AWS PrivateLink und Snowflake¶

Unter diesem Thema wird beschrieben, wie Sie AWS PrivateLink so konfigurieren, dass Ihr Snowflake-Konto direkt mit einem oder mehreren AWS Virtual Private Clouds (VPCs) verbunden wird.

Unter diesem Thema:

AWS PrivateLink: Überblick¶

AWS PrivateLink ist ein AWS-Dienst zum Erstellen von privaten VPC-Endpunkten, die eine direkte, sichere Konnektivität zwischen Ihren AWS VPCs und der Snowflake VPC unter Umgehung des öffentlichen Internets erlauben. Die AWS PrivateLink-Konnektivität unterstützt VPC-Endpunktdienste und AWS VPCs, die sich in derselben oder in verschiedenen AWS-Regionen befinden. Die regionsübergreifende Konnektivität für AWS PrivateLink ermöglicht Ihnen die Verwendung eines benutzerdefinierten Endpunktdienstes, um ein Snowflake-Konto in einer Region zu verbinden, die sich von Ihrer AWS VPC-Region unterscheidet. Die regionsübergreifende Konnektivität wird derzeit für keine Plattform-as-a-Service-Dienste (PaaS), wie z. B. Amazon Simple Storage Service (Amazon S3) oder Key Management Service (KMS), unterstützt.

For more information, see the AWS blog page, Introducing Cross-Region Connectivity for AWS PrivateLink. For information about finding the region names for your account, see Find the cloud-provider’s name of the region for your account.

Beim Schreiben externer Funktionen können Sie auch AWS PrivateLink mit privaten Endpunkten verwenden.

Wenn Sie eine lokale Umgebung (z. B. ein nicht gehostetes Rechenzentrum) nutzen, können Sie AWS Direct Connect mit AWS PrivateLink verwenden, um alle Ihre virtuellen und physischen Umgebungen zu einem einzigen privaten Netzwerk zusammenzuschließen.

Bemerkung

AWS Direct Connect ist ein separater AWS-Service, der unabhängig von AWS PrivateLink implementiert werden muss und außerhalb des Rahmens dieses Themas liegt. Wenden Sie sich an Amazon, um Informationen zur Implementierung von AWS Direct Connect zu erhalten.

AWS PrivateLink aktivieren¶

Bemerkung

Derzeit unterstützt der Self-Service-Aktivierungsprozess in diesem Abschnitt nicht die Autorisierung eines AWS-Kontobezeichners von einem verwalteten Clouddienst oder einem Drittanbieter.

Um einen AWS-Kontobezeichner für diesen Anwendungsfall zu autorisieren, müssen Sie den AWS-Kontobezeichner vom Anbieter abrufen und sich dann an den Snowflake-Support wenden.

Um AWS PrivateLink für Ihr Snowflake-Konto zu aktivieren, führen Sie die folgenden Schritte aus:

Generieren Sie ein Verbundtoken, und speichern Sie dann die Ausgabe.
1. Um ein Token zu generieren, führen Sie den Befehl AWS CLI STS über die Befehlszeile aus. get-federation-token erfordert entweder einen Identitäts- und Zugriffsverwaltungsbenutzenden in AWS oder den Root-Benutzenden des AWS-Kontos benötigt. Weitere Informationen dazu finden Sie in der AWS-Dokumentation.
  
