Konfigurations- und Verbindungsparameter für ODBC¶

Parametereinstellung unter Windows¶

Unter Windows:

• Konfigurationsparameter werden in der Windows-Registrierung mit regedit und dem folgenden Registrierungspfad festgelegt:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Snowflake\Driver]
  

  Copy

• Die Verbindungsparameter werden unter Datenquellennamen (Data Source Names, DSNs) festgelegt:

  • DSNs werden typischerweise mit dem Windows-Tool Data Source Administration erstellt und bearbeitet.

  • Bei Bedarf können Sie die Registrierungsschlüssel für DSNs direkt in der Windows-Registrierung mit regedit bearbeiten. Der Registrierungspfad zu den Schlüsseln richtet sich danach, ob Sie 64-Bit- oder 32-Bit-Windows verwenden und ob Sie einen Benutzer- oder System-DSN bearbeiten:

    • 64-Bit-Windows:

      [HKEY_CURRENT_USER\SOFTWARE\ODBC\ODBC.INI\<DSN_NAME>]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI\<DSN_NAME>]
      

      Copy

    • 32-Bit-Windows:

      [HKEY_CURRENT_USER\SOFTWARE\WOW6432NODE\ODBC\ODBC.INI\<DSN_NAME>]
      
      [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\ODBC\ODBC.INI\<DSN_NAME>]
      

      Copy

    Um mit regedit einen Verbindungsparameter hinzuzufügen, fügen Sie einen neuen String Value hinzu, doppelklicken Sie auf den von Ihnen angelegten Wert und geben Sie dann den ODBC-Parameter als Value name und den Parameterwert als Value data ein.

Festlegen von Parametern unter macOS oder Linux¶

Unter macOS oder Linux:

• Konfigurationsparameter werden in der Konfigurationsdatei (simba.snowflake.ini) festgelegt.

• Die Verbindungsparameter werden in der DSN-Datei (odbc.ini) festgelegt:

Konfigurationsparameter¶

CABundleFile

Legen Sie den Speicherort der Bundledatei der Zertifizierungsstelle (CA) fest. Muss auf eine Datei verweisen, die eine gültige Liste der CA-Zertifikate enthält.

Unter Linux kopieren die RPM- und DEB-Installer automatisch die Datei und legen diesen Parameter fest.

Unter Mac kopiert der PKG-Installer die Datei und legt diesen Parameter fest.

Unter Windows kopiert der MSI-Installer die Datei und legt diesen Parameter fest.

Für eine manuelle Installation müssen Sie die Datei von https://curl.haxx.se/docs/caextract.html herunterladen und den Speicherort der Datei festlegen.

client_config_file

Gibt den Pfad einer Protokollierungskonfigurationsdatei an, mit der Sie den Protokolliergrad und das Verzeichnis zum Speichern von Protokolldateien definieren können.

CURLVerboseMode

Auf true einstellen, um die ausführliche cURL-Protokollierung zu aktivieren. Die Protokolldatei snowflake_odbc_curl.dmp wird erstellt und aktualisiert. Der Snowflake-ODBC-Treiber verwendet cURL als HTTP- und TLS-Bibliothek. Dieser Parameter ist nützlich für die Diagnose von Netzwerkproblemen.

DisableOCSPCheck

Auf true setzen, um die Prüfung des TLS-Zertifikatssperrstatus durch das Online Certificate Status Protocol (OCSP) zu deaktivieren. Unter normalen Umständen sollte dieses Flag nicht gesetzt werden. Wenn jedoch das OCSP-Verfügbarkeitsproblem weiterhin besteht, kann die Anwendung diesen Parameter vorübergehend einstellen, um Konnektivitätsprobleme zu lösen, und wieder entfernen, wenn das OCSP-Verfügbarkeitsproblem behoben ist.

