AWS PrivateLink 및 Snowflake¶
이 항목에서는 Snowflake 계정을 1개 이상의 AWS VPCs(가상 프라이빗 클라우드)에 직접 연결하기 위해 AWS PrivateLink를 구성하는 방법을 설명합니다.
이 항목의 내용:
AWS PrivateLink: 개요¶
`AWS PrivateLink<https://docs.aws.amazon.com/aws-technical-content/latest/aws-vpc-connectivity-options/aws-privatelink.html>`_는 공용 인터넷을 트래버스하지 않고 AWS VPCs와 Snowflake VPC 사이에서 직접 보안 연결을 할 수 있도록 비공개 VPC 엔드포인트를 생성하는 AWS 서비스입니다. AWS PrivateLink 연결은 동일하거나 다른 AWS 리전에 있는 VPC 엔드포인트 서비스 및 AWS VPCs를 지원합니다. AWS PrivateLink에 대해 리전 간 연결을 사용하면 사용자 지정 엔드포인트 서비스를 사용하여 AWS VPC 리전과는 다른 리전에 있는 Snowflake 계정을 연결할 수 있습니다. 리전 간 연결은 현재 어떤 PaaS(서비스형 플랫폼) 서비스(예: Amazon S3(Amazon Simple Storage Service) 또는 KMS(키 관리 서비스)에서도 지원되지 않습니다.
For more information, see the AWS blog page, Introducing Cross-Region Connectivity for AWS PrivateLink. For information about finding the region names for your account, see Find the cloud-provider’s name of the region for your account.
:doc:`외부 함수를 작성</sql-reference/external-functions>`할 때 :ref:`비공개 엔드포인트<label-external-functions__aws_endpoint_type>`에 AWS PrivateLink를 사용할 수도 있습니다.
온프레미스 환경(예: 비호스팅형 데이터 센터)이 있는 경우에는 AWS PrivateLink와 함께 `AWS Direct Connect<https://aws.amazon.com/directconnect/>`_를 사용하여 단일 개인 네트워크의 모든 가상 및 실제 환경을 연결할 수 있습니다.
참고
AWS Direct Connect는 AWS PrivateLink와 별도로 구현해야 하는 별개의 AWS 서비스이며 이 항목의 설명 범위에 해당하지 않습니다. AWS Direct Connect 구현 방법과 관련해서는 Amazon에 문의하십시오.
AWS PrivateLink 활성화¶
참고
현재, 이 섹션의 셀프 서비스 활성화 프로세스에서는 관리형 클라우드 서비스 또는 타사 벤더의 AWS 계정 식별자 인증을 지원하지 않습니다.
이 사용 사례에 대해 AWS 계정 식별자를 인증하려면 벤더에서 AWS 계정 식별자를 검색하고 `Snowflake 지원`_에 문의하세요.
Snowflake 계정의 AWS PrivateLink를 활성화하려면 다음 단계를 완료하십시오.
페더레이션 토큰을 생성한 다음, 출력을 저장합니다.
토큰을 생성하려면 명령줄에서 AWS CLI STS 명령을 실행합니다. :code:`get-federation-token`에는 AWS의 ID 및 액세스 관리 사용자나 AWS 계정 루트 사용자가 필요합니다. 자세한 내용은 `AWS 설명서<https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#stsapi_comparison>`_를 참조하세요.
중요
페더레이션 토큰은 12시간 후에 만료됩니다. AWS PrivateLink를 사용하기 위한 Snowflake 계정을 인증, 확인 또는 비활성화하는 시스템 함수를 호출했으며 토큰이 만료된 경우 AWS CLI STS 명령을 다시 실행하여 토큰을 다시 생성합니다.
aws sts get-federation-token --name sam
이후 단계에서 이 명령의 출력을 SYSTEM$AUTHORIZE_PRIVATELINK 함수에 대한
federated_token인자로 제공합니다.생성된 토큰에서
"FederatedUserId"필드의 값을 추출합니다. 예를 들어, 토큰에 다음 값이 포함된 경우:{ ... "FederatedUser": { "FederatedUserId": "185...:sam", "Arn": "arn:aws:sts::185...:federated-user/sam" }, "PackedPolicySize": 0 }
185...`를 추출합니다. 다음 단계에서는 이 12자리 숫자를 SYSTEM$AUTHORIZE_PRIVATELINK 함수에 대한 :samp:`{aws_id}인자로 제공합니다.
ACCOUNTADMIN Snowflake 시스템 역할을 사용할 경우 SYSTEM$AUTHORIZE_PRIVATELINK 함수를 호출하여 Snowflake 계정에 대해 AWS PrivateLink를 *인증*(활성화)합니다.
SELECT SYSTEM$AUTHORIZE_PRIVATELINK ( '<aws_id>' , '<federated_token>' );
여기서
'aws_id'AWS(Amazon Web Services) 계정을 문자열로 고유하게 식별하는 12자리 식별자입니다.
'federated_token'페더레이션 사용자에 대한 액세스 자격 증명을 문자열로 포함하는 페더레이션 토큰 값입니다.
예:
USE ROLE ACCOUNTADMIN; SELECT SYSTEM$AUTHORIZE_PRIVATELINK ( '185...', '{ "Credentials": { "AccessKeyId": "ASI...", "SecretAccessKey": "enw...", "SessionToken": "Fwo...", "Expiration": "2021-01-07T19:06:23+00:00" }, "FederatedUser": { "FederatedUserId": "185...:sam", "Arn": "arn:aws:sts::185...:federated-user/sam" }, "PackedPolicySize": 0 }' );
구성을 확인하려면 AWS의 Snowflake 계정에서 SYSTEM$GET_PRIVATELINK 함수를 호출하세요. 이 함수는 Snowflake 계정을 인증하는 데 사용된
'aws_id'및 :samp:`’{federated_token}’`에 동일한 인자 값을 사용합니다.성공적인 인증에 대해 SYSTEM$GET_PRIVATELINK는 ``Account is authorized for PrivateLink.``를 반환합니다.
선택 사항: Snowflake 계정에서 AWS PrivateLink를 *비활성화*해야 하는 경우
'aws_id'및'federated_token'`에 동일한 인자 값을 사용하여 :doc:/sql-reference/functions/system_revoke_privatelink` 함수를 호출하세요.
보안 태세를 더욱 강화하려면 Snowflake 계정에 비공개 엔드포인트를 고정하는 것이 좋습니다. 자세한 내용은 인바운드 트래픽을 위한 비공개 연결 엔드포인트 고정하기 섹션을 참조하세요.
AWS VPC 환경 구성하기¶
주의
이 섹션에서는 VPC 환경 구성을 위한 Snowflake 관련 세부 정보만 다룹니다.
Snowflake는 요청된 AWS VPC 엔드포인트, 보안 그룹 규칙 및 DNS(Domain Name System) 레코드의 실제 구성을 책임지지 않습니다. 이러한 구성 작업과 관련하여 문제가 발생하는 경우 AWS 지원 팀에 문의하세요.
AWS VPC 엔드포인트 생성 및 구성¶
AWS VPC 환경에서 VPC 엔드포인트를 만들고 구성하려면 다음 단계를 완료하세요.
Snowflake 계정에서 ACCOUNTADMIN 시스템 역할을 사용하여 SYSTEM$GET_PRIVATELINK_CONFIG 함수를 호출한 다음,
privatelink-vpce-id값을 기록합니다.AWS 환경에서 이전 단계의
privatelink-vpce-id값을 사용하여 VPC 엔드포인트를 만듭니다.참고
If the Snowflake region of your VPC endpoint is different from the region of your AWS VPC, you must make two selections that enable cross-region connectivity. In the AWS VPC Console, select Enable Cross Region endpoint, and then select the primary region of the service in Service Settings » Service Region.
전체 지침은 AWS 설명서에서 `리전 간 연결 구성<https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-cross-region-connectivity-for-aws-privatelink/>`_에 대한 단계별 설정 절차를 참조하세요.
For instructions that describe how to find the region name of your account, see Find the cloud-provider’s name of the region for your account.
AWS 환경에서 VPCE CIDR(클래스 없는 도메인 간 라우팅)의
443및80포트로 Snowflake 송신 연결을 연결하는 서비스의 보안 그룹에 권한을 부여합니다.
자세한 내용은 AWS 설명서의 다음 항목을 참조하세요.
Find the cloud-provider’s name of the region for your account¶
Snowflake and the cloud provider that hosts your Snowflake account use similar, but different names for the region that hosts the Snowflake service. You can use system functions to find region names that you use to establish connectivity across regions. To determine the cloud-provider’s name of the region that hosts your Snowflake account, take the following steps:
Run the CURRENT_REGION and SHOW REGIONS commands.
In the output returned by SHOW REGIONS, find a row that shows a value in the
snowflake_region columnthat matches the output returned by SELECT CURRENT REGION.The value in this row’s
regioncolumn is the cloud-provider’s name of the region that hosts your Snowflake account.
In the following example, us-west-2 is the cloud-provider’s name of the region that hosts the Snowflake account named AWS_US_WEST.
SELECT CURRENT_REGION();
Output:
+------------------+
| CURRENT_REGION() |
|------------------|
| AWS_US_WEST_2 |
+------------------+
SHOW REGIONS;
Output:
+------------------+-------+-----------|-----------------+
| snowflake_region | cloud | region | display_name |
|------------------|-------|-----------|-----------------|
| AWS_US_WEST_2 | aws | us-west-2 | US West (Oregon)|
+------------------+-------+-----------+-----------------+
VPC 네트워크 구성하기¶
AWS PrivateLink 엔드포인트를 사용하여 Snowflake에 액세스하려면 DNS에 정식 이름(CNAME) 레코드를 생성하여 SYSTEM$GET_PRIVATELINK_CONFIG 함수의 적절한 엔드포인트 값을 VPC 엔드포인트의 DNS 이름으로 확인해야 합니다.
SYSTEM$GET_PRIVATELINK_CONFIG의 출력에서 얻는 값은 비공개 연결을 사용하여 액세스하는 Snowflake 기능에 따라 다릅니다. 가능한 값에 대한 설명은 :ref:`값 반환<label-get_privatelink_config_output>`을 참조하세요.
regionless-snowsight-privatelink-url 및 snowsight-privatelink-url 의 값은 비공개 연결을 사용하여 Snowsight 및 Snowflake Marketplace 에 대한 액세스를 허용합니다. 하지만 URL 리디렉션을 사용하려는 경우 추가 구성이 있습니다. 자세한 내용은 Snowsight & 비공개 연결 섹션을 참조하십시오.
DNS 구성과 관련한 추가적인 지원이 필요한 경우 내부 AWS 관리자에게 문의하십시오.
중요
OCSP(Online Certificate Status Protocol) 캐시 서버 호스트 이름의 구조는 :ref:`label-conf_SNF_clients`에 설명된 대로 설치된 클라이언트의 버전에 따라 다릅니다.
나열된 버전 또는 이후 버전을 사용하는 경우 :ref:`label-conf_SNF_clients`에 표시된 형식을 사용합니다. 이렇게 하면 동일한 리전에 여러 Snowflake 계정(예: 개발, 테스트, 프로덕션)이 있는 경우 DNS를 더 잘 확인할 수 있습니다. 클라이언트 드라이버를 업데이트하고 PrivateLink에서 OCSP를 사용하는 경우 OCSP 호스트 이름을 허용하도록 방화벽 규칙을 업데이트합니다.
이전 클라이언트 버전을 사용하는 경우 OCSP 캐시 서버 호스트 이름은 계정 식별자 없는
ocsp.region_id.privatelink.snowflakecomputing.com형식을 사용합니다.DNS 레코드가 VPC 내에서 개인 IP 주소를 확인할 수 있어야 합니다. 공용 IP 주소로 확인되면 레코드가 올바르게 구성되지 않은 것입니다.
Amazon S3용 AWS VPC 인터페이스 엔드포인트 생성하기¶
This step is required for Amazon S3 traffic from Snowflake clients to stay on the AWS backbone. The Snowflake clients (such as Snowflake CLI, SnowSQL, JDBC driver, and so on) require access to Amazon S3 to perform various runtime operations.
AWS VPC 네트워크에서 공용 인터넷에 액세스할 수 없는 경우 Snowflake 클라이언트에서 필요한 Amazon S3 호스트 이름으로 내부 스테이지 또는 더 많은 게이트웨이 엔드포인트에 대한 비공개 연결을 구성할 수 있습니다.
Amazon S3에 대한 액세스를 구성하는 옵션은 3가지가 있습니다. 처음 두 옵션은 공용 인터넷을 사용하지 않지만, 세 번째 옵션은 공용 인터넷을 사용합니다.
내부 스테이지 를 위한 AWS VPC 인터페이스 엔드포인트를 구성합니다. 이 옵션이 권장 옵션입니다.
Amazon S3 게이트웨이 엔드포인트를 구성합니다. 자세한 내용은 다음 주의 섹션을 참조하세요.