  Wichtig
  
  Das Verbundtoken läuft nach 12 Stunden ab. Wenn Sie eine der Systemfunktionen aufrufen, um Ihr Snowflake-Konto für die Verwendung von AWS PrivateLink zu autorisieren, zu verifizieren oder zu deaktivieren, und das Token abgelaufen ist, generieren Sie das Token neu, indem Sie den Befehl AWS CLI STS erneut ausführen.
  aws sts get-federation-token --name sam
  Copy
  In einem späteren Schritt stellen Sie die Ausgabe dieses Befehls als federated_token-Argument für die SYSTEM$AUTHORIZE_PRIVATELINK-Funktion bereit.
2. Extrahieren Sie aus Ihrem generierten Token den Wert des Felds "FederatedUserId". Wenn Ihr Token beispielsweise die folgenden Werte enthält:
  { ... "FederatedUser": { "FederatedUserId": "185...:sam", "Arn": "arn:aws:sts::185...:federated-user/sam" }, "PackedPolicySize": 0 }
  Copy
  Extrahieren Sie 185.... Im nächsten Schritt geben Sie diese 12-stellige Nummer als aws_id-Argument für die SYSTEM$AUTHORIZE_PRIVATELINK-Funktion an.
Rufen Sie mit der Snowflake-Systemrolle ACCOUNTADMIN die SYSTEM$AUTHORIZE_PRIVATELINK -Funktion zum Autorisieren (Aktivieren) von AWS PrivateLink für Ihr Snowflake-Konto auf:
```
SELECT SYSTEM$AUTHORIZE_PRIVATELINK ( '<aws_id>' , '<federated_token>' );
```
Copy
Wobei:
- 'aws_id'
  
  Der 12-stellige Bezeichner, mit dem Ihr Amazon Web Services (AWS)-Konto als Zeichenfolge eindeutig identifiziert wird.
- 'federated_token'
  
  Der Wert des Verbundtokens, der die Zugriffsanmeldeinformationen für einen Verbundbenutzer als Zeichenfolge enthält.
Beispiel:
```
USE ROLE ACCOUNTADMIN;

SELECT SYSTEM$AUTHORIZE_PRIVATELINK (
  '185...',
    '{
      "Credentials": {
        "AccessKeyId": "ASI...",
        "SecretAccessKey": "enw...",
        "SessionToken": "Fwo...",
        "Expiration": "2021-01-07T19:06:23+00:00"
      },
      "FederatedUser": {
        "FederatedUserId": "185...:sam",
        "Arn": "arn:aws:sts::185...:federated-user/sam"
      },
      "PackedPolicySize": 0
     }'
  );
```
Copy
Um Ihre Konfiguration zu überprüfen, rufen Sie in Ihrem Snowflake-Konto auf AWS die Funktion SYSTEM$GET_PRIVATELINK auf. Diese Funktion verwendet dieselben Argumente für 'aws_id' und 'federated_token', die zur Autorisierung Ihres Snowflake-Kontos verwendet wurden.

SYSTEM$GET_PRIVATELINK gibt bei einer erfolgreichen Autorisierung den Wert Account is authorized for PrivateLink. zurück.
Optional: Wenn Sie AWS PrivateLink in Ihrem Snowflake-Konto deaktivieren müssen, rufen Sie die Funktion SYSTEM$REVOKE_PRIVATELINK auf, wobei Sie dieselben Argumentwerte für 'aws_id' und 'federated_token' verwenden.

Um Ihre Sicherheitsvorkehrungen weiter zu verstärken, empfiehlt Snowflake, private Endpunkte für Ihr Snowflake-Konto anzuheften. Weitere Informationen dazu finden Sie unter Pinning privater Konnektivitätendpunkte für eingehenden Datenverkehr.

AWS VPC-Umgebung konfigurieren¶

Achtung

In diesem Abschnitt werden nur die Snowflake-spezifischen Details zum Konfigurieren Ihrer VPC-Umgebung behandelt.

Snowflake ist nicht für die Konfiguration der benötigten AWS VPC-Endpunkte, Sicherheitsgruppenregeln und Domain Name System (DNS)-Einträge verantwortlich. Falls Sie Probleme bezüglich dieser Konfigurationsanforderungen haben, wenden Sie sich an den AWS-Support.

AWS VPC-Endpunkt erstellen und konfigurieren¶

Führen Sie die folgenden Schritte aus, um einen VPC-Endpunkt in Ihrer AWS VPC-Umgebung zu erstellen und zu konfigurieren:

Verwenden Sie in Ihrem Snowflake-Konto die ACCOUNTADMIN-Systemrolle, um die SYSTEM$GET_PRIVATELINK_CONFIG-Funktion aufzurufen, und zeichnen Sie dann den Wert für privatelink-vpce-id auf.
Erstellen Sie in Ihrer AWS-Umgebung einen VPC-Endpunkt, und verwenden Sie dabei den privatelink-vpce-id-Wert aus dem vorherigen Schritt.

Bemerkung

If the Snowflake region of your VPC endpoint is different from the region of your AWS VPC, you must make two selections that enable cross-region connectivity. In the AWS VPC Console, select Enable Cross Region endpoint, and then select the primary region of the service in Service Settings » Service Region.

Eine vollständige Anleitung finden Sie in der schrittweisen Einrichtung zum Konfigurieren der regionsübergreifenden Konnektivität in der AWS-Dokumentation.

For instructions that describe how to find the region name of your account, see Find the cloud-provider’s name of the region for your account.
Autorisieren Sie in Ihrer AWS-Umgebung eine Sicherheitsgruppe für Services, die die ausgehende Snowflake-Verbindung mit den Ports 443 und 80 für VPCE CIDR (Classless Inter-Domain Routing) verbinden.

Weitere Informationen dazu finden Sie unter den folgenden Themen unter AWS-Dokumentation:

Find the cloud-provider’s name of the region for your account¶

Snowflake and the cloud provider that hosts your Snowflake account use similar, but different names for the region that hosts the Snowflake service. You can use system functions to find region names that you use to establish connectivity across regions. To determine the cloud-provider’s name of the region that hosts your Snowflake account, take the following steps:

Run the CURRENT_REGION and SHOW REGIONS commands.
In the output returned by SHOW REGIONS, find a row that shows a value in the snowflake_region column that matches the output returned by SELECT CURRENT REGION.

The value in this row’s region column is the cloud-provider’s name of the region that hosts your Snowflake account.

In the following example, us-west-2 is the cloud-provider’s name of the region that hosts the Snowflake account named AWS_US_WEST.

SELECT CURRENT_REGION();

Copy

Output:

+------------------+
| CURRENT_REGION() |
|------------------|
| AWS_US_WEST_2    |
+------------------+

Copy

SHOW REGIONS;

Copy

Output:

+------------------+-------+-----------|-----------------+
| snowflake_region | cloud | region    | display_name    |
|------------------|-------|-----------|-----------------|
| AWS_US_WEST_2    | aws   | us-west-2 | US West (Oregon)|
+------------------+-------+-----------+-----------------+

Copy

VPC-Netzwerk konfigurieren¶

Um über einen AWS PrivateLink-Endpunkt auf Snowflake zuzugreifen, müssen Sie Datensätze zu kanonischen Namen (CNAME) in Ihrem DNS erstellen, um die entsprechenden Endpunktwerte aus der Funktion SYSTEM$GET_PRIVATELINK_CONFIG in den DNS-Namen Ihres VPC-Endpunkts aufzulösen.

Die Werte, die Sie aus der Ausgabe von SYSTEM$GET_PRIVATELINK_CONFIG erhalten, hängen davon ab, auf welche Snowflake-Features Sie über private Konnektivität zugreifen. Eine Beschreibung der möglichen Werte finden Sie unter Rückgabewerte.

Beachten Sie, dass die Werte für regionless-snowsight-privatelink-url und snowsight-privatelink-url den Zugang zu Snowsight und Snowflake Marketplace über private Konnektivität ermöglichen. Wenn Sie URL-Umleitungen aktivieren möchten, müssen Sie jedoch weitere Konfigurationen vornehmen. Informationen finden Sie unter Snowsight und Private Konnektivität.

Weitere Unterstützung bei der DNS-Konfiguration erhalten Sie von Ihrem internen AWS-Administrator.

