外部関数の保護

このトピックでは、外部機能の保護に関する、プラットフォームに依存しない詳細について説明します。

このトピックの内容:

アクセス制御

外部関数

ユーザー定義関数(UDFs)のような外部関数は、 アクセス制御 ルールに従います。

  • 外部関数には所有者がいます。

  • 所有者は、呼び出し側(所有者以外)に対して、関数への適切な権限を付与する必要があります。

ただし、外部関数には、いくつかの追加の権限要件があります。

  • 外部関数には API 統合が必要なため、外部関数の作成者には、 API 統合に対する USAGE 権限を付与する必要があります。

UDFs とアクセス制御の詳細については、 アクセス制御権限 をご参照ください。

API 統合

API 統合はデータベースオブジェクトです。API 統合を作成するには、 ACCOUNTADMIN 権限または CREATE INTEGRATION 権限を持つSnowflakeロールが必要です。アカウント管理者は、各 API 統合に対する所有権および使用権限の付与および取り消しができます。

プロキシサービスの保護

外部関数が呼び出せることを確認した後、通常はプロキシサービスにセキュリティ制限を追加して、引き続き関数が呼び出せるかどうかを確認する必要があります。

  1. 外部関数の公開アクセスを意図していない限り、外部関数を呼び出すことができるユーザーを制限する必要があります。詳細については、 プロキシサービスエンドポイントの保護 をご参照ください。

  2. セキュリティ制限を追加した後、関数を再度呼び出して、引き続き呼び出せることを確認します。

Snowflake内からプロキシサービスへの安全なアクセスを支援するために、 API 統合所有者は、 API 統合オブジェクトがアクセスできるエンドポイントのホワイトリストを指定します。ホワイトリストを見直して、それが実用範囲内でできるだけ狭いことを確認します。

リモートサービスの保護

独自のリモートサービスを作成した場合は、保護することを忘れないでください。

詳細はリモートサービスの実装によって異なり、このドキュメントの範囲外です。

ほとんどの場合、リモートサービスは HTTP ではなく HTTPS を使用する必要があります。

追加のセキュリティ情報

  • Snowflakeとプロキシサーバー間の通信は HTTPS を使用して暗号化されます。

プラットフォーム固有のセキュリティ情報

AWS