DisableTelemetry

Gibt an, ob das Umschalten des In-Band-Telemetrie-Handlers aktiviert ist. Wenn diese Treiberkonfigurationseinstellung auf true festgelegt ist, wird der Telemetrie-Handler nicht im Treiber erstellt.

DriverManagerOverride

Standardmäßig erkennt der Treiber automatisch, welcher Treibermanager verwendet werden soll. Wenn Ihre spezielle Situation dies jedoch erfordert, können Sie ab ODBC-Treiber-Version 3.9.0 diese automatische Erkennung überschreiben und manuell angeben, welcher Treiber-Manager verwendet werden soll.

Mögliche Werte sind: UnixODBC und iODBC.

Wenn DriverManagerOverride nicht angegeben ist, verwendet der Treiber die automatische Erkennung (call backtrace()) zum Abrufen von Informationen zum Treiber-Manager. Dies ist das Standardverhalten.

Der Parameter funktioniert nur unter Linux und MacOS.

EnableAutoIpdByDefault

Setzen Sie den Parameter auf false, um den ODBC-Treiber so zu konfigurieren, dass SQL_ATTR_ENABLE_AUTO_IPD auf false (ist der Standardwert im ODBC-Standard) gesetzt wird.

Andernfalls wird standardmäßig setzte der ODBC-Treiber SQL_ATTR_ENABLE_AUTO_IPD auf „true“, um die Kompatibilität mit Tools von Drittanbietern sicherzustellen.

Dieser Parameter wurde in Version 2.22.0 des ODBC-Treibers eingeführt.

EnablePidLogFileNames

Setzen Sie den Wert auf true, um die Prozess.ID in den Namen der Protokolldatei aufzunehmen. Wenn die Prozess-ID beispielsweise 7394 ist, werden die Protokolldateien wie folgt benannt:

• snowflake_odbc_connection_7394_0.log

• snowflake_odbc_generic7394_0.log

• snowflake_odbc_curl_7394.dmp

Sie können diesen Parameter festlegen, um zu verhindern, dass verschiedene Prozesse die gleichen Protokolldateien überschreiben. Jeder Prozess generiert einen eigenen Satz von Protokolldateien.

Standardmäßig ist der Wert dieses Parameters false.

Dieser Parameter wurde in Version 2.22.2 des ODBC-Treibers eingeführt.

get_size_threshold

Gibt die minimale Dateigröße in Megabyte (MB) an, um Dateien in kleinere Teile aufzuteilen, wenn sie mit dem Befehl GET heruntergeladen werden. Dateien, die kleiner als dieser Schwellenwert sind, werden nicht in mehreren Teilen heruntergeladen.

Der Standardwert ist 5 (MB).

Bemerkung

Sie können diesen Wert für bestimmte Fälle außer Kraft setzen, indem Sie den entsprechenden Verbindungsparameter get_size_threshold setzen.

KeepLeadingTrailingZeros

Legt fest, wie führende oder nachstehende Nullen in Zahlen, die als Zeichenfolgenwerte formatiert sind, behandelt werden. Standardmäßig ist der Parameter auf true eingestellt, was bedeutet, dass der Treiber alle führenden oder nachstehenden Nullen beibehält. Setzen Sie den Parameter auf false, um führende oder nachstehende Nullen zu entfernen. Beispiel:

• 0.23 wird in .23 geändert

• 7.00 wird in 7 geändert.

LogFileCount

Legt die maximale Anzahl der Protokolldateien fest, die aufbewahrt werden sollen, bevor ältere Dateien gelöscht werden, um Platz für neue Protokolldateien zu schaffen.

LogFileSize

Gibt die maximale Größe einer Protokolldatei in Byte an. Wenn eine Protokolldatei die angegebene Größe erreicht, erstellt der ODBC-Treiber automatisch eine neue Protokolldatei.

Standardwert ist 20971520.