Wichtig

Die Struktur des Hostnamens des OCSP-Cacheservers (Online Certificate Status Protocol) hängt von der Version Ihrer installierten Clients ab, wie unter Konfigurieren Ihres Snowflake-Clients beschrieben:

Wenn Sie die aufgelistete Version oder eine höhere Version verwenden, verwenden Sie das unter Konfigurieren Ihres Snowflake-Clients angegebene Format. Dies ermöglicht eine bessere DNS-Auflösung, wenn Sie in derselben Region über mehrere Snowflake-Konten (z. B. für Entwicklung, Test und Produktion) verfügen. Wenn Sie Clienttreiber aktualisieren und OCSP mit PrivateLink verwenden, aktualisieren Sie die Firewall-Regeln, um den OCSP-Hostnamen auf die Zulassungsliste zu setzen.
Wenn Sie eine frühere Clientversion verwenden, dann hat der Hostname des OCSP-Cacheservers das Format ocsp.region_id.privatelink.snowflakecomputing.com ohne einen Kontobezeichner.
Ihr DNS-Datensatz muss in private IP-Adressen innerhalb Ihrer VPC aufgelöst werden. Wenn er in öffentliche IP-Adressen aufgelöst wird, ist der Datensatz nicht korrekt konfiguriert.

AWS-VPC-Schnittstellenendpunkte für Amazon S3 erstellen¶

This step is required for Amazon S3 traffic from Snowflake clients to stay on the AWS backbone. The Snowflake clients (such as Snowflake CLI, SnowSQL, JDBC driver, and so on) require access to Amazon S3 to perform various runtime operations.

Ein AWS VPC-Netzwerk erlaubt keinen Zugriff über das öffentliche Internet. Daher müssen Sie private Konnektivität zu internen Stagingbereichen oder zu mehreren Gateway-Endpunkten für die Amazon S3-Hostnamen konfigurieren, die von den Snowflake-Clients benötigt werden.

Es gibt drei Möglichkeiten, den Zugang zu Amazon S3 zu konfigurieren. Bei den ersten beiden Optionen wird das öffentliche Internet gemieden, die dritte Option verwendet es jedoch:

Konfigurieren Sie einen AWS-VPC-Schnittstellenendpunkt für interne Schnittstellenendpunkt.
Konfigurieren Sie einen Amazon S3-Gateway-Endpunkt. Weitere Informationen finden Sie im folgenden Abschnitt „Achtung“.
Konfigurieren Sie keinen Schnittstellenendpunkt oder einen Gateway-Endpunkt. Dies führt zu einem Zugriff, der über das öffentliche Internet erfolgt.

Achtung

Um zu verhindern, dass die Kommunikation zwischen einem Amazon S3-Bucket und einer AWS VPC mit Snowflake über das öffentliche Internet erfolgt, können Sie in derselben AWS-Region wie der Amazon S3-Bucket einen oder mehrere Amazon S3-Gateway-Endpunkte einrichten. Dies verhindert die Kommunikation im öffentlichen Internet, da AWS PrivateLink nur Kommunikation zwischen VPCs erlaubt, und der Amazon S3-Bucket ist nicht in der VPC enthalten.

Sie können den Amazon S3-Gateway-Endpunkt so konfigurieren, dass der Zugriff auf bestimmte Benutzer, Amazon S3-Ressourcen, Routen und Subnetze beschränkt wird. Für Snowflake ist diese Konfiguration aber nicht erforderlich. Weitere Informationen dazu finden Sie unter Gateway-Endpunkte für Amazon S3.

Um Amazon S3-Gateways darauf zu beschränken, nur Amazon S3-Ressourcen für Snowflake zu verwenden, wählen Sie eine der folgenden Optionen:

Verwenden Sie die spezifischen Amazon S3-Hostnamen-Adressen, die von Ihrem Snowflake-Konto in Ihren AWS-Endpunktrichtlinien verwendet werden. Die vollständige Liste der Hostnamen, die von Ihrem Konto verwendet werden, finden Sie unter SYSTEM$ALLOWLIST.
Verwenden Sie ein Amazon S3-Hostnamenmuster, das mit den Snowflake-S3-Hostnamen in Ihren AWS-Endpunktrichtlinien übereinstimmt. In diesem Szenario gibt es zwei mögliche Verbindungstypen zu Snowflake: VPC-zuVPC oder Lokal-zu-VPC.

