여러 계정에 보안 통합 및 네트워크 정책 복제¶
이 항목에서는 이러한 각 오브젝트에 대해 장애 조치/장애 복구를 사용하는 것과 함께, 보안 통합을 복제하는 방법에 대한 정보를 제공하며, 다른 계정 수준 오브젝트(예: 사용자, 역할, 웨어하우스)와의 복제 및 장애 조치/장애 복구에 익숙하다고 가정합니다.
자세한 내용은 여러 계정에 걸쳐 복제 및 장애 조치 도입 섹션을 참조하십시오.
이러한 오브젝트 및 서비스는 리전 및 클라우드 플랫폼 전반에 걸쳐 지원됩니다.
이 항목의 내용:
개요¶
Snowflake는 페더레이션 SSO(즉, SAML2), OAuth, SCIM에 대한 네트워크 정책 및 보안 통합 복제, 그리고 각 네트워크 정책 및 통합에 대한 장애 조치/장애 복구 활성화를 지원합니다.
각 네트워크 정책 및 보안 통합으로 복제 및 장애 조치/장애 복구를 테스트하는 일반적인 접근 방식은 다음과 같습니다.
복제할 원본 계정과 대상 계정을 식별하고 연결 URL을 식별합니다.
원본 계정에서 단계를 완료합니다.
대상 계정에서 단계를 완료합니다.
장애 조치/장애 복구를 테스트합니다.
네트워크 정책 및 보안 통합은 사용 사례가 다르기 때문에 각 오브젝트에 대한 원본 계정 및 대상 계정의 정확한 단계는 약간 다릅니다.
자세한 내용은 다음을 참조하십시오.
SAML2 보안 통합 복제하기¶
SAML2 보안 통합을 복제하면 SAML2 보안 통합 정의에서 연결 URL 을 지정하여 원본 계정과 대상 계정을 ID 공급자에 연결합니다.
연결 URL을 지정하고 사용자가 원본 계정에 존재하도록 ID 공급자를 업데이트하는 것이 중요합니다. 이러한 업데이트가 없으면 사용자 확인이 수행되지 않아 사용자가 대상 계정에 액세스할 수 없게 됩니다.
- 현재 제한:
Snowflake에 대한 SAML SSO의 경우, 연결 URL을 지정하는 SAML2 보안 통합을 복제하는 것은 현재 기본 연결에서만 지원되고 보조 연결에서는 지원되지 않습니다. 장애 조치의 경우, 결과는 기본 연결 역할을 하도록 보조 연결을 승격하는 것입니다. 장애 조치 후, SAML SSO는 새 기본 연결에서 작동합니다.
기본 연결과 보조 연결 둘 다에 SAML SSO가 필요한 경우 두 Snowflake 계정 모두에서 독립적으로 SAML2 보안 통합을 생성하고 관리합니다.
이 절차에서는 다음을 가정합니다.
원본 계정:
https://example-northamericawest.snowflakecomputing.com/
대상 계정:
https://example-northamericaeast.snowflakecomputing.com/
연결 URL:
https://example-global.snowflakecomputing.com
대상 계정에 보조 연결이 없습니다.
이 절차는 다음을 수행하는 대표적인 예입니다.
원본 계정에서 대상 계정으로 SAML2 보안 통합을 복제합니다.
장애 조치를 테스트합니다.
기본 연결로 사용할 원본 계정의 보조 연결을 승격합니다.
원본 계정 단계(IdP 단계 포함):
원본 계정이 데이터베이스 장애 조치/장애 복구 및 클라이언트 리디렉션 에 대해 이미 구성된 경우 다음 단계로 건너뜁니다.
그렇지 않은 경우, ALTER CONNECTION 명령을 사용하여 장애 조치를 활성화합니다.
alter connection global enable failover to accounts example.northamericaeast;
Okta를 ID 공급자의 대표적인 예로 사용하여 Okta에서 연결 URL을 지정하는 Snowflake 애플리케이션 을 생성합니다. 다음과 같이 Okta 필드를 업데이트합니다.
Label:
Snowflake
Subdomain:
example-global
Browser plugin auto-submit: 사용자가 로그인 페이지를 방문할 때 자동 로그인을 활성화하려면 확인란을 선택합니다.
원본 계정에서 SAML2 보안 통합을 업데이트하여
saml2_snowflake_issuer_url
및saml2_snowflake_acs_url
보안 통합 속성에 대한 연결 URL을 지정합니다.create or replace security integration my_idp type = saml2 enabled = true saml2_issuer = 'http://www.okta.com/exk6e8mmrgJPj68PH4x7' saml2_sso_url = 'https://example.okta.com/app/snowflake/exk6e8mmrgJPj68PH4x7/sso/saml' saml2_provider = 'OKTA' saml2_x509_cert='MIIDp...' saml2_sp_initiated_login_page_label = 'OKTA' saml2_enable_sp_initiated = true saml2_snowflake_issuer_url = 'https://example-global.snowflakecomputing.com' saml2_snowflake_acs_url = 'https://example-global.snowflakecomputing.com/fed/login';
Okta에서 Snowflake 애플리케이션을 사용자에게 할당합니다. 자세한 내용은 사용자에게 앱 통합 할당하기 를 참조하십시오.
원본 계정에 대한 SSO가 Okta의 Snowflake 애플리케이션에 지정된 사용자와 원본 계정의 사용자에 대해 작동하는지 확인합니다.
SSO는 IdP 시작 및 Snowflake 시작 SSO 흐름 둘 다에서 작동해야 합니다. 자세한 내용은 지원되는 SSO 워크플로 섹션을 참조하십시오.
원본 계정에서, 장애 조치 그룹이 아직 없는 경우 보안 통합을 포함할 장애 조치 그룹을 생성합니다. 이 예는 대표적인 것이며, 복제에 필요하거나 필요하지 않을 수 있는 다른 계정 오브젝트를 포함합니다.
장애 조치 그룹이 이미 있는 경우, 통합을 포함하도록 장애 조치 그룹을 변경합니다.
create failover group FG object_types = users, roles, warehouses, resource monitors, integrations allowed_integration_types = security integrations allowed_accounts = example.northamericaeast replication_schedule = '10 MINUTE';
대상 계정 단계:
복제하기 전에 SHOW USERS 및 SHOW INTEGRATIONS 명령을 각각 실행하여 대상 계정에 존재하는 사용자 및 보안 통합의 수를 확인합니다.
보조 연결을 생성합니다. 자세한 내용은 CREATE CONNECTION 섹션을 참조하십시오.
create connection GLOBAL as replica of example.northamericawest.global;
대상 계정에 보조 장애 조치 그룹을 생성합니다. 자세한 내용은 CREATE FAILOVER GROUP 섹션을 참조하십시오.
create failover group fg as replica of example.northamericawest.fg;
보조 장애 조치 그룹을 생성할 때 초기 새로 고침이 자동으로 실행됩니다.
대상 계정의 보조 장애 조치 그룹을 수동으로 새로 고치려면 다음 문을 실행합니다. 자세한 내용은 ALTER FAILOVER GROUP 명령을 참조하십시오.
alter failover group fg refresh;
새로 고침 작업이 성공한 경우, 대상 계정에는 원본 계정에 추가되었지만 이전에는 대상 계정에 없었던 새 사용자가 포함될 것입니다. 마찬가지로 대상 계정에는 연결 URL을 지정하는 SAML2 보안 통합이 포함될 것입니다.
다음 명령을 실행하여 새로 고침 작업이 성공했는지 확인합니다.
SHOW INTEGRATIONS (1개의 새로운 통합을 포함할 것임)
SHOW USERS (추가된 신규 사용자 수를 포함할 것임)
DESCRIBE INTEGRATION (
myidp
통합을 위해)
기본 연결로 사용할 대상 계정의 보조 연결을 승격합니다. 다음 명령을 실행한 후, 사용자는 SAML SSO를 사용하여 새 대상 계정에 인증할 수 있습니다.
alter connection global primary;
SCIM 보안 통합 복제하기¶
SCIM 보안 통합을 복제하면, 대상 계정을 새로 고친 후 대상 계정이 원본 계정에 대한 SCIM 업데이트(예: 새 사용자 추가, 새 역할 추가)를 통합할 수 있습니다.
SCIM 보안 통합을 복제한 후, 두 Snowflake 계정은 ID 공급자로부터 SCIM 업데이트를 수신할 수 있습니다. 그러나 Snowflake에서는 하나의 계정만 기본 (즉, 원본) 계정으로 지정할 수 있으며 이 계정은 ID 제공자로부터 SCIM 업데이트를 수신하는 기본 계정입니다.
선택적으로, SCIM 통합을 복제한 후 SCIM 업데이트를 받을 기본 계정으로 다른 계정을 지정할 수 있습니다. 대상 계정은 대상 계정을 새로 고친 후에만 원본 계정에서 SCIM 업데이트를 받을 수 있습니다.
이 절차에서는 다음을 가정합니다.
원본 계정:
https://example-northamericawest.snowflakecomputing.com/
대상 계정:
https://example-northamericaeast.snowflakecomputing.com/
연결 URL:
https://example-global.snowflakecomputing.com
대상 계정에 보조 연결이 있습니다(즉, 새로 고침 작업만 필요함).
이 절차는 다음을 수행하는 대표적인 예입니다.
원본 계정에서 대상 계정으로 SCIM 보안 통합을 복제합니다.
Okta에 새 사용자를 추가하고, 새 사용자를 원본 계정에 푸시하고, 새 사용자를 대상 계정에 복제합니다.
장애 조치 그룹을 새로 고칩니다.
기본 연결로 사용할 대상 계정의 보조 연결을 승격합니다.
원본 계정 단계:
SHOW CONNECTIONS 항목을 실행하여 원본 계정의 연결이 기본 연결인지 확인합니다. 기본 연결이 아닌 경우 ALTER CONNECTION 명령을 사용하여, 기본 연결로 사용할 원본 계정의 연결을 승격합니다.
원본 계정에 Okta SCIM 보안 통합이 이미 구성된 경우 다음 단계로 건너뜁니다.
그렇지 않은 경우, 원본 계정에서 Okta SCIM 보안 통합을 구성합니다.
create role if not exists okta_provisioner; grant create user on account to role okta_provisioner; grant create role on account to role okta_provisioner; grant role okta_provisioner to role accountadmin; create or replace security integration okta_provisioning type = scim scim_client = 'okta' run_as_role = 'OKTA_PROVISIONER'; select system$generate_scim_access_token('OKTA_PROVISIONING');
Snowflake용 Okta SCIM 애플리케이션을 업데이트해야 합니다. 자세한 내용은 Okta 구성 섹션을 참조하십시오.
Okta에서 Snowflake용 Okta 애플리케이션에서 새 사용자를 생성합니다.
Snowflake에서 SHOW USERS 명령을 실행하여 사용자가 Snowflake로 푸시되었는지 확인합니다.
장애 조치 그룹이 이미
security integrations
를 지정하는 경우 다음 단계로 건너뜁니다. 이 항목의 대상 계정에서 SAML SSO 를 위해 장애 조치 그룹을 이미 구성한 경우에 해당합니다.그렇지 않은 경우,
security integrations
를 지정하는 ALTER FAILOVER GROUP 명령을 사용하여 기존 장애 조치 그룹을 수정합니다.alter failover group fG set object_types = users, roles, warehouses, resource monitors, integrations allowed_integration_types = security integrations;
이 시점에서 SCM에 대한 대상 계정 단계 SCIM 에 표시된 대로 선택적으로 보조 장애 조치 그룹을 새로 고쳐 원본 계정의 새 사용자가 대상 계정에 있도록 할 수 있습니다.
이제 보조 장애 조치 그룹을 새로 고치도록 선택하는 경우, 이 순서로 새 사용자를 추가하는 원본 계정의 변경 사항이 대상 계정에 표시되는지 쉽게 확인할 수 있습니다.
그러나 다른 사용자를 수정하거나 역할 할당을 업데이트하는 것과 같이 ID 공급자에서 추가 작업을 수행해야 하거나 그렇게 하는 것을 선호하는 경우, 지금 해당 작업을 계속한 다음, 나중에 하나의 작업으로 보조 장애 조치 그룹을 새로 고칠 수 있습니다.
대상 계정 단계:
복제하기 전에 SHOW USERS 및 SHOW INTEGRATIONS 명령을 각각 실행하여 대상 계정에 존재하는 사용자 및 보안 통합의 수를 확인합니다.
보조 장애 조치 그룹을 새로 고쳐 새 사용자(및 Okta와 원본 계정에서 수행된 기타 변경 사항)를 포함하도록 대상 계정을 업데이트합니다.
alter failover group fg refresh;
SHOW USERS 명령을 실행하여 새 사용자가 대상 계정에 추가되었는지 확인합니다.
선택적으로, 대상 계정의 보조 장애 조치 그룹과 보조 연결을 기본으로 승격합니다. 이렇게 하면 대상 계정이 새 원본 계정으로 사용되도록 승격됩니다.
장애 조치 그룹:
alter failover group fg primary;
연결:
alter connection global primary;
OAuth 보안 통합 복제하기¶
복제 OAuth 보안 통합에는 Snowflake OAuth 보안 통합과 외부 OAuth 보안 통합이 둘 다 포함됩니다.
다음 사항을 참고하십시오.
- Snowflake OAuth:
복제 및 장애 조치/장애 복구를 구성한 후, OAuth 클라이언트를 통해 원본 계정 또는 대상 계정에 연결하는 사용자는 대상 계정에 대해 재인증할 필요가 없습니다.
- 외부 OAuth:
복제 및 장애 조치/장애 복구를 구성한 후, OAuth 클라이언트를 통해 원본 계정 또는 대상 계정에 연결하는 사용자는 대상 계정에 대해 재인증해야 할 수 있습니다.
OAuth 인증 서버가 새로 고침 토큰을 발급하도록 구성되지 않은 경우 재인증이 필요할 수 있습니다. 따라서 OAuth 클라이언트가 원본 및 대상 Snowflake 계정에 연결할 수 있도록 OAuth 인증 서버가 새로 고침 토큰을 발급하는지 확인하십시오.
이 절차에서는 다음을 가정합니다.
원본 계정:
https://example-northamericawest.snowflakecomputing.com/
대상 계정:
https://example-northamericaeast.snowflakecomputing.com/
연결 URL:
https://example-global.snowflakecomputing.com
대상 계정에 보조 연결이 있습니다(즉, 새로 고침 작업만 필요함).
Snowflake OAuth 또는 외부 OAuth 보안 통합이 원본 계정에 이미 있습니다.
이 절차는 다음을 수행하는 대표적인 예입니다.
OAuth 보안 통합을 복제합니다.
장애 조치 그룹을 새로 고칩니다.
기본 연결로 사용할 대상 계정의 보조 연결을 승격합니다.
원본 계정 단계:
장애 조치 그룹이 이미
security integrations
를 지정하는 경우 다음 단계로 건너뜁니다. 이 항목의 대상 계정에서 SAML SSO 를 위해, 또는 마찬가지로 이 항목의 SCIM 을 위해 장애 조치 그룹을 이미 구성한 경우에 해당합니다.그렇지 않은 경우,
security integrations
를 지정하는 ALTER FAILOVER GROUP 명령을 사용하여 기존 장애 조치 그룹을 수정합니다.alter failover group fG set object_types = users, roles, warehouses, resource monitors, integrations allowed_integration_types = security integrations;
대상 계정 단계:
OAuth 보안 통합 오브젝트를 포함하도록 대상 계정을 업데이트하려면 보조 장애 조치 그룹을 새로 고칩니다.
alter failover group fg refresh;
선택한 OAuth 클라이언트를 사용하여 각 Snowflake 계정에 대한 연결을 확인합니다.
선택적으로, 대상 계정의 보조 장애 조치 그룹과 보조 연결을 기본으로 승격합니다. 이렇게 하면 대상 계정이 새 원본 계정으로 사용되도록 승격됩니다.
장애 조치 그룹:
alter failover group fg primary;
연결:
alter connection global primary;
이전 단계를 완료한 경우, 선택한 OAuth 클라이언트를 사용하여 각 Snowflake 계정에 연결할 수 있는지 다시 확인하십시오.
네트워크 정책 복제하기¶
원본 계정에서 대상 계정으로 네트워크 정책을 복제하면 관리자가 수신 요청의 출처를 나타내는 네트워크 식별자를 기반으로 대상 계정에 대한 액세스를 제한할 수 있습니다.
네트워크 정책 참조 및 할당 복제하기¶
네트워크 정책을 복제하면 네트워크 정책 오브젝트 및 모든 네트워크 정책 참조/할당이 복제됩니다. 예를 들어, 네트워크 정책이 원본 계정의 네트워크 규칙을 참조하고 두 오브젝트가 모두 대상 계정에 존재하는 경우 네트워크 정책은 대상 계정에서 동일한 네트워크 규칙을 사용합니다. 마찬가지로, 네트워크 정책이 사용자에게 할당되고 사용자가 원본 계정과 대상 계정 둘 다에 존재하는 경우, 네트워크 정책을 복제하면 대상 계정의 사용자에게 네트워크 정책이 할당됩니다.
네트워크 정책 참조 및 할당 복제 시 참조된 오브젝트와 네트워크 정책이 할당된 오브젝트도 복제된다고 가정합니다. 지원하는 오브젝트 유형을 올바로 복제하지 않을 경우 Snowflake가 대상 계정에서 새로 고침 작업에 실패합니다.
참조된 오브젝트나 네트워크 정책이 할당된 오브젝트가 대상 계정에 아직 없는 경우, 해당 오브젝트 유형을 네트워크 정책과 동일한 복제 또는 장애 조치 그룹에 포함하십시오. 다음 예제에서는 지원하는 오브젝트가 대상 계정에 아직 없는 경우에 필요한 설정을 보여줍니다.
- 네트워크 규칙을 사용하는 네트워크 정책
복제 그룹 또는 장애 조치 그룹은
network policies
및databases
를 포함해야 합니다. 네트워크 규칙은 스키마 수준 오브젝트이며 해당 오브젝트가 포함된 데이터베이스와 함께 복제됩니다. 예:CREATE FAILOVER GROUP fg OBJECT_TYPES = network policies, databases ALLOWED_DATABASES = testdb2 ALLOWED_ACCOUNTS = myorg.myaccount2;
- 계정에 할당된 네트워크 정책
복제 그룹 또는 장애 조치 그룹은
network policies
및account parameters
를 포함해야 합니다. 네트워크 정책에서 네트워크 규칙을 사용하는 경우databases
도 포함해야 합니다. 예:CREATE FAILOVER GROUP fg OBJECT_TYPES = network policies, account parameters, databases ALLOWED_DATABASES = testdb2 ALLOWED_ACCOUNTS = myorg.myaccount2;
- 사용자에게 할당된 네트워크 정책
복제 그룹 또는 장애 조치 그룹은
network policies
및users
를 포함해야 합니다. 네트워크 정책에서 네트워크 규칙을 사용하는 경우databases
도 포함해야 합니다. 예:CREATE FAILOVER GROUP fg OBJECT_TYPES = network policies, users, databases ALLOWED_DATABASES = testdb2 ALLOWED_ACCOUNTS = myorg.myaccount2;
- 보안 통합에 할당된 네트워크 정책
네트워크 정책 복제는 복제 또는 장애 조치 그룹에
integrations
,security integrations
,network policies
가 포함된 경우 Snowflake OAuth 및 SCIM 보안 통합 에 지정된 네트워크 정책에 적용됩니다. 네트워크 정책에서 네트워크 규칙을 사용하는 경우databases
도 포함해야 합니다.CREATE FAILOVER GROUP fg OBJECT_TYPES = network policies, integrations, databases ALLOWED_DATABASES = testdb2 ALLOWED_INTEGRATION_TYPES = security integrations ALLOWED_ACCOUNTS = myorg.myaccount2;
예¶
이 예제에서는 다음과 같이 가정합니다.
원본 계정:
https://example-northamericawest.snowflakecomputing.com/
대상 계정:
https://example-northamericaeast.snowflakecomputing.com/
연결 URL:
https://example-global.snowflakecomputing.com
대상 계정에 보조 연결이 있습니다(즉, 새로 고침 작업만 필요함).
원본 계정에 네트워크 정책이 있습니다.
Snowflake OAuth 및/또는 SCIM 보안 통합은 원본 계정에 이미 존재하며 통합은 네트워크 정책을 지정합니다.
이 절차적 예제에서는 다음을 수행합니다.
네트워크 트래픽을 제한하는 데 사용되는 네트워크 규칙과 함께 네트워크 정책을 복제합니다.
