컨슈머로부터 참조 및 오브젝트 수준 권한 요청하기¶

이 항목에서는 공급자가 APPLICATION 오브젝트 외부에 존재하는 컨슈머 계정의 오브젝트에 대한 액세스를 요청하도록 Snowflake Native App 을 구성하는 방법을 설명합니다.

참조 정보¶

상황에 따라서는 설치된 Snowflake Native App 이 APPLICATION 오브젝트 외부에 있는 컨슈머 계정의 기존 오브젝트에 액세스해야 할 때도 있습니다. 예를 들어, 앱은 컨슈머 데이터베이스의 기존 테이블에 액세스해야 할 수 있습니다.

이 상황에서는 앱이 컨슈머 계정의 스키마와 오브젝트의 이름을 확인할 수 없어 컨슈머가 오브젝트에 대한 액세스 권한을 APPLICATION 오브젝트에 부여하는 것으로는 충분하지 않습니다.

Snowflake Native App 이 APPLICATION 오브젝트 외부의 기존 오브젝트에 액세스할 수 있도록 Snowflake Native App Framework 는 고객이 오브젝트의 이름과 스키마를 지정하고 오브젝트에 대한 액세스를 활성화할 수 있는 참조를 제공합니다.

컨슈머 계정에서 참조를 정의하기 위한 워크플로¶

공급자는 참조 및 오브젝트 수준 권한을 요청하기 위해 Snowflake Native App 을 개발하고 게시할 때 다음을 수행합니다.

참조와 해당 권한이 필요한 오브젝트를 확인합니다.
매니페스트 파일에서 참조를 정의합니다.
설정 스크립트에 저장 프로시저를 추가하여 매니페스트 파일에 정의된 각 참조에 대한 콜백을 처리합니다.

Snowflake Native App 을 설치한 후 컨슈머는 다음을 수행합니다.

Snowflake Native App 에 필요한 참조를 봅니다.
SYSTEM$REFERENCE 시스템 함수를 호출하여 참조를 만듭니다.
참조의 ID를 전달하는 콜백 저장 프로시저를 실행합니다.

컨슈머가 콜백 저장 프로시저를 실행한 후 Snowflake Native App 은 요청된 오브젝트에 액세스할 수 있습니다.

이 워크플로에서는 컨슈머가 참조를 수동으로 만드는 프로세스를 간략하게 설명합니다. 컨슈머가 Snowsight 를 사용하여 참조를 만들고 권한을 부여할 수 있도록 사용자 인터페이스를 만드는 방법에 대한 자세한 내용은 권한 및 참조 요청을 위한 사용자 인터페이스 만들기 섹션을 참조하십시오.

참조가 포함할 수 있는 오브젝트 유형 및 권한¶

다음 표에는 참조에 포함될 수 있는 오브젝트 유형과 각 오브젝트에 허용되는 권한이 나열되어 있습니다.

오브젝트 타입	허용되는 권한
TABLE	SELECT, INSERT, UPDATE, DELETE, TRUNCATE, REFERENCES
VIEW	SELECT, REFERENCES
EXTERNAL TABLE	SELECT, REFERENCES
FUNCTION	USAGE
PROCEDURE	USAGE
WAREHOUSE	MODIFY, MONITOR, USAGE, OPERATE
API INTEGRATION	USAGE
EXTERNAL ACCESS INTEGRATION	USAGE
SECRET	USAGE, READ

매니페스트 파일에서 참조 정의하기¶

다음 예에서는 APPLICATION 오브젝트 외부에 있는 컨슈머 계정의 테이블에 대한 manifest.yml 파일에 참조를 정의하는 방법을 보여줍니다.

references:
  - consumer_table:
      label: "Consumer table"
      description: "A table in the consumer account that exists outside the APPLICATION object."
      privileges:
        - INSERT
        - SELECT
      object_type: TABLE
      multi_valued: false
      register_callback: config.register_single_reference

Copy

이 예에서는 컨슈머 계정의 테이블에 대한 INSERT 및 SELECT 권한이 필요한 consumer_table 이라는 참조를 정의합니다. register_callback 속성은 컨슈머 테이블을 이 참조 정의에 바인딩하는 데 사용되는 저장 프로시저를 지정합니다.

