Amazon S3へのセキュアアクセスの構成

S3バケットに対するデータの読み書きには、バケットのセキュリティおよびアクセス管理ポリシーで、Snowflakeがバケットにアクセスできるようにする必要があります。

プライベートS3バケットへの安全なアクセスを構成するために次のオプションがサポートされています。

オプション1:

ストレージ統合オブジェクトを構成して、外部クラウドストレージの認証責任をSnowflake IDおよびアクセス管理(IAM)エンティティに委任します。

注釈

このオプションを強くお勧めします。これにより、ステージの作成時またはデータのロード時に AWS IAM 認証情報を提供する必要がなくなります。

オプション2:

外部S3バケットにアクセスするために必要なポリシーと権限で AWS IAM ロールを構成します。このアプローチにより、個々のユーザーはセキュリティ認証情報とアクセスキーの提供と管理を回避できます。

この機能を実装するには、名前付き外部ステージが 必要 です。COPY ステートメントでS3バケット URL に直接アクセスするためのサポートはありません。

重要

AWS IAM ロールを使用してプライベートS3バケットにアクセスし、データをロードまたはアンロードする機能は廃止されました(つまり、サポートは将来のリリースで削除される予定)。この機能を使用する既存のS3ステージを変更して、代わりにストレージ統合オブジェクトを参照することを強くお勧めします(このトピックの オプション1)。

オプション3:

S3バケットにアクセスするために必要な権限を持つ AWS IAM ユーザーを構成します。この1回限りの設定では、バケットにアクセス許可を設定し、必要な許可を IAM ユーザーに関連付けます。その後、バケットを指定する外部(つまり、S3)ステージには、 AWS キーと秘密キーでアクセスできます。

このトピックでは、S3で必要なタスクを実行する方法について説明します。

注釈

このトピックの手順を完了するには、 AWSへの管理アクセスが必要です。AWS 管理者でない場合は、 AWS 管理者にこれらのタスクを実行するよう依頼します。

次のトピック: