Criação de uma conexão de fonte QuickSight de dados da Amazon com o Snowflake com OAuth credenciais do cliente - Amazon QuickSight
Armazenando credenciais da OAuthExemplo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de uma conexão de fonte QuickSight de dados da Amazon com o Snowflake com OAuth credenciais do cliente

Você pode usar as credenciais OAuth do cliente para conectar sua QuickSight conta ao Snowflake por meio do. QuickSight APIs OAuthé um protocolo de autorização padrão que geralmente é utilizado para aplicativos que têm requisitos avançados de segurança. Ao se conectar ao Snowflake com as credenciais OAuth do cliente, você pode criar conjuntos de dados que contêm dados do Snowflake com e na interface do usuário. QuickSight APIs QuickSight Para obter mais informações sobre a configuração OAuth no Snowflake, consulte a visão geral. Snowflake OAuth

QuickSight suporta o tipo de client credentials OAuth concessão. OAuthas credenciais do cliente são usadas para obter um token de acesso para machine-to-machine comunicação. Esse método é adequado para cenários em que um cliente precisa acessar recursos hospedados em um servidor sem o envolvimento de um usuário.

No fluxo de credenciais do cliente OAuth 2.0, há vários mecanismos de autenticação de cliente que podem ser usados para autenticar o aplicativo cliente com o servidor de autorização. QuickSight oferece suporte às credenciais do cliente com base no OAuth Snowflake para os dois mecanismos a seguir:

  • Token (baseado em segredos do clienteOAuth): O mecanismo de autenticação do cliente baseado em segredo é usado com as credenciais do cliente para conceder fluxo a fim de autenticar com o servidor de autorização. Esse esquema de autenticação exige que client_id a client_secret extremidade do aplicativo OAuth cliente seja armazenada no Secrets Manager.

  • X509 (chave privada do cliente baseada em JWTOAuth): A solução baseada em chave de certificado X509 fornece uma camada de segurança adicional ao OAuth mecanismo com certificados de cliente que são usados para autenticar em vez de segredos do cliente. Esse método é usado principalmente por clientes particulares que usam esse método para se autenticar no servidor de autorização com forte confiança entre os dois serviços.

QuickSight tem OAuth conexões validadas com os seguintes provedores de identidade:

  • OKTA

  • PingFederate

Armazenando OAuth credenciais no Secrets Manager

OAuth as credenciais do cliente são destinadas a casos de machine-to-machine uso e não foram projetadas para serem interativas. Para criar uma conexão de fonte de dados entre QuickSight e o Snowflake, crie um novo segredo no Secrets Manager que contenha suas credenciais para o aplicativo cliente. OAuth O ARN secreto criado com o novo segredo pode ser usado para criar conjuntos de dados que contêm dados do Snowflake. QuickSight Para obter mais informações sobre como usar as chaves do Secrets Manager em QuickSight, consulteUsando AWS Secrets Manager segredos em vez de credenciais de banco de dados na Amazon QuickSight.

As credenciais que você precisa armazenar no Secrets Manager são determinadas pelo OAuth mecanismo que você usa. Os seguintes key/value pares são necessários para segredos baseados em X509OAuth:

  • username: O nome de usuário da conta Snowflake a ser usado ao se conectar ao Snowflake

  • client_id: O ID OAuth do cliente

  • client_private_key: A chave privada OAuth do cliente

  • client_public_key: a chave pública OAuth do certificado do cliente e seu algoritmo criptografado (por exemplo,{"alg": "RS256", "kid", "cert_kid"})

Os seguintes key/value pares são necessários para segredos baseados em tokensOAuth:

  • username: O nome de usuário da conta Snowflake a ser usado ao se conectar ao Snowflake

  • client_id: O ID OAuth do cliente

  • client_secret: o segredo OAuth do cliente

Criando uma OAuth conexão do Snowflake com o QuickSight APIs

Depois de criar um segredo no Secrets Manager que contém suas OAuth credenciais do Snowflake e conectar sua conta ao QuickSight Secrets Manager, você pode estabelecer uma conexão de fonte de dados entre o Snowflake QuickSight e o SDK e. QuickSight APIs O exemplo a seguir cria uma conexão de fonte de dados Snowflake usando credenciais de cliente de tokenOAuth.


{
    "AwsAccountId": "AWSACCOUNTID",
    "DataSourceId": "UNIQUEDATASOURCEID",
    "Name": "NAME",
    "Type": "SNOWFLAKE",
    "DataSourceParameters": {
        "SnowflakeParameters": {
            "Host": "HOSTNAME",
            "Database": "DATABASENAME",
            "Warehouse": "WAREHOUSENAME",
            "AuthenticationType": "TOKEN",
            "DatabaseAccessControlRole": "snowflake-db-access-role-name",
            "OAuthParameters": {
              "TokenProviderUrl": "oauth-access-token-endpoint", 
              "OAuthScope": "oauth-scope",
              "IdentityProviderResourceUri" : "resource-uri",
              "IdentityProviderVpcConnectionProperties" : {
                "VpcConnectionArn": "IdP-VPC-connection-ARN" 
             }
        }
    },
    "VpcConnectionProperties": {
        "VpcConnectionArn": "VPC-connection-ARN-for-Snowflake"
    }
    "Credentials": {
        "SecretArn": "oauth-client-secret-ARN"
    }
}

Para obter mais informações sobre a operação CreateDatasource da API, consulte CreateDataSource.

Depois que a conexão entre QuickSight o Snowflake é estabelecida e uma fonte de dados é criada com o QuickSight APIs ou SDK, a nova fonte de dados é exibida em. QuickSight QuickSight os autores podem usar essa fonte de dados para criar conjuntos de dados que contenham dados do Snowflake. As tabelas são exibidas com base na função usada no DatabaseAccessControlRole parâmetro que é passado em uma chamada de CreateDataSource API. Se esse parâmetro não for definido quando a conexão da fonte de dados for criada, a função padrão do Snowflake será usada.

Depois de criar com sucesso uma conexão de fonte de dados entre suas contas QuickSight e do Snowflake, você pode começar a criar QuickSight conjuntos de dados que contenham dados do Snowflake.