LogLevel

Gibt den Detaillierungsgrad an, der für Clients protokolliert wird, die den ODBC-Treiber verwenden:

• 0 = Aus

• 1 = Schwerwiegend

• 2 = Fehler

• 3 = Warnung

• 4 = Info

• 5 = Fehlersuche

• 6 = Ablaufverfolgung

LogPath

Gibt den Speicherort der Snowflake-Protokolldateien für Clients an, die den ODBC-Treiber verwenden.

MapToLongVarchar

Gibt die Länge einer Zeichenfolge an, ab der mit der Zuordnung von Zeichenfolgenwerten zu einem ODBC SQL_LONGVARCHAR-Datentyp anstelle der Standard-Datentypen ODBC SQL_CHAR oder SQL_VARCHAR begonnen werden soll.

• < 0 (oder nicht gesetzt): Ordnet Zeichenfolgenwerte mit ihren Standard-ODBC-Datentypen zu. Standardwert ist -1.

• >= 0: Gibt die maximale Anzahl von Zeichen der Zeichenfolge an, die den Standard-ODBC-Datentypen für Zeichenfolgen zugeordnet werden sollen. Alle Zeichenfolgen, die größer als dieser Wert sind, werden SQL_LONGVARCHAR zugeordnet.

Sie können diesen Parameter auch als Verbindungsparameter angeben. (siehe Anleitungen für das Einstellen der Parameter unter Windows, macOS und Linux). Wenn beide als Verbindungsparameter und als Konfigurationsparameter eingestellt sind, hat der Verbindungsparameter im DSN (bzw. in der Verbindungszeichenfolge) Vorrang.

Dieser Parameter wurde in Version 2.24.3 des ODBC-Treibers eingeführt.

NoExecuteInSQLPrepare

Setzen Sie diesen Wert auf true, um den ODBC-Treiber so zu konfigurieren, dass er das ODBC-Standardverhalten verwendet, wenn DDL-Anweisungen (wie CREATE und DROP) an SQLPrepare() und SQLExecute() übergeben werden.

In Snowflake wird standardmäßig bei Übergabe einer DDL-Anweisung an die SQLPrepare()-Funktion der ODBC-Treiber die Anweisung zur Ausführung (nicht zur Vorbereitung) an die Datenquelle sendet. Wenn Sie eine DDL-Anweisung an SQLExecute() übergeben, sendet der ODBC-Treiber die Anweisung nicht an die Datenquelle.

Wenn Sie NoExecuteInSQLPrepare auf true setzen, folgt der ODBC-Treiber dem ODBC-Standardverhalten. Durch Aufrufen von SQLPrepare() wird die Anweisung zur Vorbereitung (nicht zur Ausführung) an die Datenquelle gesendet. Durch Aufrufen von SQLExecute() wird die Anweisung zur Ausführung an die Datenquelle gesendet.

Dieser Parameter wurde in Version 2.21.6 des ODBC-Treibers eingeführt.

NoProxy

Gibt die Hostnamenmuster zur Umgehung des Proxyservers an, z. B. .amazonaws.com zur Umgehung des Amazon S3-Zugriffs.

Bemerkung

Der Snowflake-ODBC-Treiber übergibt den NoProxy-Wert an die cURL-Option CURLOPT_NOPROXY.

Das Format des NoProxy-Werts finden Sie unter CURLOPT_NOPROXY explained.

Proxy

Gibt einen Proxyserver in der Form <Host>:<Port> für Clients an, die den ODBC-Treiber verwenden.

Bemerkung

Unter Windows werden die Einträge für LogLevel und LogPath erstellt und mit Standardwerten gefüllt, wenn der ODBC-Treiber installiert ist. Ein Eintrag für Proxy wird jedoch während der Installation nicht erstellt. Um einen Proxy anzugeben, der mit dem Treiber verwendet werden soll, müssen Sie den Eintrag manuell zum Treiberregistrierungsschlüssel hinzufügen.

Um den Proxy für eine oder mehrere IP-Adressen oder URLs zu umgehen, fügen Sie den Parameter NoProxy hinzu.

