AWS PrivateLink et Snowflake¶

Ce chapitre décrit comment configurer AWS PrivateLink pour connecter directement votre compte Snowflake à un ou plusieurs AWS clouds privés virtuels (VPCs).

Dans ce chapitre :

AWS PrivateLink : aperçu¶

AWS PrivateLink est un service AWS pour créer des points de terminaison VPC privées qui permettent une connectivité directe et sécurisée entre vos VPCs AWS et le VPC Snowflake sans passer par l’Internet public. La connectivité AWS PrivateLink prend en charge les services de point de terminaison VPC et les VPCs AWS situés dans la même ou dans différentes régions AWS. La connectivité interrégionale pour AWS PrivateLink vous permet d’utiliser un service de point de terminaison personnalisé pour connecter un compte Snowflake dans une région différente de votre région AWS VPC. La connectivité interrégionale n’est actuellement prise en charge pour aucune plateforme en tant que service (PaaS), notamment les services, tels que Amazon Simple Storage Service (Amazon S3) ou le service de gestion de clés (KMS).

For more information, see the AWS blog page, Introducing Cross-Region Connectivity for AWS PrivateLink. For information about finding the region names for your account, see Find the cloud-provider’s name of the region for your account.

Lorsque vous écrivez des fonctions externes, vous pouvez également utiliser AWS PrivateLink avec des points de terminaison privés.

Si vous disposez d’un environnement sur site (par exemple, un centre de données non hébergé), vous pouvez utiliser AWS Direct Connect, avec AWS PrivateLink, pour connecter tous vos environnements virtuels et physiques dans un réseau unique et privé.

Note

AWS Direct Connect est un service AWS distinct qui doit être mis en œuvre indépendamment d’AWS PrivateLink et n’est pas abordé dans ce chapitre. Pour plus d’informations sur la mise en œuvre de AWS Direct Connect, contactez Amazon.

Activer AWS PrivateLink¶

Note

Le processus d’activation en libre-service de cette section ne prend pas en charge l’autorisation d’un identificateur de compte AWS provenant d’un service cloud géré ou d’un fournisseur tiers.

Pour autoriser un identificateur de compte AWS pour ce cas d’utilisation, veuillez récupérer l’identificateur de compte AWS auprès du fournisseur et contacter le support Snowflake.

Pour activer AWS PrivateLink pour votre compte Snowflake, effectuez les étapes suivantes :

Générez un jeton fédéré, puis enregistrez la sortie.
1. Pour générer un jeton, exécutez la commande AWS CLI STS sur la ligne de commande. get-federation-token requiert un utilisateur de gestion des identités et des accès dans AWS ou l’utilisateur racine du compte AWS. Pour plus de détails, reportez-vous à la documentation AWS.
  
  Important
  
  Le jeton fédéré expire après 12 heures. Si vous appelez l’une des fonctions système pour autoriser, vérifier ou désactiver votre compte Snowflake afin d’utiliser AWS PrivateLink et que le jeton a expiré, régénérez le jeton en exécutant à nouveau la commande AWS CLI STS.
  aws sts get-federation-token --name sam
  Copy
  Dans une étape ultérieure, vous fournirez la sortie de cette commande comme argument federated_token pour la fonction SYSTEM$AUTHORIZE_PRIVATELINK.
2. À partir de votre jeton généré, extrayez la valeur du champ "FederatedUserId". Par exemple, si votre jeton contient les valeurs suivantes :
  { ... "FederatedUser": { "FederatedUserId": "185...:sam", "Arn": "arn:aws:sts::185...:federated-user/sam" }, "PackedPolicySize": 0 }
  Copy
  Extrayez 185.... Dans l’étape suivante, vous fournirez ce numéro à 12 chiffres comme argument aws_id pour la fonction SYSTEM$AUTHORIZE_PRIVATELINK.
En utilisant le rôle système Snowflake ACCOUNTADMIN, appelez la fonction SYSTEM$AUTHORIZE_PRIVATELINK pour autoriser (activer) AWS PrivateLink pour votre compte Snowflake :
```
SELECT SYSTEM$AUTHORIZE_PRIVATELINK ( '<aws_id>' , '<federated_token>' );
```
Copy
Où :
- 'aws_id'
  
  L’identificateur à 12 chiffres qui identifie de manière unique votre compte Amazon Web Services (AWS) sous forme de chaîne.
- 'federated_token'
  
  La valeur du jeton fédéré qui contient les identifiants d’accès pour un utilisateur fédéré sous forme de chaîne.
Par exemple :
```
USE ROLE ACCOUNTADMIN;

SELECT SYSTEM$AUTHORIZE_PRIVATELINK (
  '185...',
    '{
      "Credentials": {
        "AccessKeyId": "ASI...",
        "SecretAccessKey": "enw...",
        "SessionToken": "Fwo...",
        "Expiration": "2021-01-07T19:06:23+00:00"
      },
      "FederatedUser": {
        "FederatedUserId": "185...:sam",
        "Arn": "arn:aws:sts::185...:federated-user/sam"
      },
      "PackedPolicySize": 0
     }'
  );
```
Copy
Pour vérifier votre configuration, appelez la fonction SYSTEM$GET_PRIVATELINK de votre compte Snowflake sur AWS. Cette fonction utilise les mêmes valeurs d’argument pour 'aws_id' et 'federated_token' que celles utilisées pour autoriser votre compte Snowflake.

SYSTEM$GET_PRIVATELINK renvoie Account is authorized for PrivateLink. pour une autorisation réussie.
Facultativement, s’il est nécessaire de désactiver AWS PrivateLink dans votre compte Snowflake, appelez la fonction SYSTEM$REVOKE_PRIVATELINK en utilisant les mêmes valeurs d’argument pour 'aws_id' et 'federated_token'.

Pour renforcer votre posture de sécurité, Snowflake recommande d’épingler des points de terminaison privés pour votre compte Snowflake. Pour plus d’informations, voir. Épingler les points de terminaison de la connectivité privée pour le trafic entrant.

Configurer votre environnement VPC AWS¶

Attention

Cette section ne couvre que les détails spécifiques à Snowflake pour la configuration de votre environnement VPC.

Snowflake n’est pas responsable de la configuration finale des points de terminaison AWS VPC nécessaires, des règles des groupes de sécurité et des enregistrements DNS (Domain Name System, système de noms de domaine). Si vous rencontrez des problèmes avec l’une de ces tâches de configuration, veuillez contacter le support AWS.

Créer et configurer votre point de terminaison VPC AWS¶

Pour créer et configurer un point de terminaison VPC dans votre environnement AWS VPC, procédez comme suit :

Dans votre compte Snowflake, utilisez le rôle système ACCOUNTADMIN pour appeler la fonction SYSTEM$GET_PRIVATELINK_CONFIG, puis enregistrez la valeur privatelink-vpce-id.
Dans votre environnement AWS, créez un point de terminaison VPC en utilisant la valeur privatelink-vpce-id de l’étape précédente.

Note

If the Snowflake region of your VPC endpoint is different from the region of your AWS VPC, you must make two selections that enable cross-region connectivity. In the AWS VPC Console, select Enable Cross Region endpoint, and then select the primary region of the service in Service Settings » Service Region.

Pour des instructions complètes, voir la procédure de configuration étape par étape pour configurer la connectivité interrégionale dans la documentation d’AWS.

For instructions that describe how to find the region name of your account, see Find the cloud-provider’s name of the region for your account.
Dans votre environnement AWS, autorisez un groupe de services de sécurité qui connectent la connexion sortante Snowflake aux ports 443 et 80 du CIDR (Classless Inter-Domain Routing) du VPCE.

Pour plus d’informations, voir les rubriques suivantes dans la documentation d’AWS :

Find the cloud-provider’s name of the region for your account¶

Snowflake and the cloud provider that hosts your Snowflake account use similar, but different names for the region that hosts the Snowflake service. You can use system functions to find region names that you use to establish connectivity across regions. To determine the cloud-provider’s name of the region that hosts your Snowflake account, take the following steps:

Run the CURRENT_REGION and SHOW REGIONS commands.
In the output returned by SHOW REGIONS, find a row that shows a value in the snowflake_region column that matches the output returned by SELECT CURRENT REGION.

The value in this row’s region column is the cloud-provider’s name of the region that hosts your Snowflake account.

In the following example, us-west-2 is the cloud-provider’s name of the region that hosts the Snowflake account named AWS_US_WEST.

SELECT CURRENT_REGION();

Copy

Output:

+------------------+
| CURRENT_REGION() |
|------------------|
| AWS_US_WEST_2    |
+------------------+

Copy

SHOW REGIONS;

Copy

Output:

+------------------+-------+-----------|-----------------+
| snowflake_region | cloud | region    | display_name    |
|------------------|-------|-----------|-----------------|
| AWS_US_WEST_2    | aws   | us-west-2 | US West (Oregon)|
+------------------+-------+-----------+-----------------+

Copy

Configurer votre réseau VPC¶

Pour accéder à Snowflake en utilisant un point de terminaison AWS PrivateLink, vous devez créer des enregistrements de nom canonique (CNAME) dans votre DNS pour résoudre les valeurs de point de terminaison appropriées à partir de la fonction SYSTEM$GET_PRIVATELINK_CONFIG vers le nom DNS de votre point de terminaison VPC.

Les valeurs à obtenir à partir de la sortie de SYSTEM$GET_PRIVATELINK_CONFIG dépendent des fonctions de Snowflake auxquelles vous accédez en utilisant une connexion privée. Pour une description des valeurs possibles, voir Valeurs de retour.

Notez que les valeurs pour regionless-snowsight-privatelink-url et snowsight-privatelink-url permettent l’accès à Snowsight et Snowflake Marketplace en utilisant une connectivité privée. Cependant, il y a une configuration supplémentaire si vous voulez activer les redirections d’URL. Pour plus d’informations, consultez Snowsight & Connectivité privée.

Pour obtenir de l’aide supplémentaire sur la configuration de DNS, veuillez contacter votre administrateur AWS interne.

Important

La structure du nom d’hôte du serveur de cache OCSP (Online Certificate Status Protocol) dépend de la version de vos clients installés, comme décrit dans la section Configurer vos clients Snowflake :

Si vous utilisez la version répertoriée ou une version ultérieure, utilisez le format indiqué dans Configurer vos clients Snowflake, qui permet une meilleure résolution DNS lorsque vous avez plusieurs comptes Snowflake, par exemple, dev, test et production, dans la même région. Lors de la mise à jour des pilotes clients et de l’utilisation d’OCSP avec PrivateLink, mettez à jour les règles de pare-feu pour autoriser le nom d’hôte OCSP.
Si vous utilisez une version antérieure du client, alors le nom d’hôte du serveur de cache OCSP prend la forme ocsp.region_id.privatelink.snowflakecomputing.com sans identificateur de compte.
Votre enregistrement DNS doit être résolu en adresses IP privées dans votre VPC. S’il est résolu en adresses IP publiques, l’enregistrement n’est pas configuré correctement.

Créer des points de terminaison d’interface VPC AWS pour Amazon S3¶

This step is required for Amazon S3 traffic from Snowflake clients to stay on the AWS backbone. The Snowflake clients (such as Snowflake CLI, SnowSQL, JDBC driver, and so on) require access to Amazon S3 to perform various runtime operations.

Si votre réseau AWS VPC ne permet pas l’accès à l’Internet public, vous pouvez configurer une connectivité privée aux zones de préparation internes ou davantage de points de terminaison de passerelle vers les noms d’hôtes Amazon S3 requis par les clients Snowflake.

Il existe trois options pour configurer l’accès à Amazon S3. Les deux premières options évitent l’Internet public, contrairement à la troisième qui l’utilise :

Configurer un point de terminaison d’interface AWS VPC pour des zones de préparation internes. Cette option est recommandée.
Configurer un point de terminaison de passerelle Amazon S3. Pour plus d’informations, voir la section Attention suivante.
Ne configurez pas de point de terminaison d’interface ou de point de terminaison de passerelle. Il en résulte un accès qui utilise l’Internet public.

Attention

Pour que les communications entre un compartiment Amazon S3 et un VPC AWS avec Snowflake n’utilisent pas l’Internet public, vous pouvez configurer un point de terminaison de passerelle Amazon S3 dans la même région AWS que celle du compartiment Amazon S3. Cela empêche les communications sur l’Internet public parce que AWS PrivateLink autorise uniquement les communications entre les VPCs, et le compartiment Amazon S3 n’est pas inclus dans le VPC.

Vous pouvez configurer le point de terminaison de passerelle Amazon S3 pour limiter l’accès à des utilisateurs spécifiques, des ressources Amazon S3, des itinéraires et des sous-réseaux ; cependant, Snowflake n’exige pas cette configuration. Pour plus d’informations, voir. Points de terminaison de passerelle pour Amazon S3.

Pour limiter les passerelles Amazon S3 à l’utilisation exclusive des ressources Amazon S3 pour Snowflake, choisissez l’une des options suivantes :

Utilisez les adresses de noms d’hôte Amazon S3 spécifiques utilisés par votre compte Snowflake dans vos politiques de points de terminaison AWS. Pour obtenir la liste complète des noms d’hôtes utilisés par votre compte, voir SYSTEM$ALLOWLIST.
Utilisez un modèle de nom d’hôte Amazon S3 correspondant aux noms d’hôte Snowflake S3 dans vos politiques de points de terminaison AWS. Dans ce scénario, il existe deux types de connexions possibles à Snowflake : VPC-à-VPC ou Sur-site-à-VPC.

En fonction de votre type de connexion, suivez les instructions suivantes :

VPC-à-VPC:

Assurez-vous que le point de terminaison de la passerelle Amazon S3 existe. Modifiez éventuellement la politique de point de terminaison de passerelle Amazon S3 pour qu’elle corresponde aux modèles de noms d’hôte spécifiques indiqués dans le tableau Noms d’hôtes Amazon S3 suivant.

Sur-site-à-VPC:

Définissez une configuration permettant d’inclure les modèles de noms d’hôte Amazon S3 dans la configuration du pare-feu ou du proxy si le trafic Amazon S3 est non autorisé sur la passerelle publique.

Si vous n’exigez pas que les points de terminaison de votre passerelle correspondent explicitement aux compartiments S3 gérés par Snowflake de votre compte, vous pouvez utiliser les modèles de noms d’hôte Amazon S3 indiqués dans le tableau suivant pour créer des points de terminaison de passerelle :

Noms d’hôtes Amazon S3

Remarques

Toutes les régions

sfc-*-stage.s3.amazonaws.com:443

Aucune.

Toutes les régions autres que US Est

sfc-*-stage.s3-<id_région>.amazonaws.com:443

Le modèle utilise un trait d’union (-) avant la région ID.

sfc-*-stage.s3.<id_région>.amazonaws.com:443

Le modèle utilise un point (.) avant la région ID.

Noms d’hôtes Amazon S3	Remarques
Toutes les régions
`sfc-*-stage.s3.amazonaws.com:443`	Aucune.
Toutes les régions autres que US Est
`sfc-*-stage.s3-<id_région>.amazonaws.com:443`	Le modèle utilise un trait d’union (`-`) avant la région ID.
`sfc-*-stage.s3.<id_région>.amazonaws.com:443`	Le modèle utilise un point (`.`) avant la région ID.

Pour plus d’informations sur la création des points de terminaison de passerelle, voir Points de terminaison de passerelle VPC.

Se connecter à Snowflake¶

Avant de vous connecter à Snowflake, vous pouvez éventuellement utiliser l’outil de diagnostic de la connectivité Snowflake (SnowCD) pour évaluer la connexion réseau avec Snowflake et AWS PrivateLink.

Pour plus d’informations, voir SnowCD et SYSTEM$ALLOWLIST_PRIVATELINK.

Sinon, connectez-vous à Snowflake avec votre URL de compte de connectivité privée.

Si vous souhaitez vous connecter à Snowsight via AWS PrivateLink, suivez les instructions de la documentation Snowsight.

Bloquer l’accès public — Recommandé¶

Après avoir testé la connectivité privée à Snowflake en utilisant AWS PrivateLink, vous pouvez éventuellement bloquer l’accès public à Snowflake. Cela signifie que les utilisateurs ne peuvent accéder à Snowflake que si leur demande de connexion provient d’une adresse IP située dans une plage de blocs CIDR particulière spécifiée dans une politique réseau Snowflake.

Pour bloquer l’accès public à l’aide d’une politique réseau :

Créez une politique réseau ou modifiez une politique réseau existante.
Ajoutez la plage de blocage CIDR pour votre organisation.
Activez la politique réseau pour votre compte.

Pour plus d’informations, voir Contrôle du trafic réseau avec des politiques réseau.

Configurer vos clients Snowflake¶

Les sections suivantes décrivent comment configurer les clients Snowflake pour des cas d’utilisation spécifiques.

S’assurer que les clients Snowflake prennent en charge le serveur de cache OCSP¶

Le serveur de cache OCSP de Snowflake diminue les problèmes de connectivité entre les clients Snowflake et le serveur. Pour permettre à vos clients ayant installé Snowflake d’utiliser le cache de serveur OCSP, assurez-vous que vous utilisez les versions de clients suivantes :

Snowflake CLI 3.0.0 (or higher)
SnowSQL 1.1.57 (or higher)
Python Connector 1.8.2 (or higher)
JDBC Driver 3.8.3 (or higher)
ODBC Driver 2.19.3 (or higher)

Note

Le serveur de cache de Snowflake OCSP écoute sur le port 80, c’est pourquoi il vous indiqué dans Créer et configurer votre point de terminaison VPC AWS de configurer votre groupe de sécurité AWS PrivateLink VPCE pour accepter le port 80 et le port 443, qui est requis pour tout le reste du trafic Snowflake.

Spécifier un nom ’”hôte pour les clients Snowflake¶

Chaque client Snowflake nécessite un nom d’hôte pour se connecter à votre compte Snowflake.

Le nom d’hôte est le même que le nom d’hôte que vous avez spécifié dans les enregistrements CNAME dans Configurer votre réseau VPC.

Cette étape ne s’applique pas pour accéder à Snowflake Marketplace.

Par exemple, pour un compte nommé xy12345 :

Si le compte est dans l’ouest des US, le nom d’hôte est xy12345.us-west-2.privatelink.snowflakecomputing.com.
Si le compte est dans l’EU (Francfort), le nom d’hôte est xy12345.eu-central-1.privatelink.snowflakecomputing.com.

Important

La méthode de spécification du nom d’hôte diffère selon le client :

Pour le connecteur Spark et les pilotes ODBC et JDBC, spécifiez le nom d’hôte complet.
Pour tous les autres clients, ne spécifiez pas le nom d’hôte complet. Au lieu de cela, spécifiez identificateur de compte avec le segment privatelink, qui est <account_identifier>.privatelink. Snowflake concatenates this name with snowflakecomputing.com pour construire dynamiquement le nom d’hôte.

Pour plus d’informations sur la spécification du nom de compte ou du nom d’hôte Snowflake, consultez la documentation de chaque client.

Utilisation de SSO avec AWS PrivateLink¶

Snowflake prend en charge l’utilisation de SSO avec AWS PrivateLink. Pour plus d’informations, voir :

Utilisation de la redirection des clients avec AWS PrivateLink¶

Snowflake prend en charge l’utilisation de la redirection des clients avec AWS PrivateLink.

Pour plus d’informations, voir Redirection des connexions des clients.

Utilisation de la réplication et de Tri-Secret Secure avec une connectivité privée¶

Snowflake prend en charge la réplication de vos données du compte source vers le compte cible, que vous activiez ou non Tri-Secret Secure ou cette fonctionnalité dans le compte cible.

Résolution des problèmes¶

Pour résoudre les problèmes que vous pourriez rencontrer avec PrivateLink, consultez les articles suivants de la communauté Snowflake :