Utilisation de Snowflake avec Amazon Quick Sight - Amazon Quick Suite
Connexion à l’aide d’informations d’identification de connexionConnexion à l’aide d’informations d’identification du client OAuth

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de Snowflake avec Amazon Quick Sight

Snowflake est une plateforme cloud de données basée sur l’IA qui fournit des solutions de données allant de l’entreposage de données et de la collaboration à la science des données et à l’IA générative. Snowflake est un AWS partenaire titulaire de plusieurs AWS accréditations, notamment des compétences AWS ISV dans les domaines de l'IA générative, du Machine Learning, des données et de l'analyse, et du commerce de détail.

Amazon Quick Sight propose deux méthodes pour se connecter à Snowflake : avec vos identifiants de connexion Snowflake ou avec les identifiants client. OAuth Utilisez les sections suivantes pour en savoir plus sur ces deux méthodes de connexion.

Création d'une connexion à une source de données Quick Sight à Snowflake avec des informations de connexion

Utilisez cette section pour savoir comment créer une connexion entre Quick Sight et Snowflake à l'aide de vos identifiants de connexion Snowflake. Tout le trafic entre Quick Sight et Snowflake est activé par SSL.

Pour créer une connexion entre Quick Sight et Snowflake

  1. Ouvrez la console Quick Suite.

  2. Dans le volet de navigation de gauche, choisissez Data, puis Create, puis choisissez New Dataset.

  3. Choisissez la carte de source de données Snowflake.

  4. Dans la fenêtre contextuelle qui apparaît, entrez les informations suivantes :

    1. Pour le Nom de la source de données, entrez un nom descriptif pour votre connexion à la source de données Snowflake. Étant donné que vous pouvez créer de nombreux jeux de données à partir d’une connexion à Snowflake, il est préférable de choisir un nom simple.

    2. Pour Type de connexion, sélectionnez le type de réseau que vous utilisez. Si vos données sont partagées publiquement, choisissez Réseau public. Si vos données se trouvent dans un VPC, choisissez VPC. Pour configurer une connexion VPC dans Quick Sight, consultez. Gestion de la connexion VPC dans Amazon Quick Suite

    3. Pour le serveur de base de données, saisissez le nom d’hôte indiqué dans les détails de votre connexion Snowflake.

  5. Pour le nom de la base de données et l’entrepôt, entrez la base de données Snowflake et le wearehouse respectifs auxquels vous souhaitez vous connecter.

  6. Dans Nom d’utilisateur et Mot de passe, saisissez vos informations d’identification Snowflake.

Une fois que vous avez créé avec succès une connexion à une source de données entre vos comptes Quick Sight et Snowflake, vous pouvez commencer à Création de jeux de données contenir des données Snowflake.

Création d'une connexion de source de données Quick Sight à Snowflake avec OAuth les informations d'identification du client

Vous pouvez utiliser les informations d'identification OAuth du client pour connecter votre compte Quick Sight à Snowflake via le Quick Sight. APIs OAuthest un protocole d'autorisation standard souvent utilisé pour les applications soumises à des exigences de sécurité avancées. Lorsque vous vous connectez à Snowflake avec les informations d'identification OAuth du client, vous pouvez créer des ensembles de données contenant des données Snowflake à l'aide du Quick Sight APIs et de l'interface utilisateur de Quick Sight. Pour plus d’informations sur la configuration OAuth dans Snowflake, consultez Snowflake OAuth la présentation.

Quick Sight prend en charge le type de client credentials OAuth subvention. OAuthles informations d'identification du client sont utilisées pour obtenir un jeton d'accès pour machine-to-machine la communication. Cette méthode convient aux scénarios dans lesquels un client doit accéder à des ressources hébergées sur un serveur sans l’intervention d’un utilisateur.

Dans le flux d’informations d’identification client OAuth 2.0, plusieurs mécanismes d’authentification client peuvent être utilisés pour authentifier l’application cliente auprès du serveur d’autorisation. Quick Sight prend en charge les informations d'identification OAuth des clients basées sur Snowflake pour les deux mécanismes suivants :

  • Jeton (basé sur les secrets du clientOAuth) : le mécanisme d’authentification client basé sur le secret est utilisé avec les informations d’identification du client pour accorder le flux afin de s’authentifier auprès du serveur d’autorisation. Ce schéma d’authentification nécessite que le client_id et client_secret de l’application cliente OAuth soit stocké dans Secrets Manager.

  • X509 (clé privée du client basée sur JWTOAuth) : La solution basée sur une clé de certificat X509 fournit une couche de sécurité supplémentaire au mécanisme OAuth avec des certificats clients qui sont utilisés pour authentifier plutôt que des secrets clients. Cette méthode est principalement utilisée par les clients privés qui utilisent cette méthode pour s’authentifier auprès du serveur d’autorisation avec une forte confiance entre les deux services.

Quick Sight a validé OAuth les connexions avec les fournisseurs d'identité suivants :

  • OKTA

  • PingFederate

Stockage d’informations d’identification OAuth dans Secrets Manager

OAuth les informations d'identification du client sont destinées à des cas d' machine-to-machineutilisation et ne sont pas conçues pour être interactives. Pour créer une connexion à une source de données entre Quick Sight et Snowflake, créez un nouveau secret dans Secrets Manager contenant vos informations d'identification pour l'OAuthapplication cliente. L'ARN secret créé avec le nouveau secret peut être utilisé pour créer des ensembles de données contenant des données Snowflake dans Quick Sight. Pour plus d'informations sur l'utilisation des touches du Gestionnaire de Secrets Manager dans Quick Sight, consultezUtiliser des AWS Secrets Manager secrets au lieu des informations d'identification de base de données dans Quick Suite.

Les informations d’identification que vous devez stocker dans Secrets Manager sont déterminées par le mécanisme OAuth que vous utilisez. Les key/value paires suivantes sont requises pour les secrets basés sur X509 OAuth :

  • username: le nom d’utilisateur du compte Snowflake à utiliser lors de la connexion à Snowflake

  • client_id: ID OAuth client

  • client_private_key: clé privée OAuth du client

  • client_public_key: la clé publique du certificat OAuth client et son algorithme chiffré (par exemple,{"alg": "RS256", "kid", "cert_kid"})

Les key/value paires suivantes sont requises pour les secrets basés sur des jetons OAuth :

  • username: le nom d’utilisateur du compte Snowflake à utiliser lors de la connexion à Snowflake

  • client_id: ID OAuth client

  • client_secret: le client OAuth secret

Création d'une OAuth connexion Snowflake avec le Quick Sight APIs

Une fois que vous avez créé un secret dans Secrets Manager contenant vos OAuth informations d'identification Snowflake et que vous avez connecté votre compte Quick Suite à Secrets Manager, vous pouvez établir une connexion de source de données entre Quick Sight et Snowflake à l'aide du Quick Sight et du SDK. APIs L'exemple suivant crée une connexion à une source de données Snowflake à l'aide des informations d'identification OAuth du client jeton.


{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "UNIQUEDATASOURCEID",
    "Name": "NAME",
    "Type": "SNOWFLAKE",
    "DataSourceParameters": {
        "SnowflakeParameters": {
            "Host": "HOSTNAME",
            "Database": "DATABASENAME",
            "Warehouse": "WAREHOUSENAME",
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "snowflake-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN" 
             }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Snowflake"
    }
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Pour plus d'informations sur le fonctionnement de l' CreateDatasource API, consultez CreateDataSource.

Une fois que la connexion entre Quick Sight et Snowflake est établie et qu'une source de données est créée avec le Quick Sight APIs ou le SDK, la nouvelle source de données est affichée dans Quick Sight. Les auteurs de Quick Sight peuvent utiliser cette source de données pour créer des ensembles de données contenant des données Snowflake. Les tableaux sont affichés en fonction du rôle utilisé dans le paramètre DatabaseAccessControlRole transmis lors d’un appel d’API CreateDataSource. Si ce paramètre n’est pas défini lors de la création de la connexion à la source de données, le rôle Snowflake par défaut est utilisé.

Une fois que vous avez créé avec succès une connexion à une source de données entre vos comptes Quick Sight et Snowflake, vous pouvez commencer à Création de jeux de données contenir des données Snowflake.