SSLVersion

Gibt die SSL/TLS-Mindestversion ab, die beim Initiieren des TLS-Handshake verwendet werden soll. Die Werte entsprechen den Fähigkeiten von libcurl. Weitere Informationen finden Sie bei den CURL_SSLVERSION_*-Einträgen in der `CURLOPT_SSLVERSION-Erläuterung<https://curl.se/libcurl/c/CURLOPT_SSLVERSION.html>`_.

Mögliche Werte: TLSv1, SSLv2, SSLv3, TLSv1_0, TLSv1_1, TLSv1_2 oder TLSv1_3 (Standard: TLSv1_2).

Snowflake empfiehlt, diese Einstellung in der Standardeinstellung zu belassen, wenn von Ihrer Seite aus keine konkreten Gründe vorliegen, dies zu ändern.

SSLVersionMax

Gibt die SSL/TLS-Höchstversion ab, die beim Initiieren des TLS-Handshake verwendet werden soll. Die Werte entsprechen den Fähigkeiten von libcurl. Weitere Informationen finden Sie bei den CURL_SSLVERSION_MAX_*-Einträgen in der `CURLOPT_SSLVERSION-Erläuterung<https://curl.se/libcurl/c/CURLOPT_SSLVERSION.html>`_.

Mögliche Werte: TLSv1_0, TLSv1_1, TLSv1_2 oder TLSv1_3 (Standard: TLSv1_3).

Snowflake empfiehlt, diese Einstellung in der Standardeinstellung zu belassen, wenn von Ihrer Seite aus keine konkreten Gründe vorliegen, dies zu ändern.

Verbindungsparameter¶

Verbinden mit der Datei connections.toml¶

Mit dem ODBC-Treiber können Sie Definitionen für Verbindungen zu einer Datei der Konfiguration connections.toml hinzufügen. Eine Verbindungsdefinition bezieht sich auf eine Sammlung von verbindungsbezogenen Parametern. Der Treiber unterstützt derzeit TOML Version 1.0.0.

Weitere Informationen zu toml-Dateiformaten finden Sie unter TOML (Tom’s Obvious Minimal Language).

Das Präfix für die Zeichenfolge der Verbindung: odbc:snowflake:auto weist den Treiber an, in den vordefinierten (Standard-)Dateien nach der Konfiguration der Verbindung zu suchen. Der ODBC-Treiber sucht die connections.toml-Datei an den folgenden Speicherorten, in dieser Reihenfolge:

• Wenn auf Ihrem Computer ein Verzeichnis ~/.snowflake existiert, verwendet ODBC die Datei ~/.snowflake/connections.toml.

• Speicherort, der in der SNOWFLAKE_HOME-Umgebungsvariablen angegeben ist.

• Andernfalls verwendet die ODBC die Datei connections.toml an einem der folgenden Speicherorte, abhängig von Ihrem Betriebssystem:

  • Linux: ~/.config/snowflake/connections.toml, aber Sie können es mit XDG vars aktualisieren

  • Windows: %USERPROFILE%\AppData\Local\snowflake\connections.toml

  • Mac: ~/Library/Application Support/snowflake/connections.toml

Sie können die Grundeinstellungen für die TOML-Konfigurationsdatei in Snowsight festlegen. Weitere Informationen dazu finden Sie unter Konfigurieren eines Clients, eines Treibers, einer Bibliothek oder einer Anwendung eines Drittanbieters für die Verbindung mit Snowflake.

Wenn Sie zwischen mehreren bestehenden Verbindungen wechseln möchten, können Sie diese in der connections.toml-Datei konfigurieren. Der voreingestellte Schlüssel ist default, aber Sie können den Namen der voreingestellten Verbindung ändern, indem Sie die Shell-Umgebungsvariable SNOWFLAKE_DEFAULT_CONNECTION_NAME einstellen.

