Snowflake mit Amazon Quick Sight verwenden - Amazon Quick Suite
Verbinden mit AnmeldeinformationenVerbinden mit OAuth-Client-Anmeldeinformationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Snowflake mit Amazon Quick Sight verwenden

Snowflake ist eine KI-Daten-Cloud-Plattform, die Datenlösungen von Data Warehousing und Zusammenarbeit bis hin zu Datenwissenschaft und generativer KI bietet. Snowflake ist ein AWS Partner mit mehreren AWS Akkreditierungen, zu denen AWS ISV-Kompetenzen in den Bereichen Generative KI, Machine Learning, Daten und Analytik sowie Einzelhandel gehören.

Amazon Quick Sight bietet zwei Möglichkeiten, eine Verbindung zu Snowflake herzustellen: mit Ihren Snowflake-Anmeldeinformationen oder mit Kundenanmeldedaten. OAuth In den folgenden Abschnitten erfahren Sie mehr über jede dieser Verbindungsmethoden.

Erstellen einer Quick Sight-Datenquellenverbindung zu Snowflake mit Anmeldeinformationen

In diesem Abschnitt erfahren Sie, wie Sie mit Ihren Snowflake-Anmeldeinformationen eine Verbindung zwischen Quick Sight und Snowflake herstellen. Der gesamte Verkehr zwischen Quick Sight und Snowflake wird über SSL aktiviert.

Um eine Verbindung zwischen Quick Sight und Snowflake herzustellen

  1. Öffnen Sie die Quick Suite-Konsole.

  2. Wählen Sie im linken Navigationsbereich Daten, dann Erstellen und anschließend Neuer Datensatz aus.

  3. Wählen Sie die Snowflake-Datenquellenkarte aus.

  4. Geben Sie in dem Popup, das jetzt angezeigt wird, die folgenden Informationen ein:

    1. Geben Sie für Datenquellenname einen beschreibenden Namen für Ihre Snowflake-Datenquellenverbindung ein. Da Sie über eine Verbindung zu Snowflake viele Datensätze erstellen können, empfiehlt es sich, den Namen einfach zu halten.

    2. Wählen Sie unter Verbindungstyp den Netzwerktyp aus, den Sie verwenden. Wählen Sie öffentliches Netzwerk, wenn Ihre Daten öffentlich zugänglich sind. Wählen Sie VPC, wenn sich Ihre Daten innerhalb einer VPC befinden. Informationen zur Konfiguration einer VPC-Verbindung in Quick Sight finden Sie unterVerwaltung der VPC-Verbindung in Amazon Quick Suite.

    3. Geben Sie als Datenbankserver den in Ihren Snowflake-Verbindungsdetails angegebenen Hostnamen ein.

  5. Geben Sie für Datenbankname und Warehouse die entsprechende Snowflake-Datenbank und das Warehouse ein, mit dem Sie eine Verbindung herstellen möchten.

  6. Geben Sie für Benutzername und Passwort Ihre Snowflake-Anmeldeinformationen ein.

Nachdem Sie erfolgreich eine Datenquellenverbindung zwischen Ihren Quick Sight- und Snowflake-Konten hergestellt haben, können Sie Erstellen von Datensätzen damit beginnen, Snowflake-Daten zu enthalten.

Erstellen einer Quick Sight-Datenquellenverbindung zu Snowflake mit Client-Anmeldeinformationen OAuth

Sie können OAuth Kundenanmeldedaten verwenden, um Ihr Quick Sight-Konto über Quick Sight mit Snowflake zu verbinden. APIs OAuthist ein Standardautorisierungsprotokoll, das häufig für Anwendungen mit erhöhten Sicherheitsanforderungen verwendet wird. Wenn Sie mit OAuth Client-Anmeldeinformationen eine Verbindung zu Snowflake herstellen, können Sie mit Quick Sight APIs und in der Quick Sight-Benutzeroberfläche Datensätze erstellen, die Snowflake-Daten enthalten. Weitere Informationen zur Konfiguration von OAuth in Snowflake finden Sie in der Snowflake OAuth-Übersicht.

Quick Sight unterstützt den Zuschusstyp. client credentials OAuth OAuthClient-Anmeldeinformationen werden verwendet, um ein Zugriffstoken für die machine-to-machine Kommunikation zu erhalten. Diese Methode eignet sich für Szenarien, in denen ein Client auf Ressourcen zugreifen muss, die auf einem Server gehostet werden, ohne dass ein Benutzer involviert ist.

Im Prozess der Client-Anmeldeinformationen von OAuth 2.0 gibt es mehrere Client-Authentifizierungsmechanismen, mit denen die Client-Anwendung beim Autorisierungsserver authentifiziert werden kann. Quick Sight unterstützt auf Snowflake basierende OAuth Client-Anmeldeinformationen für die folgenden beiden Mechanismen:

  • Token (auf der Grundlage von Secret-basiertem OAuth): Der auf Secrets basierende Client-Authentifizierungsmechanismus wird zusammen mit den Client-Anmeldeinformationen verwendet, um den Datenfluss für die Authentifizierung beim Autorisierungsserver zu gewähren. Dieses Authentifizierungsschema erfordert, dass client_id und client_secret der OAuth-Client-App in Secrets Manager gespeichert sind.

