Connectivité privée pour les Notebooks dans les espaces de travail¶
Cette rubrique explique comment utiliser AWS PrivateLink, Azure Private Link ou Google Private Service Connect lors de l’accès aux Notebooks dans les espaces de travail.
Conditions préalables AWS PrivateLink¶
Pour accéder aux Notebooks dans les espaces de travail avec AWS PrivateLink :
Configurez une connectivité privée pour votre Compte Snowflake.
Configurez une connectivité privée pour Snowsight.
En outre, votre compte doit déjà utiliser Streamlit in Snowflake sur AWS PrivateLink.
Conditions préalables d’Azure Private Link¶
Pour accéder aux Notebooks dans les espaces de travail avec Azure Private Link :
Configurez une connectivité privée pour votre Compte Snowflake.
Configurez une connectivité privée pour Snowsight.
En outre, votre compte doit déjà utiliser Streamlit in Snowflake via Azure Private Link.
Conditions préalables pour Google Cloud Private Service Connect¶
Pour accéder aux Notebooks dans les espaces de travail avec Google Private Service Connect :
Configurez une connectivité privée pour votre Compte Snowflake.
Configurez une connectivité privée pour Snowsight.
En outre, votre compte doit déjà utiliser Streamlit in Snowflake via Google Private Service Connect
Configurer l’accès aux Notebooks dans les espaces de travail¶
Pour déterminer le nom d’hôte, appelez SYSTEM$GET_PRIVATELINK_CONFIG dans votre compte Snowflake. Utilisez la valeur renvoyée pour la clé
app-service-privatelink-url. Cette URL est utilisée pour acheminer le trafic vers les services d’application hébergés par Snowflake, y compris Snowflake Notebooks, sur AWS PrivateLink, Azure Private Link ou Google Private Service Connect.
Note
Vous pouvez définir un nouveau point de terminaison VPC pour les Notebooks dans les espaces de travail ou créer un enregistrement DNS vers le même point de terminaison VPC de votre compte Snowflake, comme le montre l’exemple suivant :
Nom de l’enregistrement :
*.abcd.privatelink.snowflake.appType : CNAME
Acheminer le trafic vers : le même VPC comme votre trafic Snowflake.
Le routage du nom d’hôte au niveau du compte n’est actuellement pas pris en charge.
Remarques relatives à la sécurité¶
Les Notebooks servent à la fois le trafic chiffré HTTPSet le trafic chiffré WebSocket. L’application client du navigateur Notebooks est contenue dans une iframe tierce, interorigine, au sein de Snowsight. Cela permet un contrôle strict de l’isolation du navigateur entre les sites.
Les Notebooks dans les espaces de travail utilisent un schéma URL distinct pour les exigences de sécurité spécifiques. Les URLs de notebook ont leur propre domaine de premier niveau qui ne partage aucun élément avec l”Snowsight. Chaque notebooks a une origine unique.
Note
Lorsque vous utilisez AWS PrivateLink, Azure Private Link ou Google Private Service Connect, vous contrôlez la résolution DNS ; Snowflake ne contrôle pas les enregistrements DNS de connectivité privée.