여러 개의 컨슈머 오브젝트를 동일한 참조에 바인딩하려면 multi_valued 를 사용합니다. 이 속성이 지정되면 단일 값 참조가 있는 오브젝트에서 동일한 작업이 수행됩니다. 이 속성은 다중값 참조가 있는 오브젝트에도 사용할 수 있습니다. Snowflake Native App Framework 참조 작업에 대해 자세히 알아보려면 지원되는 참조 함수 를 참조하십시오.

참조 정의 제거하기¶

참고

새 버전의 앱에서는 매니페스트 파일에서 참조 정의를 제거하지 않는 것이 좋습니다. 정의된 참조를 제거해야 하는 경우 동일한 버전 릴리스에서 제거된 참조를 사용하는 코드를 업데이트하고 README 파일에서 컨슈머에게 알립니다.

앱이 참조를 정의한 후 나중에 앱의 후속 버전에서 참조 정의를 삭제하는 경우 삭제된 참조를 계속 사용하는 함수나 프로시저를 호출하면 컨슈머에게 오류가 발생합니다. 예를 들어, 앱 my_app 의 버전 V1에 대한 매니페스트 파일에는 REF_TO_TABLE의 참조 정의와 테이블 참조 REF_TO_TABLE을 사용하여 뷰 VIEW_SELECT_FROM_DEFINED_REF를 생성하는 저장 프로시저 CREATE_VIEW_FROM_TABLE이 포함됩니다.

my_app 의 버전 V2에서는 REF_TO_TABLE의 참조 정의가 매니페스트 파일에서 제거됩니다. 컨슈머가 설치된 앱 my_app 을 버전 V2로 업그레이드하는 경우 CREATE_VIEW_FROM_TABLE 프로시저를 호출하면 다음 오류가 발생합니다.

Reference definition '<REF_DEF_NAME>' cannot be found in the current version of the application '<APP_NAME>'

참조용 콜백 저장 프로시저 만들기¶

manifest.yml 파일에서 참조를 정의한 후 공급자는 설정 스크립트에 저장 프로시저를 추가하여 참조에 대한 콜백을 등록해야 합니다.

다음 예제에서는 매니페스트 파일에서 참조 정의하기 에 표시된 참조에 대한 콜백을 처리하는 데 사용되는 저장 프로시저를 보여줍니다.

CREATE APPLICATION ROLE app_admin;

CREATE OR ALTER VERSIONED SCHEMA config;
GRANT USAGE ON SCHEMA config TO APPLICATION ROLE app_admin;

CREATE PROCEDURE CONFIG.REGISTER_SINGLE_REFERENCE(ref_name STRING, operation STRING, ref_or_alias STRING)
  RETURNS STRING
  LANGUAGE SQL
  AS $$
    BEGIN
      CASE (operation)
        WHEN 'ADD' THEN
          SELECT SYSTEM$SET_REFERENCE(:ref_name, :ref_or_alias);
        WHEN 'REMOVE' THEN
          SELECT SYSTEM$REMOVE_REFERENCE(:ref_name, :ref_or_alias);
        WHEN 'CLEAR' THEN
          SELECT SYSTEM$REMOVE_ALL_REFERENCES(:ref_name);
      ELSE
        RETURN 'unknown operation: ' || operation;
      END CASE;
      RETURN NULL;
    END;
  $$;

GRANT USAGE ON PROCEDURE CONFIG.REGISTER_SINGLE_REFERENCE(STRING, STRING, STRING)
  TO APPLICATION ROLE app_admin;

Copy

이 예에서는 저장 프로시저에 인자로 전달되는 참조에 대해 특정 작업을 수행하는 시스템 함수를 호출하는 REGISTER_SINGLE_REFERENCE 이라는 저장 프로시저를 만듭니다.

참고

저장 프로시저는 SYSTEM$SET_REFERENCE 시스템 함수를 사용하므로 설명에 단일 값이 있는 참조에 대해서만 작동합니다. 참조를 여러 값과 연결하려면 SYSTEM$ADD_REFERENCE 시스템 함수를 사용하십시오.

오브젝트 구성을 요청하기 위한 콜백 저장 프로시저를 만듭니다.¶

일부 오브젝트 유형의 경우 공급자는 추가 구성을 제공하기 위해 설정 스크립트에 저장 프로시저를 추가해야 합니다. 이 콜백은 컨슈머가 Snowsight 를 사용하여 참조를 허용할 때 사용됩니다.

다음 예제는 매니페스트 파일에서 참조 정의하기 에 표시된 참조에 대한 구성 콜백 저장 프로시저를 정의하는 방법을 보여줍니다.

CREATE OR REPLACE CONFIG.GET_CONFIGURATION_FOR_REFERENCE(ref_name STRING)
  RETURNS STRING
  LANGUAGE SQL
  AS
  $$
  BEGIN
    CASE (ref_name)
      WHEN 'CONSUMER_EXTERNAL_ACCESS' THEN
        RETURN '{
          "type": "CONFIGURATION",
          "payload":{
            "host_ports":["google.com"],
            "allowed_secrets" : "LIST",
            "secret_references":["CONSUMER_SECRET"]}}';
      WHEN 'CONSUMER_SECRET' THEN
        RETURN '{
          "type": "CONFIGURATION",
          "payload":{
            "type" : "OAUTH2",
            "security_integration": {
              "oauth_scopes": ["https://www.googleapis.com/auth/analytics.readonly"],
              "oauth_token_endpoint": "https://oauth2.googleapis.com/token",
              "oauth_authorization_endpoint":
                "https://accounts.google.com/o/oauth2/auth"}}}';
     END CASE;
     RETURN '';
   END;
   $$;

GRANT USAGE ON PROCEDURE CONFIG.GET_CONFIGURATION_FOR_REFERENCE(STRING)
  TO APPLICATION ROLE app_admin;

Copy

이 예제에서는 EXTERNAL ACCESS INTEGRATION 또는 SECRET 참조 유형의 참조를 작성하는 데 사용되는 JSON 형식의 구성을 반환하는 이름이 GET_CONFIGURATION_FOR_REFERENCE 인 저장 프로시저를 만듭니다. switch 문에 있는 항목은 manifest.yml 파일의 참조 이름에 매핑되어야 합니다.

참고

이 콜백 함수는 EXTERNAL ACCESS INTEGRATION 및 SECRET 유형의 참조에 필요합니다. 이는 이러한 유형의 참조에만 적용됩니다.

애플리케이션에 정의된 참조 보기¶

공급자가 manifest.yml 파일에 참조를 정의하면 참조가 설치된 Snowflake Native App 의 일부로 포함됩니다.

Snowflake Native App 에 대해 정의된 참조를 보려면 다음 예와 같이 SHOW REFERENCES 명령을 실행하십시오.

SHOW REFERENCES IN APPLICATION hello_snowflake_app;

Copy

애플리케이션에 오브젝트 바인딩하기¶

컨슈머는 Snowflake Native App 에 대한 참조 정의를 본 후 다음 예와 같이 SYSTEM$REFERENCE 시스템 함수를 실행하여 참조를 생성합니다.

SELECT SYSTEM$REFERENCE('table', 'db1.schema1.table1', 'persistent', 'select', 'insert');

Copy

이 명령은 참조의 식별자를 반환합니다. 컨슈머는 다음 예와 같이 식별자를 참조의 콜백 저장 프로시저에 전달할 수 있습니다.

CALL app.config.register_single_reference(
  'consumer_table' , 'ADD', SYSTEM$REFERENCE('TABLE', 'db1.schema1.table1', 'PERSISTENT', 'SELECT', 'INSERT'));

Copy

이 예에서 consumer_table 은 manifest.yml 파일에 정의된 참조의 이름입니다. 컨슈머가 참조를 연결하는 저장 프로시저를 실행하면 Snowflake Native App 이 컨슈머 계정의 테이블에 액세스할 수 있습니다.

이전 섹션 의 콜백 저장 프로시저는 다음 예와 같이 SYSTEM$SET_REFERENCE 시스템 함수를 호출합니다.

SELECT SYSTEM$SET_REFERENCE(:ref_name, :ref_or_alias);

Copy

참조와 관련된 다른 시스템 함수에 대해서는 지원되는 참조 함수 섹션을 참조하십시오.

참조 사용 시 고려 사항¶

버전 간에 참조 정의를 수정하지 않는 것이 좋습니다. 예를 들어 권한을 SELECT에서 SELECT, INSERT로 변경하기 위해 새 버전에서 참조 정의를 업데이트하려면 다른 이름으로 새 참조 정의를 정의해야 합니다. 업데이트된 Snowflake Native App 은 앱의 새 버전에서 이 새 참조를 사용할 수 있습니다.

예를 들어 참조를 변수에 할당하기 위해 다른 오브젝트 내에 참조를 포함하려면 참조가 컨슈머 계정의 오브젝트에 이미 바인딩되어 있어야 합니다. 예를 들어 먼저 참조를 컨슈머 웨어하우스에 바인딩하지 않으면 작업을 생성할 수 없습니다.

Snowflake Native App 에서 참조를 사용하는 예¶

다음 섹션에서는 다양한 컨텍스트에서 참조를 사용하는 예를 제시합니다.

참고

다음 예시의 reference() 함수는 APPLICATION 오브젝트의 저장 프로시저에서만 호출할 수 있습니다.

참조를 사용하여 쿼리 실행하기¶

다음 예에서는 참조를 사용하여 쿼리를 실행하는 방법을 보여줍니다.

SELECT * FROM reference('consumer_table');

Copy

SELECT reference('encrypt_func')(t.c1) FROM consumer_table t;

Copy

참조를 사용하여 저장 프로시저 호출하기¶

다음 예에서는 참조를 사용하여 저장 프로시저를 호출하는 방법을 보여줍니다.

CALL reference('consumer_proc')(11, 'hello world');

Copy

참조를 사용하여 DML 명령 실행하기¶

다음 예에서는 참조를 사용하여 테이블의 데이터를 수정하는 방법을 보여줍니다.

INSERT INTO reference('data_export')(C1, C2)
  SELECT T.C1, T.C2 FROM reference('other_table')

Copy

COPY INTO reference('the_table') ...

Copy

참조를 사용하여 DESCRIBE 명령 실행하기¶

다음 예에서는 참조를 사용하여 DESCRIBE 작업을 실행하는 방법을 보여줍니다.

DESCRIBE TABLE reference('the_table')

Copy

작업에서 참조 사용하기¶

CREATE TASK app_task
  WAREHOUSE = reference('consumer_warehouse')
  ...;

ALTER TASK app_task SET WAREHOUSE = reference('consumer_warehouse');

Copy

뷰 정의에서 참조 사용하기¶

CREATE VIEW app_view
  AS SELECT reference('function')(T.C1) FROM reference('table') AS T;

Copy

함수 본문에서 참조 사용하기¶

CREATE FUNCTION app.func(x INT)
  RETURNS STRING
  AS $$ select reference('consumer_func')(x) $$;

Copy

외부 함수에서 참조 사용하기¶

CREATE EXTERNAL FUNCTION app.func(x INT)
  RETURNS STRING
  ...
  API_INTEGRATION = reference('app_integration');

