Membuat koneksi sumber QuickSight data Amazon ke Snowflake dengan OAuth kredensi klien - Amazon QuickSight
Menyimpan OAuth kredensilContoh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat koneksi sumber QuickSight data Amazon ke Snowflake dengan OAuth kredensi klien

Anda dapat menggunakan kredensil OAuth klien untuk menghubungkan QuickSight akun Anda dengan Snowflake melalui. QuickSight APIs OAuthadalah protokol otorisasi standar yang sering digunakan untuk aplikasi yang memiliki persyaratan keamanan tingkat lanjut. Saat Anda terhubung ke Snowflake dengan kredensyal OAuth klien, Anda dapat membuat kumpulan data yang berisi data Snowflake dengan dan di UI. QuickSight APIs QuickSight Untuk informasi selengkapnya tentang mengonfigurasi OAuth di Snowflake, lihat ikhtisar. Snowflake OAuth

QuickSight mendukung jenis client credentials OAuth hibah. OAuthkredensi klien digunakan untuk mendapatkan token akses untuk machine-to-machine komunikasi. Metode ini cocok untuk skenario di mana klien perlu mengakses sumber daya yang di-host di server tanpa keterlibatan pengguna.

Dalam aliran kredensyal klien OAuth 2.0, ada beberapa mekanisme otentikasi klien yang dapat digunakan untuk mengotentikasi aplikasi klien dengan server otorisasi. QuickSight mendukung kredensi klien berdasarkan Snowflake OAuth untuk dua mekanisme berikut:

  • Token (berbasis rahasia KlienOAuth): Mekanisme otentikasi klien berbasis rahasia digunakan dengan kredensyal klien untuk memberikan aliran agar dapat mengautentikasi dengan server otorisasi. Skema otentikasi ini mengharuskan client_id dan client_secret aplikasi OAuth klien disimpan di Secrets Manager.

  • X509 (Kunci pribadi klien berbasis JWTOAuth): Solusi berbasis kunci sertifikat X509 menyediakan lapisan keamanan tambahan untuk OAuth mekanisme dengan sertifikat klien yang digunakan untuk mengautentikasi alih-alih rahasia klien. Metode ini terutama digunakan oleh klien pribadi yang menggunakan metode ini untuk mengotentikasi dengan server otorisasi dengan kepercayaan yang kuat antara kedua layanan.

QuickSight telah memvalidasi OAuth koneksi dengan penyedia Identitas berikut:

  • OKTA

  • PingFederate

Menyimpan OAuth kredensi di Secrets Manager

OAuth kredensi klien dimaksudkan untuk kasus machine-to-machine penggunaan dan tidak dirancang untuk menjadi interaktif. Untuk membuat koneksi sumber data antara QuickSight dan Snowflake, buat rahasia baru di Secrets Manager yang berisi kredensyal Anda untuk aplikasi klien. OAuth Rahasia ARN yang dibuat dengan rahasia baru dapat digunakan untuk membuat dataset yang berisi data Snowflake di. QuickSight Untuk informasi selengkapnya tentang menggunakan kunci Secrets Manager QuickSight, lihatMenggunakan AWS Secrets Manager rahasia alih-alih kredensil basis data di Amazon QuickSight.

Kredensyal yang perlu Anda simpan di Secrets Manager ditentukan oleh OAuth mekanisme yang Anda gunakan. key/value Pasangan berikut diperlukan untuk rahasia berbasis X509: OAuth

  • username: Nama pengguna akun Snowflake yang akan digunakan saat menghubungkan ke Snowflake

  • client_id: ID OAuth klien

  • client_private_key: Kunci pribadi OAuth klien

  • client_public_key: Kunci publik sertifikat OAuth klien dan algoritma terenkripsi (misalnya,) {"alg": "RS256", "kid", "cert_kid"}

key/value Pasangan berikut diperlukan untuk rahasia berbasis tokenOAuth:

  • username: Nama pengguna akun Snowflake yang akan digunakan saat menghubungkan ke Snowflake

  • client_id: ID OAuth klien

  • client_secret: rahasia OAuth klien

Membuat OAuth koneksi Snowflake dengan QuickSight APIs

Setelah Anda membuat rahasia di Secrets Manager yang berisi OAuth kredensyal Snowflake Anda dan telah menghubungkan akun Anda ke QuickSight Secrets Manager, Anda dapat membuat koneksi sumber data antara QuickSight dan Snowflake dengan dan SDK. QuickSight APIs Contoh berikut membuat koneksi sumber data Sonwflake menggunakan kredensi klien tokenOAuth.


{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "UNIQUEDATASOURCEID",
    "Name": "NAME",
    "Type": "SNOWFLAKE",
    "DataSourceParameters": {
        "SnowflakeParameters": {
            "Host": "HOSTNAME",
            "Database": "DATABASENAME",
            "Warehouse": "WAREHOUSENAME",
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "snowflake-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN" 
             }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Snowflake"
    }
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Untuk informasi selengkapnya tentang operasi CreateDatasource API, lihat CreateDataSource.

Setelah koneksi antara QuickSight dan Snowflake dibuat dan sumber data dibuat dengan QuickSight APIs atau SDK, sumber data baru ditampilkan di. QuickSight QuickSight penulis dapat menggunakan sumber data ini untuk membuat dataset yang berisi data Snowflake. Tabel ditampilkan berdasarkan peran yang digunakan dalam DatabaseAccessControlRole parameter yang diteruskan dalam panggilan CreateDataSource API. Jika parameter ini tidak ditentukan saat koneksi sumber data dibuat, peran Snowflake default digunakan.

Setelah Anda berhasil membuat koneksi sumber data antara akun Anda QuickSight dan Snowflake, Anda dapat mulai membuat QuickSight kumpulan data yang berisi data Snowflake.