In den folgenden connections.toml-Beispieldateien werden zwei Verbindungen definiert:

[default]
account = 'my_organization-my_account'
user = 'test_user'
password = '******'
warehouse = 'testw'
database = 'test_db'
schema = 'test_odbc'
protocol = 'https'
port = '443'


[aws-oauth-file]
account = 'my_organization-my_account'
user = 'test_user'
password = '******'
warehouse = 'testw'
database = 'test_db'
schema = 'test_odbc'
protocol = 'https'
port = '443'
authenticator = 'oauth'
token_file_path = '/Users/test/.snowflake/token'

Festlegen von Parametern in einer Verbindungszeichenfolge¶

Sie können Verbindungsparameter als Name-Wert-Paare in einer Verbindungszeichenfolge angeben, wobei Sie zwischen jedem Parameter und Wert ein Gleichheitszeichen (=) und zwischen den Parametern ein Semikolon (;) verwenden müssen. Beispiel:

driver={SnowflakeDSIIDriver};server=myorganization-myaccount.snowflakecomputing.com;uid=myloginname;pwd=mypassword;database=mydatabase;schema=myschema;warehouse=mywarehouse;role=myrole;...

Sie können die grundlegende Verbindungszeichenfolge in Snowsight generieren. Weitere Informationen dazu finden Sie unter Konfigurieren eines Clients, eines Treibers, einer Bibliothek oder einer Anwendung eines Drittanbieters für die Verbindung mit Snowflake.

Überprüfen der Netzwerkverbindung zu Snowflake mit SnowCD¶

Nach der Konfiguration des Treibers können Sie die Netzwerkkonnektivität zu Snowflake mit SnowCD testen und Probleme beheben.

Sie können während der Erstkonfiguration und bei Bedarf jederzeit SnowCD verwenden, um Ihre Netzwerkverbindung zu Snowflake zu testen und Probleme zu beheben.

Verbinden über einen Proxyserver¶

Die Anweisungen zur Konfiguration einer Proxyserver-Verbindung hängen von Ihrem Betriebssystem und Ihrer Treiberversion ab:

Verwenden von Single Sign-On (SSO) zur Authentifizierung¶

Wenn Sie Snowflake für die Verwendung von Single Sign-On (SSO) konfiguriert haben, können Sie Ihre Clientanwendung so konfigurieren, dass SSO für die Authentifizierung verwendet wird. Weitere Informationen dazu finden Sie unter Verwenden von SSO bei Clientanwendungen, die sich mit Snowflake verbinden.

Verwenden der mehrstufige Authentifizierung¶

Snowflake unterstützt das Caching von MFA-Token, einschließlich der Kombination der von MFA-Token-Caching mit SSO.

Weitere Informationen dazu finden Sie unter Verwenden von MFA-Tokencaching zur Minimierung der Anzahl von Eingabeaufforderungen bei der Authentifizierung – Optional.

Verwenden der Schlüsselpaar-Authentifizierung¶

Der ODBC-Treiber unterstützt Schlüsselpaar-Authentifizierung und Schlüsselrotation.

1. Im ersten Schritt führen Sie die Erstkonfiguration der Schlüsselpaar-Authentifizierung durch, wie unter Schlüsselpaar-Authentifizierung und Schlüsselpaar-Rotation gezeigt.

2. Ändern Sie die Einträge für den Datenquellennamen (DSN) des Treibers. Weitere Informationen zu DSN-Einträgen finden Sie unter dem entsprechenden Thema für Ihr Betriebssystem:

   • Installieren und Konfigurieren des ODBC-Treibers für Linux

   • Installieren und Konfigurieren des ODBC-Treibers für Windows

   Fügen Sie die folgenden Parameter (unter Beachtung der Groß- und Kleinschreibung) hinzu:

   AUTHENTICATOR = SNOWFLAKE_JWT

   Gibt an, dass die Snowflake-Verbindung mithilfe der auf Schlüsselpaaren basierenden Authentifizierung mit dem JSON Web Token (JWT) authentifiziert werden soll.