Führen Sie je nach Verbindungstyp die folgenden Anweisungen aus:

VPC-zu-VPC:

Stellen Sie sicher, dass der Amazon S3-Gateway-Endpunkt vorhanden ist. Optional können Sie die Amazon S3-Gateway-Endpunktrichtlinie so ändern, dass sie mit den spezifischen Hostnamenmustern in der folgenden Tabelle mit den Amazon S3-Hostnamen übereinstimmt.

Lokal-zu-VPC:

Hierfür definieren Sie ein Setup, das die Amazon S3-Hostnamenmuster in die Firewall- oder Proxy-Konfiguration einbezieht, falls Amazon S3-Datenverkehr über das öffentlichen Gateway nicht zulässig ist.

Wenn Ihre Gateway-Endpunkte nicht explizit mit den von Snowflake verwalteten S3-Buckets Ihres Kontos übereinstimmen müssen, können Sie die in der folgenden Tabelle aufgeführten Amazon S3-Hostnamensmuster verwenden, um Gateway-Endpunkte zu erstellen:

Amazon S3-Hostnamen

Anmerkungen

Alle Regionen

sfc-*-stage.s3.amazonaws.com:443

Keine.

Alle Regionen außer US East

sfc-*-stage.s3-<Regions-ID>.amazonaws.com:443

Im Muster wird vor der Regions-ID ein Bindestrich (-) verwendet.

sfc-*-stage.s3.<Regions-ID>.amazonaws.com:443

Im Muster wird vor der Regions-ID ein Punkt (.) verwendet.

Amazon S3-Hostnamen	Anmerkungen
Alle Regionen
`sfc-*-stage.s3.amazonaws.com:443`	Keine.
Alle Regionen außer US East
`sfc-*-stage.s3-<Regions-ID>.amazonaws.com:443`	Im Muster wird vor der Regions-ID ein Bindestrich (`-`) verwendet.
`sfc-*-stage.s3.<Regions-ID>.amazonaws.com:443`	Im Muster wird vor der Regions-ID ein Punkt (`.`) verwendet.

Weitere Informationen zum Erstellen von Gateway-Endpunkten finden Sie in der Dokumentation zu Gateway-VPC-Endpunkten.

Mit Snowflake verbinden¶

Vor dem Verbinden mit Snowflake können Sie optional mithilfe des Snowflake Connectivity Diagnostic-Tools (SnowCD) die Netzwerkverbindung zu Snowflake und AWS PrivateLink evaluieren.

Weitere Informationen dazu finden Sie unter SnowCD und SYSTEM$ALLOWLIST_PRIVATELINK.

Andernfalls stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

Wenn Sie eine Verbindung zu Snowsight über AWS PrivateLink herstellen möchten, verwenden Sie die Anleitung in der Snowsight-Dokumentation.

Sperrung des öffentlichen Zugangs — Empfohlen¶

Nach dem Testen der privaten Konnektivität von AWS PrivateLink mit Snowflake können Sie optional den öffentlichen Zugriff auf Snowflake blockieren. Das bedeutet, dass Benutzer nur dann auf Snowflake zugreifen können, wenn ihre Verbindungsanforderung von einer IP-Adresse innerhalb eines bestimmten CIDR-Blockierbereichs stammt, der in einer Snowflake-Netzwerkrichtlinie angegeben ist.

So blockieren Sie den öffentlichen Zugriff mithilfe einer Netzwerkrichtlinie:

Erstellen Sie eine neue Netzwerkrichtlinie, oder bearbeiten Sie eine vorhandene Netzwerkrichtlinie.
Fügen Sie den CIDR-Blockierbereich für Ihre Organisation hinzu.
Aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.

