ワークスペースにおけるノートブックのプライベート接続¶
このトピックでは、ワークスペースでノートブックにアクセスする際の AWS PrivateLink 、Azure Private Link、または Google Private Service Connect の使用方法について説明します。
AWS PrivateLink 前提条件¶
AWS PrivateLink でワークスペース内のノートブックにアクセスするには:
Snowflake アカウント のプライベート接続を設定する。
Snowsight 用にプライベート接続を設定する。
また、お客様のアカウントでは、 Streamlit in Snowflake over AWSPrivateLink がすでに使われている必要があります。
Azure Private Linkの前提条件¶
Azure Private Linkでワークスペース内のノートブックにアクセスするには:
Snowflake アカウント のプライベート接続を設定する。
Snowsight 用にプライベート接続を設定する。
また、アカウントはすでに Azure Private Link 上で Streamlit in Snowflake を使用している必要があります。
Google Cloud Private Service Connectの前提条件¶
Google Private Service Connectでワークスペース内のノートブックにアクセスするには:
Snowflake アカウント のプライベート接続を設定する。
Snowsight 用にプライベート接続を設定する。
また、アカウントはすでにGoogle Private Service Connect.上で Streamlit in Snowflake を使用している必要があります。
ワークスペース内のノートブックへのアクセスを構成する¶
ホスト名を決定するには、Snowflakeアカウントで SYSTEM$GET_PRIVATELINK_CONFIG を呼び出します。
app-service-privatelink-urlキーに返された値を使用します。この URL は、Snowflakeがホストするアプリサービスにトラフィックをルーティングするために使用されます。これには AWS PrivateLink 、Azure Private Link、またはGoogle Private Service Connect上の Snowflake Notebooks が含まれます。
注釈
次の例に示すように、ワークスペースのノートブック用に新しい VPC エンドポイントを設定するか、Snowflake アカウントの同じ VPC エンドポイントに DNS 記録を作成することができます。
記録名:
*.abcd.privatelink.snowflake.app型: CNAME
トラフィックのルーティング先:Snowflakeのトラフィックと同じ VPC。
アカウントレベルでのホスト名ルーティングは現在サポートされていません。
セキュリティに関する考慮事項¶
ノートブックは、 HTTPS-暗号化トラフィックと WebSocket-暗号化トラフィックの両方を提供します。ノートブックのブラウザクライアントアプリケーションは、 Snowsight 内のサードパーティのクロスオリジンiframeに含まれています。これにより、厳密なクロスサイト・ブラウザーの分離制御が可能になります。
ワークスペース内のノートブックは特定のセキュリティ要件に別の URL スキームを使用します。Notebooks URLs は、 Snowsight と要素を共有しない独自のトップレベルドメインを持っています。Notebooksにはそれぞれユニークな由来があります。
注釈
AWS PrivateLink 、Azure Private Link、または Google Private Service Connect のいずれかをを使用する場合、 DNS の解決を制御します。Snowflakeはプライベート接続の DNS 記録を制御しません。