컨슈머로부터 참조 및 오브젝트 수준 권한 요청하기

Snowflake logo in black (no text) 미리 보기 기능 — 공개

모든 비정부 AWS 리전의 계정에서 사용할 수 있습니다. 지원되는 다른 클라우드 플랫폼에 대한 자세한 내용은 Snowflake 담당자에게 문의하십시오.

이 항목에서는 공급자가 APPLICATION 오브젝트 외부에 존재하는 컨슈머 계정의 오브젝트에 대한 액세스를 요청하도록 Snowflake Native App 을 구성하는 방법을 설명합니다.

참조 정보

상황에 따라서는 설치된 Snowflake Native App 이 APPLICATION 오브젝트 외부에 있는 컨슈머 계정의 기존 오브젝트에 액세스해야 할 때도 있습니다. 예를 들어, 앱은 컨슈머 데이터베이스의 기존 테이블에 액세스해야 할 수 있습니다.

이 상황에서는 앱이 컨슈머 계정의 스키마와 오브젝트의 이름을 확인할 수 없어 컨슈머가 오브젝트에 대한 액세스 권한을 APPLICATION 오브젝트에 부여하는 것으로는 충분하지 않습니다.

Snowflake Native App 이 APPLICATION 오브젝트 외부의 기존 오브젝트에 액세스할 수 있도록 Snowflake Native App Framework 는 고객이 오브젝트의 이름과 스키마를 지정하고 오브젝트에 대한 액세스를 활성화할 수 있는 참조를 제공합니다.

컨슈머 계정에서 참조를 정의하기 위한 워크플로

공급자는 참조 및 오브젝트 수준 권한을 요청하기 위해 Snowflake Native App 을 개발하고 게시할 때 다음을 수행합니다.

  1. 참조와 해당 권한이 필요한 오브젝트를 확인합니다.

  2. 매니페스트 파일에서 참조를 정의합니다.

  3. 설정 스크립트에 저장 프로시저를 추가하여 매니페스트 파일에 정의된 각 참조에 대한 콜백을 처리합니다.

Snowflake Native App 을 설치한 후 컨슈머는 다음을 수행합니다.

  1. Snowflake Native App 에 필요한 참조를 봅니다.

  2. SYSTEM$REFERENCE 시스템 함수를 호출하여 참조를 만듭니다.

  3. 참조의 ID를 전달하는 콜백 저장 프로시저를 실행합니다.

컨슈머가 콜백 저장 프로시저를 실행한 후 Snowflake Native App 은 요청된 오브젝트에 액세스할 수 있습니다.

이 워크플로에서는 컨슈머가 참조를 수동으로 만드는 프로세스를 간략하게 설명합니다. 컨슈머가 Snowsight 를 사용하여 참조를 만들고 권한을 부여할 수 있도록 사용자 인터페이스를 만드는 방법에 대한 자세한 내용은 권한 및 참조 요청을 위한 사용자 인터페이스 만들기 섹션을 참조하십시오.

참조가 포함할 수 있는 오브젝트 유형 및 권한

다음 표에는 참조에 포함될 수 있는 오브젝트 유형과 각 오브젝트에 허용되는 권한이 나열되어 있습니다.

오브젝트 타입

허용되는 권한

TABLE

SELECT, INSERT, UPDATE, DELETE, TRUNCATE, REFERENCES

VIEW

SELECT, REFERENCES

EXTERNAL TABLE

SELECT, REFERENCES

FUNCTION

USAGE

PROCEDURE

USAGE

WAREHOUSE

MODIFY, MONITOR, USAGE, OPERATE

API INTEGRATION

USAGE

매니페스트 파일에서 참조 정의하기

다음 예에서는 APPLICATION 오브젝트 외부에 있는 컨슈머 계정의 테이블에 대한 manifest.yml 파일에 참조를 정의하는 방법을 보여줍니다.

references:
- consumer_table:
  label: "Consumer table"
  description: "A table in the consumer account that exists outside the APPLICATION object."
  privileges:
  - INSERT
  - SELECT
  object_type: TABLE
  multi_valued: false
  register_callback: config.register_single_reference
Copy

이 예에서는 컨슈머 계정의 테이블에 대한 INSERT 및 SELECT 권한이 필요한 consumer_table 이라는 참조를 정의합니다. register_callback 속성은 컨슈머 테이블을 이 참조 정의에 바인딩하는 데 사용되는 저장 프로시저를 지정합니다.

참조용 콜백 저장 프로시저 만들기

manifest.yml 파일에 참조를 정의한 후 공급자는 설정 스크립트에 저장 프로시저를 추가하여 참조에 대한 콜백을 등록해야 합니다.

다음 예에서는 매니페스트 파일에서 참조 정의하기 에 표시된 참조에 대한 콜백을 처리하는 데 사용되는 저장 프로시저를 보여줍니다.

