ID

因此，我正在研究任何人在使用Azure外部阶段加载到雪花时可能使用的最佳实践或任何进一步的建议

Answer 1

1. 完整容器可能会暴露PII数据的各个阶段。

您可能需要确保PII数据在Azure Blob存储中是加密的。雪花支持摄取客户端加密数据到雪花。您可以在这里阅读更多内容：https://docs.snowflake.com/en/user-guide/security-encryption-end-to-end.html#ingesting-client-side-encrypted-data-into-snowflake

本文档讨论了如何使用客户端加密创建一个阶段：https://docs.snowflake.com/en/sql-reference/sql/create-stage.html#external-stage-parameters-externalstageparams。

1. 允许雪花VNet子网ID

您可以将雪花VNet子网ID添加到网络规则中，仅限制对雪花VNet子网ID的访问，此处将详细介绍：https://docs.snowflake.com/en/user-guide/data-load-azure-allow.html