네트워크 정책이 할당된 보안 통합을 복제합니다.
장애 조치 그룹을 새로 고칩니다.
네트워크 정책 활성화를 확인합니다.
기본 연결로 사용할 원본 계정의 보조 연결을 승격합니다.
원본 계정 단계:
SHOW NETWORK POLICIES 명령을 실행하여 원본 Snowflake 계정에 네트워크 정책이 있는지 확인합니다.
보안 통합을 식별하는 SHOW INTEGRATIONS 명령을 실행하여 Snowflake OAuth 및/또는 SCIM 보안 통합에 네트워크 정책이 포함되어 있는지 확인한 다음, Snowflake OAuth 보안 통합에 대한 DESCRIBE INTEGRATION 명령을 실행합니다.
ALTER FAILOVER GROUP 명령을 사용하여
network policies
및account parameters
를 포함하도록 장애 조치 그룹을 업데이트합니다.alter failover group fG set object_types = users, roles, warehouses, resource monitors, integrations, network policies, account parameters allowed_integration_types = security integrations;
대상 계정 단계:
보조 장애 조치 그룹을 새로 고쳐, 네트워크 정책 오브젝트, 그리고 네트워크 정책을 지정하는 Snowflake OAuth 보안 통합을 포함하도록 대상 계정을 업데이트합니다.
alter failover group fg refresh;
SHOW NETWORK POLICIES 명령을 실행하여 네트워크 정책 오브젝트가 있는지 확인하고, 보안 통합에 대한 DESCRIBE SECURITY INTEGRATION 명령을 실행하여 Snowflake OAuth 보안 통합이, 복제된 네트워크 정책을 지정하는지 확인합니다.
계정 또는 사용자 수준에서 활성화된 네트워크 정책 식별하기 에 나온 바와 같이 네트워크 정책 활성화를 확인합니다.
선택한 Snowflake OAuth 클라이언트를 사용하여 각 Snowflake 계정에 대한 연결을 확인합니다.
선택적으로 대상 계정의 보조 장애 조치 그룹과 보조 연결을 기본으로 승격합니다. 이렇게 하면 대상 계정이 새 원본 계정으로 사용되도록 승격됩니다.
장애 조치 그룹:
alter failover group fg primary;
연결:
alter connection global primary;
이전 단계를 완료한 경우, 선택한 Snowflake OAuth 클라이언트를 사용하여 각 Snowflake 계정에 연결할 수 있는지 다시 확인하십시오.
ServiceNow용 Snowflake 커넥터의 통합 및 오브젝트 복제하기¶
Snowflake는 ServiceNow용 Snowflake Connector 를 사용해 ServiceNow에서 데이터를 수집할 수 있습니다. 커넥터를 사용하려면 Snowflake 계정에 다음 오브젝트가 필요합니다.
시크릿.
type = api_authentication
의 보안 통합..API 통합
수집된 데이터를 저장할 데이터베이스입니다.
사용할 커넥터의 웨어하우스입니다.
이러한 오브젝트에 대한 액세스를 관리하는 계정 역할입니다.
커넥터를 설치하기 전에 이러한 오브젝트를 만들고 이러한 오브젝트를 대상 계정에 복제할 수 있습니다. 이러한 오브젝트를 복제한 후 대상 계정에 커넥터를 설치할 수 있습니다. 설치는 Snowflake가 제공하는 공유에 의존하므로 대상 계정에 커넥터를 설치해야 합니다. 커넥터 설치 중에 공유에서 데이터베이스를 생성해야 하며 공유에서 생성된 데이터베이스는 복제할 수 없습니다.
계정 오브젝트의 복제를 관리하려는 방법에 따라 하나 이상의 복제 또는 장애 조치 그룹을 가질 수 있습니다. 단일 복제 그룹은 오브젝트의 복제 관리를 중앙 집중화하여 일부 오브젝트는 복제되고 다른 오브젝트는 복제되지 않는 상황을 방지합니다. 그렇지 않으면 복제 작업을 신중하게 조정하여 모든 오브젝트가 대상 계정에 복제되도록 해야 합니다.