CREATE APPLICATION ROLE app_admin;

CREATE OR ALTER VERSIONED SCHEMA config;
GRANT USAGE ON SCHEMA config TO APPLICATION ROLE app_admin;

CREATE PROCEDURE CONFIG.REGISTER_SINGLE_REFERENCE(ref_name STRING, operation STRING, ref_or_alias STRING)
  RETURNS STRING
  LANGUAGE SQL
  AS $$
    BEGIN
      CASE (operation)
        WHEN 'ADD' THEN
          SELECT SYSTEM$SET_REFERENCE(:ref_name, :ref_or_alias);
        WHEN 'REMOVE' THEN
          SELECT SYSTEM$REMOVE_REFERENCE(:ref_name);
        WHEN 'CLEAR' THEN
          SELECT SYSTEM$REMOVE_REFERENCE(:ref_name);
      ELSE
        RETURN 'unknown operation: ' || operation;
      END CASE;
      RETURN NULL;
    END;
  $$;

GRANT USAGE ON PROCEDURE CONFIG.REGISTER_SINGLE_REFERENCE(STRING, STRING, STRING)
  TO APPLICATION ROLE app_admin;
Copy

이 예에서는 저장 프로시저에 인자로 전달되는 참조에 대해 특정 작업을 수행하는 시스템 함수를 호출하는 REGISTER_SINGLE_REFERENCE 이라는 저장 프로시저를 만듭니다.

참고

저장 프로시저는 SYSTEM$SET_REFERENCE 시스템 함수를 사용하므로 설명에 단일 값이 있는 참조에 대해서만 작동합니다. 참조를 여러 값과 연결하려면 SYSTEM$ADD_REFERENCE 시스템 함수를 사용하십시오.

애플리케이션에 정의된 참조 보기

공급자가 manifest.yml 파일에 참조를 정의하면 참조가 설치된 Snowflake Native App 의 일부로 포함됩니다.

Snowflake Native App 에 대해 정의된 참조를 보려면 다음 예와 같이 SHOW REFERENCES 명령을 실행하십시오.

SHOW REFERENCES IN APPLICATION hello_snowflake_app;
Copy

애플리케이션에 오브젝트 바인딩하기

컨슈머는 Snowflake Native App 에 대한 참조 정의를 본 후 다음 예와 같이 SYSTEM$REFERENCE 시스템 함수를 실행하여 참조를 생성합니다.

SELECT SYSTEM$REFERENCE('table', 'db1.schema1.table1', 'persistent', 'select', 'insert');
Copy

이 명령은 참조의 식별자를 반환합니다. 컨슈머는 다음 예와 같이 식별자를 참조의 콜백 저장 프로시저에 전달할 수 있습니다.

CALL app.config.register_single_reference(
  'consumer_table' , 'ADD', SYSTEM$REFERENCE('TABLE', 'db1.schema1.table1', 'PERSISTENT', 'SELECT', 'INSERT'));
Copy

이 예에서 consumer_tablemanifest.yml 파일에 정의된 참조의 이름입니다. 컨슈머가 참조를 연결하는 저장 프로시저를 실행하면 Snowflake Native App 이 컨슈머 계정의 테이블에 액세스할 수 있습니다.

이전 섹션 의 콜백 저장 프로시저는 다음 예와 같이 SYSTEM$SET_REFERENCE 시스템 함수를 호출합니다.

SELECT SYSTEM$SET_REFERENCE(:ref_name, :ref_or_alias);
Copy

참조와 관련된 다른 시스템 함수에 대해서는 지원되는 참조 함수 섹션을 참조하십시오.

참조 사용 시 고려 사항

버전 간에 참조 정의를 수정하지 않는 것이 좋습니다. 예를 들어 권한을 SELECT에서 SELECT, INSERT로 변경하기 위해 새 버전에서 참조 정의를 업데이트하려면 다른 이름으로 새 참조 정의를 정의해야 합니다. 업데이트된 Snowflake Native App 은 앱의 새 버전에서 이 새 참조를 사용할 수 있습니다.

예를 들어 참조를 변수에 할당하기 위해 다른 오브젝트 내에 참조를 포함하려면 참조가 컨슈머 계정의 오브젝트에 이미 바인딩되어 있어야 합니다. 예를 들어 먼저 참조를 컨슈머 웨어하우스에 바인딩하지 않으면 작업을 생성할 수 없습니다.

명명된 스테이지의 파일을 사용하여 개발 모드에서 생성된 APPLICATION 오브젝트에서는 참조가 작동하지 않습니다. 참조는 버전이 있는 APPLICATION 오브젝트 또는 목록에서 설치된 다른 계정의 Snowflake Native App 에서만 작동합니다.

Snowflake Native App 에서 참조를 사용하는 예

다음 섹션에서는 다양한 컨텍스트에서 참조를 사용하는 예를 제시합니다.

참고

다음 예시의 reference() 함수는 APPLICATION 오브젝트의 저장 프로시저에서만 호출할 수 있습니다.

참조를 사용하여 쿼리 실행하기

다음 예에서는 참조를 사용하여 쿼리를 실행하는 방법을 보여줍니다.

SELECT * FROM reference('consumer_table');
Copy
SELECT reference('encrypt_func')(t.c1) FROM consumer_table t;
Copy

참조를 사용하여 저장 프로시저 호출하기

다음 예에서는 참조를 사용하여 저장 프로시저를 호출하는 방법을 보여줍니다.

CALL reference('consumer_proc')(11, 'hello world');
Copy

참조를 사용하여 DML 명령 실행하기

다음 예에서는 참조를 사용하여 테이블의 데이터를 수정하는 방법을 보여줍니다.

INSERT INTO reference('data_export')(C1, C2)
  SELECT T.C1, T.C2 FROM reference('other_table')
Copy
COPY INTO reference('the_table') ...
Copy

참조를 사용하여 DESCRIBE 명령 실행하기

다음 예에서는 참조를 사용하여 DESCRIBE 작업을 실행하는 방법을 보여줍니다.

DESCRIBE TABLE reference('the_table')
Copy

작업에서 참조 사용하기

CREATE TASK app_task
  WAREHOUSE = reference('consumer_warehouse')
  ...;

ALTER TASK app_task SET WAREHOUSE = reference('consumer_warehouse');
Copy

뷰 정의에서 참조 사용하기

CREATE VIEW app_view
  AS SELECT reference('function')(T.C1) FROM reference('table') AS T;
Copy

함수 본문에서 참조 사용하기

CREATE FUNCTION app.func(x INT)
  RETURNS STRING
  AS $$ select reference('consumer_func')(x) $$;
Copy

외부 함수에서 참조 사용하기

CREATE EXTERNAL FUNCTION app.func(x INT)
  RETURNS STRING
  ...
  API_INTEGRATION = reference('app_integration');
Copy

정책에서 참조 사용하기

CREATE ROW ACCESS POLICY app_policy
  AS (sales_region varchar) RETURNS BOOLEAN ->
  'sales_executive_role' = reference('get_sales_team')
    or exists (
      select 1 from reference('sales_table')
        where sales_manager = reference('get_sales_team')()
        and region = sales_region
      );
Copy

지원되는 참조 함수

Snowflake Native App Framework 는 참조와 관련된 다양한 작업을 수행하는 다음 함수를 지원합니다.

시스템 함수

설명

set_reference

SYSTEM$SET_REFERENCE('<참조_이름>', '<참조_문자열>')

  • 단일 참조에 대해서만 지원합니다. 동일한 이름을 사용하여 참조를 이미 생성한 경우 기존 참조를 덮어씁니다.

  • 참조에 대한 고유한 시스템 생성 별칭을 반환합니다.

add_reference

SYSTEM$ADD_REFERENCE('<참조_이름>', '<참조_문자열>')

  • 단일 값 참조와 다중 값 참조를 모두 지원합니다. 단일 값 참조의 경우 reference_name 으로 지정한 동일한 값을 사용하여 참조가 이미 생성된 경우 이 함수는 오류를 반환합니다.

  • 참조에 대한 고유한 시스템 생성 별칭을 반환합니다.

remove_reference

SYSTEM$REMOVE_REFERENCE('<참조_이름>'[, '<별칭>'])

  • 단일 값 참조와 다중 값 참조를 모두 지원합니다. 다중 값 참조를 제거하려면 <별칭>이 필요합니다.

  • 다중 값 참조와의 연결을 제거합니다.

remove_all_references

SYSTEM$REMOVE_ALL_REFERENCES('<참조_이름>')

  • 참조에 대한 모든 연결을 제거합니다.

get_all_references

SYSTEM$GET_ALL_REFERENCES('<참조_이름>')

  • 참조 이름과 연결된 엔터티의 시스템 생성 별칭으로 구성된 배열을 반환합니다.

    • 참조 이름이 엔터티에 바인딩되지 않은 경우 빈 목록

    • 다중 값 참조의 모든 연결

    • 단일 값 참조의 1개 또는 0개 연결

    • 반환된 값에는 컨슈머의 오브젝트 이름이 포함되지 않습니다.

  • 루프에서 다중 값 참조에 대한 모든 연결을 반복하는 데 사용됩니다.

get_referenced_object_id_hash

SYSTEM$GET_REFERENCED_OBJECT_ID_HASH('<참조_이름>'[, '<별칭>'])

  • 다중 값 참조에 대한 시스템 생성 별칭을 사용합니다.

  • 바인딩된 오브젝트의 엔터티 ID 해시를 반환합니다. 이것은 참조가 생성되었을 때 원래 확인된 엔터티의 식별자입니다.

  • 이 함수는 Snowflake Native App 이 참조에 바인딩된 오브젝트가 변경되었는지 확인하는 데 유용합니다. Snowflake Native App 은 값을 저장한 다음 현재 값을 이전에 알려진 값과 비교할 수 있습니다.
언어: 한국어