   JWT_TIME_OUT = integer

   Optional. Gibt an, wie lange Snowflake auf JWT (in Sekunden) wartet, bevor das Zeitlimit überschritten wird. In diesem Fall schlägt die Authentifizierung fehl, und der Treiber gibt einen Fehler Invalid JWT token zurück. Erhöhen Sie den Parameterwert, um ein wiederholtes Auftreten des Fehlers zu verhindern. Standard: 30

   PRIV_KEY_FILE = path/rsa_key.p8

   Gibt den lokalen Pfad zu der von Ihnen erstellten Datei mit dem privaten Schlüssel an (d. h. rsa_key.p8).

   Der im DSN festgelegte Wert kann durch Aufrufen der Funktion SQLSetConnectAttr() überschrieben werden. Weitere Informationen dazu finden Sie unter Snowflake-spezifisches Verhalten der SQLSetConnectAttr-Funktion.

   PRIV_KEY_FILE_PWD = <password>

   Gibt die Kennung zum Decodieren der Datei des privaten Schlüssels an.

   Dieser Parameter sollte nur festgelegt werden, wenn der Parameter PRIV_KEY_FILE ebenfalls festgelegt ist.

   Der im DSN festgelegte Wert kann durch Aufrufen der Funktion SQLSetConnectAttr() überschrieben werden. Weitere Informationen dazu finden Sie unter Snowflake-spezifisches Verhalten der SQLSetConnectAttr-Funktion.

3. Speichern Sie die Einstellungen.

Verwendung des OAuth 2.0-Autorisierungscodeablaufs¶

Der OAuth 2.0-Autorisierungscodeablauf ist eine sichere Methode für eine Client-Anwendung, um im Namen eines Benutzers ein Zugriffstoken von einem Autorisierungsserver zu erhalten, ohne die Anmeldeinformationen des Benutzers preiszugeben.

So aktivieren Sie den OAuth 2.0-Autorisierungscodeablauf:

1. Setzen Sie den Verbindungsparameter authenticator auf oauth_authorization_code.

2. Stellen Sie die folgenden OAuth-Verbindungsparameter ein:

   • OAUTH_CLIENT_ID: Wert der client id, die vom Identitätsanbieter für die Snowflake-Integration bereitgestellt wird (Snowflake-Metadaten für die Sicherheitsintegration).

   • OAUTH_CLIENT_SECRET: Wert des client secret, das vom Identitätsanbieter für die Snowflake-Integration bereitgestellt wird (Snowflake-Metadaten für die Sicherheitsintegration).

   • OAUTH_AUTHORIZATION_URL: Endpunkt des Identitätsanbieters, der den Autorisierungscode an den Treiber liefert. Wenn Snowflake als Identitätsanbieter verwendet wird, wird dieser Wert von den Parametern server oder account abgeleitet.

   • OAUTH_TOKEN_REQUEST_URL: Endpunkt des Identitätsanbieters, der die Zugriffstoken an den Treiber liefert. Wenn Snowflake als Identitätsanbieter verwendet wird, wird dieser Wert von den Parametern server oder account abgeleitet.

   • OAUTH_SCOPE: Bereich, der in der Autorisierungsanfrage des Identitätsanbieters angefordert wird. Standardmäßig wird dies von der Rolle abgeleitet. Wenn mehrere Bereiche erforderlich sind, sollte der Wert eine durch Leerzeichen getrennte Liste mit mehreren Bereichen sein.

   • OAUTH_REDIRECT_URI: URI zur Verwendung für die Umleitung des Autorisierungscodes (Metadaten zur Snowflake-Sicherheitsintegration). Standard: http://127.0.0.1:{randomAvailablePort}.