인터페이스 엔드포인트 또는 게이트웨이 인터페이스를 구성하지 마세요. 그러면 공용 인터넷을 사용하여 액세스하게 됩니다.
주의
Amazon S3 버킷과 Snowflake를 통한 AWS VPC 사이의 통신에서 공용 인터넷을 사용하는 것을 방지하기 위해 Amazon S3 버킷과 동일한 AWS 리전에 Amazon S3 게이트웨이 엔드포인트를 설정할 수 있습니다. 이렇게 하면 AWS PrivateLink는 VPCs 간의 통신만을 허용하며 Amazon S3 버킷은 VPC에 포함되지 않기 때문에 공용 인터넷을 통해 통신할 수 없게 됩니다.
Amazon S3 게이트웨이 엔드포인트가 특정 사용자, Amazon S3 리소스, 경로 및 서브넷을 제한하도록 구성할 수 있지만, Snowflake에서는 이러한 구성이 필요하지 않습니다. 자세한 내용은 `Amazon S3용 게이트웨이 엔드포인트<https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html>`_를 참조하세요.
Snowflake용 Amazon S3 리소스만 사용하도록 Amazon S3 게이트웨이를 제한하려면 다음 옵션 중 하나를 선택합니다.
AWS 엔드포인트 정책에서 Snowflake 계정이 사용하는 특정 Amazon S3 호스트 이름 주소를 사용합니다. 계정에서 사용하는 호스트 이름의 전체 목록은 SYSTEM$ALLOWLIST 섹션을 참조하세요.
AWS 엔드포인트 정책의 Snowflake S3 호스트 이름과 일치하는 Amazon S3 호스트 이름 패턴을 사용합니다. 이 옵션을 사용하면 VPC-VPC 또는 온프레미스-VPC의 두 가지 Snowflake 연결이 가능합니다.
사용하는 연결 유형에 따라 다음 지침을 완료하세요.
- VPC-VPC 연결:
Amazon S3 게이트웨이 엔드포인트가 있는지 확인합니다. 선택 사항으로 다음 Amazon S3 호스트 이름 테이블에 표시되는 특정 호스트 이름 패턴과 일치하도록 Amazon S3 게이트웨이 엔드포인트 정책을 수정합니다.
- 온프레미스-VPC 연결:
Amazon S3 트래픽이 공용 게이트웨이에서 허용되지 않는 경우 방화벽 또는 프록시 구성에 Amazon S3 호스트 이름 패턴을 포함하도록 설정을 정의합니다.
게이트웨이 엔드포인트가 계정의 Snowflake 관리형 S3 버킷과 명시적으로 일치할 필요가 없는 경우 다음 테이블에 표시된 Amazon S3 호스트 이름 패턴을 사용하여 게이트웨이 엔드포인트를 생성할 수 있습니다.
Amazon S3 호스트 이름
참고
모든 리전
sfc-*-stage.s3.amazonaws.com:443없습니다.
US 동부를 제외한 모든 리전
sfc-*-stage.s3-<리전_id>.amazonaws.com:443패턴에서 리전 ID 앞에 하이픈(
-)을 사용합니다.sfc-*-stage.s3.<리전_id>.amazonaws.com:443패턴에서 리전 ID 앞에 마침표(
.)를 사용합니다.
게이트웨이 엔드포인트 생성에 대한 자세한 내용은 `게이트웨이 VPC 엔드포인트<https://docs.aws.amazon.com/vpc/latest/userguide/vpce-gateway.html>`_를 참조하세요.
Snowflake에 연결하기¶
Snowflake에 연결하기 전에 *선택 사항*으로 SnowCD(Snowflake 연결 진단 도구)를 사용하여 Snowflake와 AWS PrivateLink의 네트워크 연결을 평가할 수 있습니다.
자세한 내용은 SnowCD 및 SYSTEM$ALLOWLIST_PRIVATELINK 를 참조하십시오.
그렇지 않으면 비공개 연결 계정 URL 로 Snowflake에 연결합니다.
AWS PrivateLink를 통해 Snowsight에 연결하려면 :ref:`Snowsight 설명서<label-snowsight_getting_started_sign_in>`의 지침을 따르세요.
공용 액세스 차단 — 권장¶
AWS PrivateLink를 사용하여 Snowflake에 대한 비공개 연결을 테스트한 후 Snowflake에 대한 공개 액세스를 선택적으로 차단할 수 있습니다. 즉, 사용자가 Snowflake 네트워크 정책에 지정된 특정 CIDR 블록 범위 내의 IP 주소에서 연결 요청이 시작되는 경우에만 Snowflake에 액세스할 수 있다는 뜻입니다.
네트워크 정책을 사용하여 공용 액세스를 차단하려면:
새 네트워크 정책을 생성하거나 기존 네트워크 정책을 수정합니다.
조직에서 사용할 CIDR 블록 범위를 추가합니다.
사용자 계정에서 네트워크 정책을 사용하도록 설정합니다.
자세한 내용은 네트워크 정책으로 네트워크 트래픽 제어하기 섹션을 참조하십시오.
Snowflake 클라이언트 구성¶
다음 섹션에서는 특정 사용 사례에 맞게 Snowflake 클라이언트를 구성하는 방법을 설명합니다.
Snowflake 클라이언트의 OCSP 캐시 서버 지원 여부 확인하기¶
Snowflake OCSP 캐시 서버는 Snowflake 클라이언트와 서버 사이에서 연결 문제 발생 가능성을 줄여줍니다. 설치된 Snowflake 클라이언트가 OCSP 서버 캐시를 사용하려면 다음 클라이언트 버전을 사용해야 합니다.
Snowflake CLI 3.0.0 (or higher)
SnowSQL 1.1.57 (or higher)
Python Connector 1.8.2 (or higher)
JDBC Driver 3.8.3 (or higher)
ODBC Driver 2.19.3 (or higher)
참고
Snowflake OCSP 캐시 서버가 포트 80``에서 수신을 대기합니다. 이러한 이유로 :ref:`label-create_and_configure_a_vpc_endpoint_vpce`에서는 포트 ``80 및 포트 ``443``를 둘 다 허용하도록 AWS PrivateLink VPCE 보안 그룹을 구성하라는 지침이 제공되었습니다. 이러한 구성 작업은 다른 모든 Snowflake 트래픽에 필요합니다.
Snowflake 클라이언트의 호스트 이름 지정¶
각 Snowflake 클라이언트가 Snowflake 계정에 연결하려면 호스트 이름이 필요합니다.
호스트 이름은 :ref:`label-aws_pl_additional_cname_records`의 CNAME 레코드에 지정한 호스트 이름과 동일합니다.
이 단계는 Snowflake Marketplace 액세스하는 경우에는 적용되지 않습니다.
예를 들어, 이름이 xy12345 인 계정에서:
계정이 US 서부에 위치한 경우 호스트 이름은 ``xy12345.us-west-2.privatelink.snowflakecomputing.com``입니다.
계정이 EU(프랑크푸르트)에 위치한 경우 호스트 이름은 ``xy12345.eu-central-1.privatelink.snowflakecomputing.com``입니다.
중요
호스트 이름 지정 방법은 다음과 같이 클라이언트에 따라 다릅니다.
Spark 커넥터와 ODBC 및 JDBC 드라이버의 경우 전체 호스트 이름을 지정합니다.
다른 모든 클라이언트의 경우 전체 호스트 이름을 지정하지 마세요. 대신,
privatelink세그먼트를 사용하여 계정 식별자</user-guide/admin-account-identifier>`를 지정하세요. 호스트 이름을 동적으로 구성하기 위한 세그먼트는 ``<account_identifier>.privatelink`. Snowflake concatenates this name with ``snowflakecomputing.com``입니다.
Snowflake 클라이언트용 계정 이름 또는 호스트 이름 지정과 관련한 자세한 내용은 각 클라이언트에 대한 설명서를 참조하세요.
AWS PrivateLink에서 SSO 사용하기¶
Snowflake는 AWS PrivateLink에서 SSO를 사용하도록 지원합니다. 자세한 내용은 다음을 참조하십시오.
AWS PrivateLink에서 클라이언트 리디렉션 사용하기¶
Snowflake는 AWS PrivateLink에서 클라이언트 리디렉션 사용을 지원합니다.
자세한 내용은 클라이언트 연결 리디렉션하기 섹션을 참조하십시오.
비공개 연결과 함께 복제 및 Tri-Secret Secure 사용하기¶
Snowflake는 대상 계정에서 Tri-Secret Secure 또는 이 기능을 활성화하는지에 관계없이 원본 계정에서 대상 계정으로의 데이터 복제를 지원합니다.
문제 해결하기¶
PrivateLink에서 발생할 수 있는 문제를 해결하려면 다음 Snowflake 커뮤니티 문서를 참조하세요.