Copy

함수 또는 프로시저에서 참조 사용¶

CREATE FUNCTION app.func(x INT)
  RETURNS STRING
  ...
  EXTERNAL_ACCESS_INTEGRATIONS = (reference('consumer_external_access_integration'), ...);
  SECRETS = ('cred1' = reference('consumer_secret'), ...);

Copy

참고

컨슈머는 외부 액세스 통합이나 시크릿에 대한 참조가 포함된 함수나 저장 프로시저를 직접 호출할 수 없습니다. 시크릿과 외부 액세스 통합에 대한 참조는 Streamlit 앱, 작업, 기타 함수 및 저장 프로시저 등 다른 모든 애플리케이션 구성 요소에서 사용할 수 있습니다.

컨슈머가 외부 액세스 통합이나 시크릿에 대한 참조가 포함된 함수나 저장 프로시저를 직접 호출할 수 있도록 하기 위해 공급자는 컨슈머가 직접 호출할 수 있는 래퍼 함수 내에 이러한 오브젝트가 포함된 함수를 포함할 수 있습니다.

정책에서 참조 사용하기¶

CREATE ROW ACCESS POLICY app_policy
  AS (sales_region varchar) RETURNS BOOLEAN ->
  'sales_executive_role' = reference('get_sales_team')
    or exists (
      select 1 from reference('sales_table')
        where sales_manager = reference('get_sales_team')()
        and region = sales_region
      );

Copy

구성 콜백 응답의 JSON 형식¶

구성 콜백 함수는 JSON 형식의 응답을 반환합니다. 외부 액세스 통합과 시크릿 참조에 따라 반환되는 JSON 형식은 다릅니다.

외부 액세스 통합의 JSON 형식¶

EXTERNAL ACCESS INTEGRATION 참조의 경우, JSON 응답의 예상되는 구조는 다음과 같습니다:

{
  "type": "CONFIGURATION",
  "payload": {
    "host_ports": ["host_port_1", ...],
    "allowed_secrets": "NONE|ALL|LIST",
    "secret_references": ["ref_name_1", ...]
  }
}

Copy

host_ports

문자열로 구성된 배열. 각각의 값은 유효한 도메인이어야 합니다.

선택적으로, 포트를 포함할 수도 있습니다. 유효한 포트 범위는 1~65535(양 끝 값 포함)입니다. 포트를 지정하지 않으면 기본값은 443입니다. 외부 네트워크 위치가 동적 포트를 지원하는 경우 가능한 모든 포트를 지정해야 합니다.

모든 포트에 대한 액세스를 허용하려면 포트를 0으로 지정합니다. 예: company.com:0.

이러한 값은 외부 액세스 통합을 위한 송신 네트워크 규칙을 만드는 데 사용됩니다. 자세한 내용은 CREATE NETWORK RULE 섹션을 참조하십시오.
allowed_secrets
EXTERNAL ACCESS INTEGRATION 참조에서 허용되는 시크릿을 지정합니다. 유효한 값은 다음과 같습니다.
- NONE: 시크릿은 허용되지 않습니다.
- ALL: 기존 시크릿을 허용합니다.
- LIST: secret_references 속성에 지정된 특정 시크릿 세트를 허용합니다.
allowed_secrets 의 값은 외부 액세스 통합을 생성하는 데 사용됩니다. 자세한 내용은 CREATE EXTERNAL ACCESS INTEGRATION 섹션을 참조하십시오.
secret_references:

외부 액세스 통합을 통해 허용되는 시크릿 참조 목록을 지정합니다.

여기에 지정된 값은 매니페스트에 정의된 시크릿 참조와 동일해야 합니다.

이 속성은 allowed_secrets 이 LIST 로 설정된 경우에만 적용됩니다. 이러한 맥락에서, secret_references 는 필수입니다.