Weitere Informationen dazu finden Sie unter Steuern des Netzwerkdatenverkehrs mit Netzwerkrichtlinien.

Konfigurieren Ihres Snowflake-Clients¶

In den folgenden Abschnitten wird beschrieben, wie Sie Snowflake-Clients für bestimmte Anwendungsfälle konfigurieren.

Sicherstellen, dass Snowflake-Clients OCSP-Cacheserver unterstützen¶

Der Snowflake-OCSP-Cacheserver verringert Verbindungsprobleme zwischen Snowflake-Clients und dem Server. Stellen Sie sicher, dass Sie die folgenden Clientversionen verwenden, damit Ihre installierten Snowflake-Clients den OCSP-Servercache nutzen können:

Snowflake CLI 3.0.0 (or higher)
SnowSQL 1.1.57 (or higher)
Python Connector 1.8.2 (or higher)
JDBC Driver 3.8.3 (or higher)
ODBC Driver 2.19.3 (or higher)

Bemerkung

Der Snowflake-OCSP-Cacheserver überwacht Port 80. Daher wurden Sie in AWS VPC-Endpunkt erstellen und konfigurieren angewiesen, Ihre AWS PrivateLink VPCE-Sicherheitsgruppe so zu konfigurieren, dass sowohl 80 als auch Port 443 (für gesamten weiteren Snowflake-Datenverkehr) akzeptiert werden.

Hostnamen für Snowflake-Clients angeben¶

Jeder Snowflake-Client benötigt einen Hostnamen, um eine Verbindung zu Ihrem Snowflake-Konto herzustellen.

Der Hostname ist derselbe wie der Hostname, den Sie in den CNAME-Datensätzen in VPC-Netzwerk konfigurieren angegeben haben.

Dieser Schritt gilt nicht für den Zugriff auf Snowflake Marketplace.

Beispiel für ein Konto mit dem Namen xy12345:

Wenn sich das Konto in US West befindet, lautet der Hostname xy12345.us-west-2.privatelink.snowflakecomputing.com.
Wenn sich das Konto in EU (Frankfurt) befindet, lautet der Hostname xy12345.eu-central-1.privatelink.snowflakecomputing.com.

Wichtig

Die Methode zur Spezifizierung des Hostnamens hängt vom jeweiligen Client ab:

Geben Sie für den Spark-Konnektor sowie für die ODBC- und JDBC-Treiber den gesamten Hostnamen an.
Bei allen anderen Clients geben Sie nicht den gesamten Hostnamen an. Geben Sie stattdessen den Kontobezeichner mit dem privatelink-Segment (<account_identifier>.privatelink. Snowflake concatenates this name with snowflakecomputing.com) an, um den Hostnamen dynamisch zu erstellen.

Weitere Informationen zum Angeben des Kontonamens oder Hostnamens für einen Snowflake-Client finden Sie in der Dokumentation des jeweiligen Clients.

Verwenden von SSO mit AWS PrivateLink¶

Snowflake unterstützt die Verwendung von SSO mit AWS PrivateLink. Weitere Informationen dazu finden Sie unter:

Verwenden der Clientumleitung mit AWS PrivateLink¶

Snowflake unterstützt die Verwendung der Clientumleitung mit AWS PrivateLink.

Weitere Informationen dazu finden Sie unter Umleiten von Clientverbindungen.

Verwenden von Replikation und Tri-Secret Secure mit privater Konnektivität¶

Snowflake unterstützt das Replizieren Ihrer Daten vom Quellkonto in ein Zielkonto, unabhängig davon, ob Sie Tri-Secret Secure oder dieses Feature im Zielkonto aktivieren.

Problembehandlung¶

Informationen zu Behebung von Problemen, die im Zusammenhang mit PrivateLink auftreten können, finden Sie in den folgenden Artikeln der Snowflake-Community: