AWS PrivateLink und Snowflake¶

Unter diesem Thema wird beschrieben, wie Sie AWS PrivateLink so konfigurieren, dass Ihr Snowflake-Konto direkt mit einem oder mehreren AWS Virtual Private Clouds (VPCs) verbunden wird.

AWS PrivateLink: Überblick¶

AWS PrivateLink ist ein AWS-Dienst zum Erstellen von privaten VPC-Endpunkten, die eine direkte, sichere Konnektivität zwischen Ihren AWS VPCs und der Snowflake VPC unter Umgehung des öffentlichen Internets erlauben. Die AWS PrivateLink-Konnektivität unterstützt VPC-Endpunktdienste und AWS VPCs, die sich in derselben oder in verschiedenen AWS-Regionen befinden. Regionsübergreifende Konnektivität für AWS PrivateLink ermöglicht Ihnen die Verwendung eines benutzerdefinierten Endpunkt-Service, um ein Snowflake-Konto in einer Region zu verbinden, die sich von Ihrer AWS VPC-Region unterscheidet. Regionsübergreifende Konnektivität wird derzeit für keinen Platform-as-a-Service (PaaS) unterstützt, wie z. B. Amazon Simple Storage Service (Amazon S3) oder Key Management Service (KMS).

Weitere Informationen dazu finden Sie auf der AWS-Blogseite Einführung der regionsübergreifenden Konnektivität für AWS PrivateLink. Weitere Informationen zum Auffinden der Regionsnamen für Ihr Konto finden Sie unter Namen des Cloudanbieters der Region für Ihr Konto suchen.

Beim Schreiben externer Funktionen können Sie auch AWS PrivateLink mit privaten Endpunkten verwenden.

Wenn Sie eine lokale Umgebung (z. B. ein nicht gehostetes Rechenzentrum) nutzen, können Sie AWS Direct Connect mit AWS PrivateLink verwenden, um alle Ihre virtuellen und physischen Umgebungen zu einem einzigen privaten Netzwerk zusammenzuschließen.

Bemerkung

AWS Direct Connect ist ein separater AWS-Service, der unabhängig von AWS PrivateLink implementiert werden muss und außerhalb des Rahmens dieses Themas liegt. Wenden Sie sich an Amazon, um Informationen zur Implementierung von AWS Direct Connect zu erhalten.

AWS PrivateLink aktivieren¶

Bemerkung

Derzeit unterstützt der Self-Service-Aktivierungsprozess in diesem Abschnitt nicht die Autorisierung eines AWS-Kontobezeichners von einem verwalteten Clouddienst oder einem Drittanbieter.

Um einen AWS-Kontobezeichner für diesen Anwendungsfall zu autorisieren, müssen Sie den AWS-Kontobezeichner vom Anbieter abrufen und sich dann an den Snowflake-Support wenden.

Um AWS PrivateLink für Ihr Snowflake-Konto zu aktivieren, führen Sie die folgenden Schritte aus:

Generieren Sie ein Verbundtoken, und speichern Sie dann die Ausgabe.
1. Um ein Token zu generieren, führen Sie den Befehl AWS CLI STS über die Befehlszeile aus. get-federation-token erfordert entweder einen Identitäts- und Zugriffsverwaltungsbenutzenden in AWS oder den Root-Benutzenden des AWS-Kontos benötigt. Weitere Informationen dazu finden Sie in der AWS-Dokumentation.
  