Verwendung des OAuth 2.0-Client-Anmeldeinformationsablaufs¶

Der OAuth 2.0-Client-Anmeldeinformationsablauf bietet einen sicheren Weg für die Machine-to-Machine (M2M)-Authentifizierung, wie z. B. den Snowflake Connector für Python, der sich mit einem Backend-Service verbindet. Im Gegensatz zum OAuth 2.0-Autorisierungscodeablauf ist diese Methode nicht auf benutzerspezifische Daten angewiesen.

So aktivieren Sie den OAuth 2.0-Client-Anmeldeinformationsablauf:

1. Setzen Sie den Verbindungsparameter authenticator auf oauth_client_credentials.

2. Stellen Sie die folgenden OAuth-Verbindungsparameter ein:

   • OAUTH_CLIENT_ID: Wert der client id, die vom Identitätsanbieter für die Snowflake-Integration bereitgestellt wird (Snowflake-Metadaten für die Sicherheitsintegration).

   • OAUTH_CLIENT_SECRET: Wert des client secret, das vom Identitätsanbieter für die Snowflake-Integration bereitgestellt wird (Snowflake-Metadaten für die Sicherheitsintegration).

   • OAUTH_TOKEN_REQUEST_URL: Endpunkt des Identitätsanbieters, der die Zugriffstoken an den Treiber liefert. Wenn Snowflake als Identitätsanbieter verwendet wird, wird dieser Wert von den Parametern server oder account abgeleitet.

   • OAUTH_SCOPE: Bereich, der in der Autorisierungsanfrage des Identitätsanbieters angefordert wird. Standardmäßig wird dies von der Rolle abgeleitet. Wenn mehrere Bereiche erforderlich sind, sollte der Wert eine durch Leerzeichen getrennte Liste mit mehreren Bereichen sein.

Authentifizierung mit einem Programmatic Access Token (PAT)¶

Programmatic Access Token (PAT) ist eine Snowflake-spezifische Authentifizierungsmethode. Das Feature muss vor der Verwendung für das Konto aktiviert werden (weitere Informationen finden Sie unter Voraussetzungen). Die Authentifizierung mit PAT erfordert keine menschliche Interaktion.

Authentifizierung mit Workload Identity Federation (WIF)¶

Workload Identity Federation bietet eine Service-zu-Service-Authentifizierungsmethode für Snowflake. Diese Methode ermöglicht es Anwendungen, Services oder Containern, sich bei Snowflake zu authentifizieren, indem sie das native Identitätssystem ihres Cloudanbieters nutzen, wie z. B. Service-Konten bei AWS IAM, Microsoft Entra ID oder Google Cloud. Bei dieser Herangehensweise entfällt die Notwendigkeit der Verwaltung von langlebigen Anmeldeinformationen. Außerdem wird die Erfassung von Anmeldeinformationen im Vergleich zu anderen Methoden wie External OAuth vereinfacht. Snowflake-Konnektoren sind so konzipiert, dass sie automatisch kurzlebige Anmeldeinformationen vom Identitätsanbieter der Plattform erhalten.

Um den Authentifikator der Workload Identity Federation zu aktivieren, gehen Sie wie folgt vor:

1. Legen Sie den authenticator-Verbindungsparameter auf WORKLOAD_IDENTITY fest.

2. Legen Sie den workload_identity_provider-Verbindungsparameter je nach Plattform auf AWS, AZURE, GCP oder OIDC fest.

3. Geben Sie für OpenID Connect (OIDC) den Verbindungsparameter token an.

Verwalten von Protokolldateien¶

Damit Sie eventuell auftretende Probleme besser verfolgen können, können Sie die Protokollierung im ODBC-Treiber aktivieren. Der ODBC-Treiber bietet die folgenden Konfigurationsoptionen, mit denen Sie die Protokollierung einrichten und Protokolldateien verwalten können:

• EnablePidLogFileNames: Fügt die Prozess-ID zum Namen einer Protokolldatei hinzu.

• LogFileCount: Legt die maximale Anzahl der gespeicherten Protokolldateien fest.

• LogFileSize: Gibt die maximale Größe einer Protokolldatei an.

• LogLevel: Gibt an, welche Typen von Informationen protokolliert werden sollen.

• LogPath: Legt den Speicherort für Protokolldateien fest.

Mit diesen Parametern können Sie verwalten, wie Protokolldateien benannt, gespeichert und rotiert werden sollen. Sie können angeben, wie groß und wie viele Protokolldateien Sie behalten möchten, bevor diese durch neu erstellte Protokolldateien ersetzt werden. Im folgenden Beispiel wird die Prozess-ID an die Dateinamen angehängt, um die Eindeutigkeit sicherzustellen. Außerdem wird die maximale Dateigröße auf 30 MB festgelegt, und es werden die 100 neuesten Protokolldateien aufbewahrt.

EnablePidLogFileNames = true  # Appends the process ID to each log file
LogFileSize = 30,145,728      # Sets log files size to 30MB
LogFileCount = 100            # Saves the 100 most recent log files

{
  "common": {
    "log_level": "DEBUG",
    "log_path": "/home/user/logs"
  }
}

Überprüfen der Version von OCSP-Konnektor/Treiber¶

Snowflake verwendet OCSP, um die Zertifikatkette beim Herstellen einer Verbindung zu Snowflake auszuwerten. Die Version von Treiber oder Konnektor bestimmt zusammen mit deren Konfiguration das OCSP-Verhalten. Weitere Informationen zur Treiber- oder Konnektor-Version, ihrer Konfiguration und zum OCSP-Verhalten finden Sie unter OCSP-Konfiguration.

OCSP-Antwort-Cacheserver¶

Snowflake-Clients initiieren jede Verbindung zu einem Snowflake-Dienstendpunkt mit einem „Handshake“, der eine sichere Verbindung herstellt, bevor tatsächlich Daten übertragen werden. Im Rahmen des Handshakes authentifiziert ein Client das TLS-Zertifikat für den Dienstendpunkt. Der Sperrstatus des Zertifikats wird überprüft, indem eine Client-Zertifikatsanforderung an einen der OCSP (Online Certificate Status Protocol)-Server für die CA (Zertifizierungsstelle) gesendet wird.

Ein Verbindungsfehler tritt auf, wenn die Antwort des OCSP-Servers über eine angemessene Zeit hinaus verzögert wird. Die folgenden Caches behalten den Sperrstatus bei und helfen, diese Probleme zu beheben:

• Speichercache, der während der gesamten Lebensdauer des Prozesses beibehalten wird.

• Dateicache, der so lange beibehalten wird, bis das Cacheverzeichnis (z. B. ~/.cache/snowflake oder ~/.snowsql/ocsp_response_cache) gelöscht ist.

• Snowflake-OCSP-Antwort-Cacheserver, der OCSP-Antworten von den OCSP-Servern der CA stündlich abruft und 24 Stunden lang speichert. Clients können dann den Validierungsstatus eines bestimmten Snowflake-Zertifikats von diesem Servercache anfordern.

  Wichtig

  Wenn Ihre Serverrichtlinie den Zugriff auf die meisten oder alle externen IP-Adressen und Websites verweigert, müssen Sie die Adresse des Cacheservers auf die Zulassungsliste setzen, um einen normalen Servicebetrieb zu ermöglichen. Der Hostname des Cacheservers lautet ocsp*.snowflakecomputing.com:80.

  Wenn Sie den Cacheserver aus irgendeinem Grund deaktivieren müssen, setzen Sie die Umgebungsvariable SF_OCSP_RESPONSE_CACHE_SERVER_ENABLED auf false. Beachten Sie, dass der Wert zwischen Groß- und Kleinschreibung unterscheidet und in Kleinbuchstaben angegeben werden muss.

Wenn keine der Cacheschichten die OCSP-Antwort enthält, versucht der Client, den Validierungsstatus direkt vom OCSP-Server der CA abzurufen.