예를 들어 데이터베이스에 대한 복제 그룹을 가질 수 있습니다. 이 복제 그룹(예: rg1
)은 시크릿을 포함하는 데이터베이스와 ServiceNow 데이터를 저장할 데이터베이스를 지정합니다. 다른 복제 그룹(예: rg2
)은 사용자, 역할 및 통합 오브젝트와 사용자에 대한 이러한 역할의 부여를 지정합니다. 이 시나리오에서는 먼저 통합을 복제한 다음 시크릿 데이터베이스, 사용자, 역할을 포함하도록 대상 계정을 새로 고치기로 할 경우 복제 새로 고침 작업이 성공합니다.
그러나 통합을 복제하기 전에 그룹의 시크릿이 포함된 데이터베이스와 사용자 및 역할을 복제하는 경우에는 보안 통합이 복제될 때까지 자리 표시자 시크릿이 사용되는데, 자리 표시자 시크릿은 허상 참조를 방지합니다. 보안 통합이 복제되면 자리 표시자 시크릿이 실제 시크릿으로 바뀝니다.
이 절차는 다음을 수행하는 대표적인 예입니다.
시크릿과 수집된 데이터가 포함된 통합과 데이터베이스를 복제합니다.
장애 조치 그룹을 새로 고칩니다.
기본 연결로 사용할 원본 계정의 보조 연결을 승격합니다.
복제 후 커넥터를 설치하여 사용합니다.
이 절차에서는 다음을 가정합니다.
원본 계정:
https://example-northamericawest.snowflakecomputing.com/
대상 계정:
https://example-northamericaeast.snowflakecomputing.com/
연결 URL:
https://example-global.snowflakecomputing.com
대상 계정에 보조 연결이 있습니다(즉, 새로 고침 작업만 필요함).
액세스를 제한하는 인증 및 네트워크 정책에 대한 다른 보안 통합은 이미 복제되었습니다.
원본 계정 단계:
이러한 각 오브젝트 유형에 대해 SHOW 명령을 실행하여 커넥터의 오브젝트가 원본 Snowflake 계정에 있는지 확인합니다.
show secrets in database secretsdb; show security integrations; show api integrations; show tables in database destdb; show warehouses; show roles;
secretsdb
는 시크릿이 포함된 데이터베이스의 이름이고destdb
는 ServiceNow에서 수집된 데이터가 포함된 데이터베이스의 이름입니다.ALTER FAILOVER GROUP 명령을 사용하여 시크릿과 수집된 데이터가 포함된 API 통합 및 데이터베이스를 포함하도록 장애 조치 그룹을 업데이트합니다.
alter failover group fg set object_types = databases, users, roles, warehouses, resource monitors, integrations, network policies, account parameters allowed_databases = secretsdb, destdb allowed_integration_types = security integrations, api integrations;
대상 계정 단계:
대상 계정에 통합과 데이터베이스를 복제하려면 보조 장애 조치 그룹을 새로 고치십시오.
alter failover group fg refresh;
다음 SHOW 명령을 사용하여 복제된 오브젝트가 있는지 확인합니다.
show secrets; show security integrations; show api integrations; show database; show tables in database destdb; show roles;
선택한 방법(예: 브라우저, SnowSQL)을 사용하여 각 Snowflake 계정에 대한 연결을 확인합니다.
선택적으로 대상 계정의 보조 장애 조치 그룹과 보조 연결을 기본으로 승격합니다. 이렇게 하면 대상 계정이 새 원본 계정으로 사용되도록 승격됩니다.
장애 조치 그룹:
alter failover group fg primary;
연결:
alter connection global primary;
이전 단계를 완료한 경우, 각 Snowflake 계정에 연결할 수 있는지 다시 확인하십시오.
이 시점에서 대상 계정에는 복제된 오브젝트가 포함되며 사용자가 로그인할 수 있습니다. 그러나 커넥터를 사용하기 위해 대상 계정에 추가 단계가 있습니다.
Snowflake 계정을 호스팅하는 클라우드 플랫폼에서 API 통합과 연결된 원격 서비스를 업데이트합니다.
자세한 내용은 API 통합을 위해 원격 서비스 업데이트하기 섹션을 참조하십시오.
커넥터를 수동으로 설치하거나 Snowsight를 사용하여 설치합니다. 자세한 내용은 다음을 참조하십시오.