  • X509 (JWT-basierter, privater OAuth-Client-Schlüssel): Die auf dem X509-Zertifikatsschlüssel basierende Lösung bietet eine zusätzliche Sicherheitsebene für den OAuth-Mechanismus mit Client-Zertifikaten, die anstelle von Client-Secrets zur Authentifizierung verwendet werden. Diese Methode wird hauptsächlich von privaten Clients verwendet, die diese Methode verwenden, um sich beim Autorisierungsserver zu authentifizieren, wobei ein hohes Vertrauen zwischen den beiden Diensten besteht.

Quick Sight hat OAuth Verbindungen mit den folgenden Identitätsanbietern validiert:

  • OKTA

  • PingFederate

Speichern von OAuth-Anmeldeinformationen in Secrets Manager

OAuth Kundenanmeldedaten sind für machine-to-machine Anwendungsfälle gedacht und nicht interaktiv konzipiert. Um eine Datenquellenverbindung zwischen Quick Sight und Snowflake herzustellen, erstellen Sie in Secrets Manager ein neues Geheimnis, das Ihre Anmeldeinformationen für die Client-App enthält. OAuth Der geheime ARN, der mit dem neuen Geheimnis erstellt wird, kann verwendet werden, um Datensätze zu erstellen, die Snowflake-Daten in Quick Sight enthalten. Weitere Informationen zur Verwendung von Secrets Manager Manager-Schlüsseln in Quick Sight finden Sie unterVerwenden von AWS Secrets Manager Geheimnissen anstelle von Datenbankanmeldedaten in Quick Suite.

Die Anmeldeinformationen, die Sie in Secrets Manager speichern müssen, werden durch den von Ihnen verwendeten OAuth-Mechanismus bestimmt. Die folgenden key/value Paare sind für OAuth X509-basierte Geheimnisse erforderlich:

  • username: Der Benutzername des Snowflake-Kontos, der für die Verbindung mit Snowflake verwendet werden soll

  • client_id: Die OAuth-Client-ID

  • client_private_key: Der private OAuth-Client-Schlüssel

  • client_public_key: Der öffentliche Schlüssel des OAuth-Client-Zertifikats und sein verschlüsselter Algorithmus (zum Beispiel {"alg": "RS256", "kid", "cert_kid"})

Die folgenden key/value Paare sind für tokenbasierte Geheimnisse erforderlich: OAuth

  • username: Der Benutzername des Snowflake-Kontos, der für die Verbindung mit Snowflake verwendet werden soll

  • client_id: Die OAuth-Client-ID

  • client_secret: das OAuth-Client-Secret

Eine OAuth Snowflake-Verbindung mit Quick Sight herstellen APIs

Nachdem Sie in Secrets Manager ein Geheimnis erstellt haben, das Ihre OAuth Snowflake-Anmeldeinformationen enthält, und Ihr Quick Suite-Konto mit Secrets Manager verbunden haben, können Sie mit Quick Sight und SDK eine Datenquellenverbindung zwischen Quick Sight und Snowflake herstellen. APIs Im folgenden Beispiel wird mithilfe von Token-Client-Anmeldeinformationen eine Snowflake-Datenquellenverbindung erstellt. OAuth


{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "UNIQUEDATASOURCEID",
    "Name": "NAME",
    "Type": "SNOWFLAKE",
    "DataSourceParameters": {
        "SnowflakeParameters": {
            "Host": "HOSTNAME",
            "Database": "DATABASENAME",
            "Warehouse": "WAREHOUSENAME",
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "snowflake-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN" 
             }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Snowflake"
    }
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Weitere Informationen zum CreateDatasource API-Vorgang finden Sie unter. CreateDataSource

Sobald die Verbindung zwischen Quick Sight und Snowflake hergestellt ist und eine Datenquelle mit Quick Sight APIs oder SDK erstellt wurde, wird die neue Datenquelle in Quick Sight angezeigt. Quick Sight-Autoren können diese Datenquelle verwenden, um Datensätze zu erstellen, die Snowflake-Daten enthalten. Die Tabellen werden auf der Grundlage der Rolle angezeigt, die im DatabaseAccessControlRole-Parameter verwendet wird, der in einem CreateDataSource-API-Aufruf übergeben wird. Wenn dieser Parameter beim Erstellen der Datenquellenverbindung nicht definiert ist, wird die Snowflake-Standardrolle verwendet.

Nachdem Sie erfolgreich eine Datenquellenverbindung zwischen Ihren Quick Sight- und Snowflake-Konten hergestellt haben, können Sie damit beginnenErstellen von Datensätzen, Snowflake-Daten zu enthalten.