  Wichtig
  
  Das Verbundtoken läuft nach 12 Stunden ab. Wenn Sie eine der Systemfunktionen aufrufen, um Ihr Snowflake-Konto für die Verwendung von AWS PrivateLink zu autorisieren, zu verifizieren oder zu deaktivieren, und das Token abgelaufen ist, generieren Sie das Token neu, indem Sie den Befehl AWS CLI STS erneut ausführen.
  aws sts get-federation-token --name sam
  Copy
  In einem späteren Schritt stellen Sie die Ausgabe dieses Befehls als federated_token-Argument für die SYSTEM$AUTHORIZE_PRIVATELINK-Funktion bereit.
2. Extrahieren Sie aus Ihrem generierten Token den Wert des Felds "FederatedUserId". Wenn Ihr Token beispielsweise die folgenden Werte enthält:
  { ... "FederatedUser": { "FederatedUserId": "185...:sam", "Arn": "arn:aws:sts::185...:federated-user/sam" }, "PackedPolicySize": 0 }
  Copy
  Extrahieren Sie 185.... Im nächsten Schritt geben Sie diese 12-stellige Nummer als aws_id-Argument für die SYSTEM$AUTHORIZE_PRIVATELINK-Funktion an.
Rufen Sie mit der Snowflake-Systemrolle ACCOUNTADMIN die SYSTEM$AUTHORIZE_PRIVATELINK -Funktion zum Autorisieren (Aktivieren) von AWS PrivateLink für Ihr Snowflake-Konto auf:
```
SELECT SYSTEM$AUTHORIZE_PRIVATELINK ( '<aws_id>' , '<federated_token>' );
```
Copy
Wobei:
- 'aws_id'
  
  Der 12-stellige Bezeichner, mit dem Ihr Amazon Web Services (AWS)-Konto als Zeichenfolge eindeutig identifiziert wird.
- 'federated_token'
  
  Der Wert des Verbundtokens, der die Zugriffsanmeldeinformationen für einen Verbundbenutzer als Zeichenfolge enthält.
Beispiel:
```
USE ROLE ACCOUNTADMIN;

SELECT SYSTEM$AUTHORIZE_PRIVATELINK (
  '185...',
    '{
      "Credentials": {
        "AccessKeyId": "ASI...",
        "SecretAccessKey": "enw...",
        "SessionToken": "Fwo...",
        "Expiration": "2021-01-07T19:06:23+00:00"
      },
      "FederatedUser": {
        "FederatedUserId": "185...:sam",
        "Arn": "arn:aws:sts::185...:federated-user/sam"
      },
      "PackedPolicySize": 0
     }'
  );
```
Copy
Um Ihre Konfiguration zu überprüfen, rufen Sie in Ihrem Snowflake-Konto auf AWS die Funktion SYSTEM$GET_PRIVATELINK auf. Diese Funktion verwendet dieselben Argumente für 'aws_id' und 'federated_token', die zur Autorisierung Ihres Snowflake-Kontos verwendet wurden.

SYSTEM$GET_PRIVATELINK gibt bei einer erfolgreichen Autorisierung den Wert Account is authorized for PrivateLink. zurück.
Optional: Wenn Sie AWS PrivateLink in Ihrem Snowflake-Konto deaktivieren müssen, rufen Sie die Funktion SYSTEM$REVOKE_PRIVATELINK auf, wobei Sie dieselben Argumentwerte für 'aws_id' und 'federated_token' verwenden.

Um Ihre Sicherheitsvorkehrungen weiter zu verstärken, empfiehlt Snowflake, private Endpunkte für Ihr Snowflake-Konto anzuheften. Weitere Informationen dazu finden Sie unter Pinning privater Konnektivitätendpunkte für eingehenden Datenverkehr.

AWS VPC-Umgebung konfigurieren¶

Achtung

In diesem Abschnitt werden nur die Snowflake-spezifischen Details zum Konfigurieren Ihrer VPC-Umgebung behandelt.

Snowflake ist nicht für die Konfiguration der benötigten AWS VPC-Endpunkte, Sicherheitsgruppenregeln und Domain Name System (DNS)-Einträge verantwortlich. Falls Sie Probleme bezüglich dieser Konfigurationsanforderungen haben, wenden Sie sich an den AWS-Support.

AWS VPC-Endpunkt erstellen und konfigurieren¶

Führen Sie die folgenden Schritte aus, um einen VPC-Endpunkt in Ihrer AWS VPC-Umgebung zu erstellen und zu konfigurieren:

Verwenden Sie in Ihrem Snowflake-Konto die ACCOUNTADMIN-Systemrolle, um die SYSTEM$GET_PRIVATELINK_CONFIG-Funktion aufzurufen, und zeichnen Sie dann den Wert für privatelink-vpce-id auf.
Erstellen Sie in Ihrer AWS-Umgebung einen VPC-Endpunkt, und verwenden Sie dabei den privatelink-vpce-id-Wert aus dem vorherigen Schritt.

Bemerkung

Wenn die Snowflake-Region Ihres VPC-Endpunkts sich von der Region Ihrer AWS VPC unterscheidet, müssen Sie zwei Optionen auswählen, die eine regionsübergreifende Konnektivität ermöglichen. Wählen Sie in der AWS VPC Console Enable Cross Region endpoint und dann unter Service Settings » Service Region die primäre Region des Dienstes aus.

Eine vollständige Anleitung finden Sie in der schrittweisen Einrichtung zum Konfigurieren der regionsübergreifenden Konnektivität in der AWS-Dokumentation.

Eine Anleitung zum Auffinden des Regionsnamens Ihres Kontos finden Sie unter Namen des Cloudanbieters der Region für Ihr Konto suchen.
Autorisieren Sie in Ihrer AWS-Umgebung eine Sicherheitsgruppe für Services, die die ausgehende Snowflake-Verbindung mit den Ports 443 und 80 für VPCE CIDR (Classless Inter-Domain Routing) verbinden.

Weitere Informationen dazu finden Sie unter den folgenden Themen unter AWS-Dokumentation:

Namen des Cloudanbieters der Region für Ihr Konto suchen¶

Snowflake und der Cloudanbieter, der Ihr Snowflake-Konto hostet, verwenden ähnliche, jedoch unterschiedliche Namen für die Region, die den Snowflake-Dienst hostet. Sie können Systemfunktionen verwenden, um Regionsnamen zu finden, die Sie verwenden können, um Konnektivität über Regionen hinweg herzustellen. Um den Namen des Cloudanbieters der Region zu ermitteln, die Ihr Snowflake-Konto hostet, führen Sie die folgenden Schritte aus:

Führen Sie die Befehle CURRENT_REGION und SHOW REGIONS aus.
Suchen Sie in der von SHOW REGIONS zurückgegebenen Ausgabe nach einer Zeile, die einen Wert in der Spalte snowflake_region anzeigt, der mit der von SELECT CURRENT REGION zurückgegebenen Ausgabe übereinstimmt.

Der Wert in dieser Zeile der Spalte region ist der Name des Cloudanbieters der Region, die Ihr Snowflake-Konto hostet.

Im folgenden Beispiel ist us-west-2 der Name des Cloudanbieters der Region, die das Snowflake-Konto namens AWS_US_WEST hostet.

SELECT CURRENT_REGION();

Copy

Ausgabe:

+------------------+
| CURRENT_REGION() |
|------------------|
| AWS_US_WEST_2    |
+------------------+

Copy

SHOW REGIONS;

Copy

Ausgabe:

+------------------+-------+-----------|-----------------+
| snowflake_region | cloud | region    | display_name    |
|------------------|-------|-----------|-----------------|
| AWS_US_WEST_2    | aws   | us-west-2 | US West (Oregon)|
+------------------+-------+-----------+-----------------+

Copy

VPC-Netzwerk konfigurieren¶

Um über einen AWS PrivateLink-Endpunkt auf Snowflake zuzugreifen, müssen Sie Datensätze zu kanonischen Namen (CNAME) in Ihrem DNS erstellen, um die entsprechenden Endpunktwerte aus der Funktion SYSTEM$GET_PRIVATELINK_CONFIG in den DNS-Namen Ihres VPC-Endpunkts aufzulösen.

Die Werte, die Sie aus der Ausgabe von SYSTEM$GET_PRIVATELINK_CONFIG erhalten, hängen davon ab, auf welche Snowflake-Features Sie über private Konnektivität zugreifen. Eine Beschreibung der möglichen Werte finden Sie unter Rückgabewerte.

Beachten Sie, dass die Werte für regionless-snowsight-privatelink-url und snowsight-privatelink-url den Zugang zu Snowsight und Snowflake Marketplace über private Konnektivität ermöglichen. Wenn Sie URL-Umleitungen aktivieren möchten, müssen Sie jedoch weitere Konfigurationen vornehmen. Informationen finden Sie unter Snowsight und Private Konnektivität.

Weitere Unterstützung bei der DNS-Konfiguration erhalten Sie von Ihrem internen AWS-Administrator.

Wichtig

Die Struktur des Hostnamens des OCSP-Cacheservers (Online Certificate Status Protocol) hängt von der Version Ihrer installierten Clients ab, wie unter Konfigurieren Ihres Snowflake-Clients beschrieben:

Wenn Sie die aufgelistete Version oder eine höhere Version verwenden, verwenden Sie das unter Konfigurieren Ihres Snowflake-Clients angegebene Format. Dies ermöglicht eine bessere DNS-Auflösung, wenn Sie in derselben Region über mehrere Snowflake-Konten (z. B. für Entwicklung, Test und Produktion) verfügen. Wenn Sie Clienttreiber aktualisieren und OCSP mit PrivateLink verwenden, aktualisieren Sie die Firewall-Regeln, um den OCSP-Hostnamen auf die Zulassungsliste zu setzen.
Wenn Sie eine frühere Clientversion verwenden, dann hat der Hostname des OCSP-Cacheservers das Format ocsp.region_id.privatelink.snowflakecomputing.com ohne einen Kontobezeichner.
Ihr DNS-Datensatz muss in private IP-Adressen innerhalb Ihrer VPC aufgelöst werden. Wenn er in öffentliche IP-Adressen aufgelöst wird, ist der Datensatz nicht korrekt konfiguriert.

AWS-VPC-Schnittstellenendpunkte für Amazon S3 erstellen¶

Dieser Schritt ist erforderlich, damit Amazon S3-Datenverkehr von Snowflake-Clients auf dem AWS-Backbone verbleibt. Snowflake-Clients (wie Snowflake CLI, SnowSQL, JDBC-Treiber usw.) erfordern den Zugriff auf Amazon S3, um verschiedene Laufzeitoperationen ausführen zu können.

Ein AWS VPC-Netzwerk erlaubt keinen Zugriff über das öffentliche Internet. Daher müssen Sie private Konnektivität zu internen Stagingbereichen oder zu mehreren Gateway-Endpunkten für die Amazon S3-Hostnamen konfigurieren, die von den Snowflake-Clients benötigt werden.

Es gibt drei Möglichkeiten, den Zugang zu Amazon S3 zu konfigurieren. Bei den ersten beiden Optionen wird das öffentliche Internet gemieden, die dritte Option verwendet es jedoch:

Konfigurieren Sie einen AWS-VPC-Schnittstellenendpunkt für interne Schnittstellenendpunkt.
Konfigurieren Sie einen Amazon S3-Gateway-Endpunkt. Weitere Informationen finden Sie im folgenden Abschnitt „Achtung“.
Konfigurieren Sie keinen Schnittstellenendpunkt oder einen Gateway-Endpunkt. Dies führt zu einem Zugriff, der über das öffentliche Internet erfolgt.

Achtung

Um zu verhindern, dass die Kommunikation zwischen einem Amazon S3-Bucket und einer AWS VPC mit Snowflake über das öffentliche Internet erfolgt, können Sie in derselben AWS-Region wie der Amazon S3-Bucket einen oder mehrere Amazon S3-Gateway-Endpunkte einrichten. Dies verhindert die Kommunikation im öffentlichen Internet, da AWS PrivateLink nur Kommunikation zwischen VPCs erlaubt, und der Amazon S3-Bucket ist nicht in der VPC enthalten.

Sie können den Amazon S3-Gateway-Endpunkt so konfigurieren, dass der Zugriff auf bestimmte Benutzer, Amazon S3-Ressourcen, Routen und Subnetze beschränkt wird. Für Snowflake ist diese Konfiguration aber nicht erforderlich. Weitere Informationen dazu finden Sie unter Gateway-Endpunkte für Amazon S3.

Um Amazon S3-Gateways darauf zu beschränken, nur Amazon S3-Ressourcen für Snowflake zu verwenden, wählen Sie eine der folgenden Optionen:

Verwenden Sie die spezifischen Amazon S3-Hostnamen-Adressen, die von Ihrem Snowflake-Konto in Ihren AWS-Endpunktrichtlinien verwendet werden. Die vollständige Liste der Hostnamen, die von Ihrem Konto verwendet werden, finden Sie unter SYSTEM$ALLOWLIST.
Verwenden Sie ein Amazon S3-Hostnamenmuster, das mit den Snowflake-S3-Hostnamen in Ihren AWS-Endpunktrichtlinien übereinstimmt. In diesem Szenario gibt es zwei mögliche Verbindungstypen zu Snowflake: VPC-zuVPC oder Lokal-zu-VPC.

Führen Sie je nach Verbindungstyp die folgenden Anweisungen aus:

VPC-zu-VPC:

Stellen Sie sicher, dass der Amazon S3-Gateway-Endpunkt vorhanden ist. Optional können Sie die Amazon S3-Gateway-Endpunktrichtlinie so ändern, dass sie mit den spezifischen Hostnamenmustern in der folgenden Tabelle mit den Amazon S3-Hostnamen übereinstimmt.

Lokal-zu-VPC:

Hierfür definieren Sie ein Setup, das die Amazon S3-Hostnamenmuster in die Firewall- oder Proxy-Konfiguration einbezieht, falls Amazon S3-Datenverkehr über das öffentlichen Gateway nicht zulässig ist.

Wenn Ihre Gateway-Endpunkte nicht explizit mit den von Snowflake verwalteten S3-Buckets Ihres Kontos übereinstimmen müssen, können Sie die in der folgenden Tabelle aufgeführten Amazon S3-Hostnamensmuster verwenden, um Gateway-Endpunkte zu erstellen:

Amazon S3-Hostnamen

Anmerkungen

Alle Regionen

sfc-*-stage.s3.amazonaws.com:443

Keine.

Alle Regionen außer US East

sfc-*-stage.s3-<Regions-ID>.amazonaws.com:443

Im Muster wird vor der Regions-ID ein Bindestrich (-) verwendet.

sfc-*-stage.s3.<Regions-ID>.amazonaws.com:443

Im Muster wird vor der Regions-ID ein Punkt (.) verwendet.

Amazon S3-Hostnamen	Anmerkungen
Alle Regionen
`sfc-*-stage.s3.amazonaws.com:443`	Keine.
Alle Regionen außer US East
`sfc-*-stage.s3-<Regions-ID>.amazonaws.com:443`	Im Muster wird vor der Regions-ID ein Bindestrich (`-`) verwendet.
`sfc-*-stage.s3.<Regions-ID>.amazonaws.com:443`	Im Muster wird vor der Regions-ID ein Punkt (`.`) verwendet.

Weitere Informationen zum Erstellen von Gateway-Endpunkten finden Sie in der Dokumentation zu Gateway-VPC-Endpunkten.

Mit Snowflake verbinden¶

Vor dem Verbinden mit Snowflake können Sie optional mithilfe des Snowflake Connectivity Diagnostic-Tools (SnowCD) die Netzwerkverbindung zu Snowflake und AWS PrivateLink evaluieren.

Weitere Informationen dazu finden Sie unter SnowCD und SYSTEM$ALLOWLIST_PRIVATELINK.

Andernfalls stellen Sie eine Verbindung zu Snowflake mit der Konto-URL für private Konnektivität her.

Wenn Sie eine Verbindung zu Snowsight über AWS PrivateLink herstellen möchten, verwenden Sie die Anleitung in der Snowsight-Dokumentation.

Sperrung des öffentlichen Zugangs — Empfohlen¶

Nach dem Testen der privaten Konnektivität von AWS PrivateLink mit Snowflake können Sie optional den öffentlichen Zugriff auf Snowflake blockieren. Das bedeutet, dass Benutzer nur dann auf Snowflake zugreifen können, wenn ihre Verbindungsanforderung von einer IP-Adresse innerhalb eines bestimmten CIDR-Blockierbereichs stammt, der in einer Snowflake-Netzwerkrichtlinie angegeben ist.

So blockieren Sie den öffentlichen Zugriff mithilfe einer Netzwerkrichtlinie:

Erstellen Sie eine neue Netzwerkrichtlinie, oder bearbeiten Sie eine vorhandene Netzwerkrichtlinie.
Fügen Sie den CIDR-Blockierbereich für Ihre Organisation hinzu.
Aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.

Weitere Informationen dazu finden Sie unter Steuern des Netzwerkdatenverkehrs mit Netzwerkrichtlinien.

Konfigurieren Ihres Snowflake-Clients¶

In den folgenden Abschnitten wird beschrieben, wie Sie Snowflake-Clients für bestimmte Anwendungsfälle konfigurieren.

Sicherstellen, dass Snowflake-Clients OCSP-Cacheserver unterstützen¶

Der Snowflake-OCSP-Cacheserver verringert Verbindungsprobleme zwischen Snowflake-Clients und dem Server. Stellen Sie sicher, dass Sie die folgenden Clientversionen verwenden, damit Ihre installierten Snowflake-Clients den OCSP-Servercache nutzen können:

Snowflake CLI 3.0.0 (oder höher)
SnowSQL 1.1.57 (oder höher)
Python-Konnektor 1.8.2 (oder höher)
JDBC-Treiber 3.8.3 (oder höher)
ODBC-Treiber 2.19.3 (oder höher)

Bemerkung

Der Snowflake-OCSP-Cacheserver überwacht Port 80. Daher wurden Sie in AWS VPC-Endpunkt erstellen und konfigurieren angewiesen, Ihre AWS PrivateLink VPCE-Sicherheitsgruppe so zu konfigurieren, dass sowohl 80 als auch Port 443 (für gesamten weiteren Snowflake-Datenverkehr) akzeptiert werden.

Hostnamen für Snowflake-Clients angeben¶

Jeder Snowflake-Client benötigt einen Hostnamen, um eine Verbindung zu Ihrem Snowflake-Konto herzustellen.

Der Hostname ist derselbe wie der Hostname, den Sie in den CNAME-Datensätzen in VPC-Netzwerk konfigurieren angegeben haben.

Dieser Schritt gilt nicht für den Zugriff auf Snowflake Marketplace.

Beispiel für ein Konto mit dem Namen xy12345:

Wenn sich das Konto in US West befindet, lautet der Hostname xy12345.us-west-2.privatelink.snowflakecomputing.com.
Wenn sich das Konto in EU (Frankfurt) befindet, lautet der Hostname xy12345.eu-central-1.privatelink.snowflakecomputing.com.

Wichtig

Die Methode zur Spezifizierung des Hostnamens hängt vom jeweiligen Client ab:

Geben Sie für den Spark-Konnektor sowie für die ODBC- und JDBC-Treiber den gesamten Hostnamen an.
Bei allen anderen Clients geben Sie nicht den gesamten Hostnamen an. Verwenden Sie stattdessen den Kontobezeichner mit dem privatelink-Segment (<account_identifier>.privatelink. Snowflake concatenates this name with snowflakecomputing.com), um den Hostnamen dynamisch zu erstellen.

Weitere Informationen zum Angeben des Kontonamens oder Hostnamens für einen Snowflake-Client finden Sie in der Dokumentation des jeweiligen Clients.

Verwenden von SSO mit AWS PrivateLink¶

Snowflake unterstützt die Verwendung von SSO mit AWS PrivateLink. Weitere Informationen dazu finden Sie unter:

Verwenden der Clientumleitung mit AWS PrivateLink¶

Snowflake unterstützt die Verwendung der Clientumleitung mit AWS PrivateLink.

Weitere Informationen dazu finden Sie unter Umleiten von Clientverbindungen.

Verwenden von Replikation und Tri-Secret Secure mit privater Konnektivität¶

Snowflake unterstützt das Replizieren Ihrer Daten vom Quellkonto in ein Zielkonto, unabhängig davon, ob Sie Tri-Secret Secure oder dieses Feature im Zielkonto aktivieren.

Problembehandlung¶

Informationen zu Behebung von Problemen, die im Zusammenhang mit PrivateLink auftreten können, finden Sie in den folgenden Artikeln der Snowflake-Community: