Notebooksのプライベート接続

このトピックでは、 Snowflake Notebooks にアクセスする際に、 AWS PrivateLink、Azure Private Link、または Google Private Service Connect を使用する方法について説明します。この機能は、 WarehouseとContainer Runtimes for AWS and Azure、およびWarehouse Runtime for Googleの両方で利用可能です。

Google Cloud Private Service Connectの前提条件

Google Private Service Connectで Snowflake Notebooks にアクセスします。

  1. Snowflake アカウント のプライベート接続を設定する。

  2. Snowsight 用にプライベート接続を設定する。

また、お客様のアカウントでは、Google Private Service Connect上ですでに Streamlit in Snowflake が使われている必要があります。Notebooks は実行に Streamlit エンジンを使用し、セル出力のレンダリングに Streamlit ウィジェットを使用します。

Snowflake Notebooks へのアクセス構成

ホスト名を決定します:

  • Snowflakeアカウントで SYSTEM$GET_PRIVATELINK_CONFIG を呼び出します。Notebooksホスト名は、 app-service-privatelink-url キーの下に表示されます。これは、 AWS PrivateLink、Azure Private Link、またはGoogle Private Service Connectを介してNotebooksアプリケーショントラフィックをルーティングするために必要なワイルドカード URL です。

注釈

次の例に示すように、Notebooks 用に新しい VPC エンドポイントをセットアップするか、Snowflake アカウントの同じ VPC エンドポイントに DNS 記録を作成することができます:

  • 記録名: *.abcd.privatelink.snowflake.app

  • 型: CNAME

  • トラフィックのルーティング先: Snowflakeのトラフィックと同じ VPC。

アカウントレベルでのホスト名ルーティングは現在サポートされていません。

セキュリティに関する考慮事項

Notebooksは HTTPS-暗号化トラフィックと WebSocket-暗号化トラフィックの両方に対応しています。Notebooksブラウザ クライアント アプリケーションは、 Snowsight 内のサードパーティのクロスオリジンiframeにマウントされています。これにより、厳密なクロスサイト・ブラウザーの分離制御が可能になります。

Snowflake Notebooks 特定のセキュリティ要件には、別の URL スキームを使用します。Notebooks URLs は、 Snowsight と要素を共有しない独自のトップレベルドメインを持っています。Notebooksにはそれぞれユニークな由来があります。

注釈

AWS PrivateLink、Azure Private Link、または Google Private Service Connect を使用する場合、 DNS の解決を制御します。プライベート接続 DNS の記録は Snowflake によって制御されません。