시크릿 참조의 JSON 형식¶

시크릿 참조의 경우 JSON 응답의 예상 정형은 다음과 같습니다.

{
  "type": "CONFIGURATION",
    "payload": {
            "type": "OAUTH2",
            "security_integration": {
                    "oauth_scopes": ["scope_1", "scope_2"],
                    "oauth_token_endpoint" : "token_endpoint",
                    "oauth_authorization_endpoint" : "auth_endpoint"
            }
    }
}

Copy

payload.type
시크릿의 유형입니다. 유효한 값은 다음과 같습니다.
- OAUTH2: OAuth2 권한 부여 흐름에 사용할 시크릿을 지정합니다. 자세한 내용은 CREATE SECRET 섹션을 참조하십시오.
payload.security_integration
OAuth 시크릿에 대한 API 인증 을 구성하는 데 필요한 값을 지정합니다.

JSON 형식 오류 응답¶

오류가 발생하거나 참조가 아직 구성할 준비가 되지 않은 경우 오류 응답의 예상 구조는 다음과 같습니다.

 {
   "type": "ERROR",
   "payload":{
     "message": "The reference is not available for configuration ..."
  }
}

Copy

message: Snowsight 에 표시되는 애플리케이션의 오류 메시지입니다.

지원되는 참조 함수¶

Snowflake Native App Framework 는 참조와 관련된 다양한 작업을 수행하는 다음 함수를 지원합니다.

시스템 함수	설명
`set_reference`	`SYSTEM$SET_REFERENCE('<참조_이름>', '<참조_문자열>')` 단일 참조에 대해서만 지원합니다. 동일한 이름을 사용하여 참조를 이미 생성한 경우 기존 참조를 덮어씁니다. 참조에 대한 고유한 시스템 생성 별칭을 반환합니다.
`add_reference`	`SYSTEM$ADD_REFERENCE('<참조_이름>', '<참조_문자열>')` 단일 값 참조와 다중 값 참조를 모두 지원합니다. 단일 값 참조의 경우 `reference_name` 으로 지정한 동일한 값을 사용하여 참조가 이미 생성된 경우 이 함수는 오류를 반환합니다. 참조에 대한 고유한 시스템 생성 별칭을 반환합니다.
`remove_reference`	`SYSTEM$REMOVE_REFERENCE('<참조_이름>'[, '<별칭>'])` 단일 값 참조와 다중 값 참조를 모두 지원합니다. 다중 값 참조를 제거하려면 <별칭>이 필요합니다. 다중 값 참조와의 연결을 제거합니다.
`remove_all_references`	`SYSTEM$REMOVE_ALL_REFERENCES('<참조_이름>')` 참조에 대한 모든 연결을 제거합니다.
`get_all_references`	`SYSTEM$GET_ALL_REFERENCES('<참조_이름>')` 참조 이름과 연결된 엔터티의 시스템 생성 별칭으로 구성된 배열을 반환합니다. 참조 이름이 엔터티에 바인딩되지 않은 경우 빈 목록 다중 값 참조의 모든 연결 단일 값 참조의 1개 또는 0개 연결 반환된 값에는 컨슈머의 오브젝트 이름이 포함되지 않습니다. 루프에서 다중 값 참조에 대한 모든 연결을 반복하는 데 사용됩니다.
`get_referenced_object_id_hash`	`SYSTEM$GET_REFERENCED_OBJECT_ID_HASH('<참조_이름>'[, '<별칭>'])` 다중 값 참조에 대한 시스템 생성 별칭을 사용합니다. 바인딩된 오브젝트의 엔터티 ID 해시를 반환합니다. 이것은 참조가 생성되었을 때 원래 확인된 엔터티의 식별자입니다. 이 함수는 Snowflake Native App 이 참조에 바인딩된 오브젝트가 변경되었는지 확인하는 데 유용합니다. Snowflake Native App 은 값을 저장한 다음 현재 값을 이전에 알려진 값과 비교할 수 있습니다.