외부 함수 보호하기¶
이 항목에서는 외부 함수 보호와 관련하여 플랫폼에 독립적인 세부 정보를 설명합니다.
이 항목의 내용:
액세스 제어¶
외부 함수¶
사용자 정의 함수(UDFs)와 같은 외부 함수는 액세스 제어 규칙을 따릅니다.
외부 함수에는 소유자가 있습니다.
소유자는 (소유자 이외의) 호출자에게 해당 함수에 대한 적절한 권한을 부여해야 합니다.
하지만 외부 함수에는 몇 가지 추가적인 권한 요구 사항이 있습니다.
외부 함수는 API 통합이 필요하므로, 외부 함수의 작성자에게 API 통합에 대한 USAGE 권한을 부여해야 합니다.
UDFs 및 액세스 제어에 대한 자세한 내용은 액세스 제어 권한 을 참조하십시오.
API 통합¶
권한 및 API 통합¶
API 통합은 데이터베이스 오브젝트입니다. API 통합을 만들려면 ACCOUNTADMIN 권한이나 CREATE INTEGRATION 권한이 있는 Snowflake 역할이 필요합니다. 계정 관리자는 각 API 통합에 대한 소유권과 사용 권한을 부여하거나 취소할 수 있습니다.
CREATE API INTEGRATION에서 API_KEY 옵션 사용하기¶
일부 프록시 서비스(API Gateway)에서는 사용자가 프록시 서비스를 호출할 때 구독 정보(또는 기타 제품 관련 정보)를 제공해야 합니다. 구독 정보를 사용해 사용자가 유료 고객임을 인증하고, 사용 할당량을 적용하는 등의 작업을 할 수 있습니다.
Snowflake는 이제 개발자가 구독 정보를 제공해야 하는 사용자에게 배포할 수 있는 영숫자 문자열 값인 API 키 를 지원하며, 이 키를 구독 키 (Microsoft Azure 용어)라고도 합니다.
사용자는 CREATE API INTEGRATION 문 또는 ALTER API INTEGRATION 문의 API_KEY 절을 사용하여 이들 키를 Snowflake에 제공할 수 있습니다. API_KEY 절은 선택 사항으로, 서비스에 키가 필요하지 않은 경우 이 절을 생략할 수 있습니다.
API_KEY는 IAM(Identity and Access Management)을 대체하는 것이 아니라 이에 추가되는 것입니다.
API 키는 중요합니다. 다음에는 이런 키가 표시되지 않습니다.
쿼리 기록 명령.
DESCRIBE INTEGRATION 명령.
DESCRIBE API INTEGRATION 명령.
서비스 개발자가 키의 형식 지정 방법을 선택합니다. 이 키는 Snowflake에 불투명하며, Snowflake는 그 유효성을 검사하지 않습니다.
아래 링크를 따라가면 특정 플랫폼의 API 키에 대해 자세히 알아볼 수 있습니다.
프록시 서비스 보호하기¶
공개적으로 액세스할 수 있도록 의도한 외부 함수가 아닌 경우, Snowflake에서는 프록시 서비스 엔드포인트를 보호할 것을 강력히 권장합니다.
Snowflake는 자격 증명이 없는 API 통합 오브젝트를 사용하여 프록시 서비스 엔드포인트에 대해 인증합니다. 자격 증명 없는 API 통합은 관리자와 사용자 간의 책임을 분리합니다. API 통합에서는 관리자가 클라우드 공급자의 기본 인증 및 권한 부여 메커니즘을 사용하여 Snowflake와 클라우드 공급자 간에 트러스트 정책을 만들 수 있습니다. Snowflake가 클라우드 공급자에 연결하면 클라우드 공급자가 이 트러스트 정책을 통해 액세스를 인증하고 권한을 부여합니다. 관리자는 특정 API 통합을 사용하여 API 통합 오브젝트가 액세스할 수 있는 엔드포인트의 허용 목록을 지정할 수도 있습니다. 이는 Snowflake가 사용할 수 있는 프록시 서비스와 리소스를 제한하여 관리자가 데이터 송신 및 수신에 대한 조직 정책을 적용할 수 있도록 합니다.
Amazon API Gateway와 같은 특정 프록시 서비스 엔드포인트를 보호하기 위한 더 자세한 지침은 플랫폼별 지침에 있습니다.
원격 서비스 보호하기¶
자체 원격 서비스를 만든 경우 서비스 보안 조치를 꼭 취해야 합니다.
세부 정보는 원격 서비스의 구현에 따라 다르며 이 문서의 범위를 벗어납니다.
대부분의 경우, 원격 서비스는 HTTP가 아닌 HTTPS를 사용해야 합니다.
추가 보안 정보¶
Snowflake와 프록시 서버 간의 통신은 HTTPS를 사용해 암호화됩니다.
플랫폼별 보안 정보¶
AWS¶
AWS의 경우, 모든 Snowflake HTTP 요청(API Gateway로 이동)은 AWS sigv4 인증을 사용하여 서명됩니다. 자세한 내용은 AWS sig4 인증 을 참조하십시오.
리소스 정책을 추가하여 API Gateway 엔드포인트에 대한 액세스를 제한합니다. 자세한 내용은 Amazon API 게이트웨어 엔드포인트 보호하기 섹션을 참조하십시오.
프라이빗 엔드포인트 를 사용하는 경우 PrivateLink 에 대한 자세한 내용을 읽어볼 수 있습니다.