本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Amazon Quick Sight 使用 Snowflake
Snowflake 是一種 AI 資料雲端平台,提供包含資料倉儲和協作與資料科學和生成式 AI 的資料解決方案。Snowflake 是具有多個 AWS 認證的AWS 合作夥伴
Amazon Quick Sight 提供兩種連線至 Snowflake 的方式:使用您的 Snowflake 登入憑證或 OAuth 用戶端憑證。參閱下列各節,了解這兩種連線方法。
使用登入憑證建立與 Snowflake 的 Quick Sight 資料來源連線
使用本節了解如何使用 Snowflake 登入憑證在 Quick Sight 和 Snowflake 之間建立連線。Quick Sight 和 Snowflake 之間的所有流量都由 SSL 啟用。
在 Quick Sight 和 Snowflake 之間建立連線
-
開啟 Quick Suite 主控台
。 -
從左側導覽窗格中,選擇資料,然後選擇建立,然後選擇新增資料集。
-
選擇 Snowflake 資料來源卡片。
-
在顯示的快顯視窗中,輸入下列資訊:
-
對於資料來源名稱,輸入 Snowflake 資料來源連線的描述性名稱。因為您可以透過與 Snowflake 的連線建立許多資料集,因此最好保持名稱簡單。
-
對於連線類型,選擇您正在使用的網路類型。如果您的資料是公開共用的,選擇公共網路。如果您的資料位於 VPC 內,選擇 VPC。若要在 Quick Sight 中設定 VPC 連線,請參閱 在 Amazon Quick Suite 中管理 VPC 連線。
-
對於資料庫伺服器,輸入 Snowflake 連線詳細資訊中指定的主機名稱。
-
-
對於資料庫名稱和倉儲,輸入您想要連線的相應 Snowflake 資料庫和倉儲。
-
對於使用者名稱和密碼,輸入您的 Snowflake 憑證。
在 Quick Sight 和 Snowflake 帳戶之間成功建立資料來源連線後,您就可以開始建立資料集包含 Snowflake 資料。
使用OAuth用戶端憑證建立與 Snowflake 的 Quick Sight 資料來源連線
您可以使用OAuth用戶端登入資料,透過 Quick Sight APIs 將 Quick Sight 帳戶與 Snowflake 連線。 OAuth 是一種標準授權通訊協定,通常用於具有進階安全需求的應用程式。當您使用 OAuth 用戶端登入資料連線至 Snowflake 時,您可以使用 Quick Sight APIs 和 Quick Sight UI 建立包含 Snowflake 資料的資料集。如需有關在 Snowflake 中設定 OAuth 的詳細資訊,請參閱 Snowflake OAuth overview
Quick Sight 支援client credentialsOAuth授予類型。 OAuth用戶端登入資料用於取得machine-to-machine通訊的存取字符。此方法適用於用戶端需要存取託管在伺服器上的資源,而不需使用者介入的情形。
在 OAuth 2.0 的用戶端憑證流程中,有數種用戶端身分驗證機制可用來透過授權伺服器驗證用戶端應用程式。Quick Sight 支援以 Snowflake OAuth 為基礎的用戶端憑證,適用於下列兩種機制:
-
權杖 (用戶端機密型 OAuth):密碼型用戶端身分驗證機制會與用戶端憑證搭配使用,以授予流程,進而使用授權伺服器進行身分驗證。此身分驗證機制需要將 OAuth 用戶端應用程式的
client_id和client_secret儲存在 Secrets Manager 中。 -
X509 (用戶端私有金鑰 JWT 型 OAuth):X509 憑證金鑰型解決方案為 OAuth 機制提供額外的安全層,其中包含用於身分驗證的用戶端憑證,而非用戶端機密。此方法主要由私有用戶端使用,私有用戶端可在兩個服務之間具有高度信任時,使用此方法對授權伺服器進行身分驗證。
Quick Sight 已驗證與下列身分提供者的OAuth連線:
-
OKTA
-
PingFederate
將 OAuth 憑證儲存至 Secrets Manager 中
OAuth 用戶端憑證適用於機器對機器的使用案例,並非為了互動而設計。若要在 Quick Sight 和 Snowflake 之間建立資料來源連線,請在 Secrets Manager 中建立新的秘密,其中包含用戶端OAuth應用程式的登入資料。使用新秘密建立的秘密 ARN 可用於在 Quick Sight 中建立包含 Snowflake 資料的資料集。如需在 Quick Sight 中使用 Secrets Manager 金鑰的詳細資訊,請參閱 在 Quick Suite 中使用 AWS Secrets Manager 秘密而非資料庫登入資料。
您需要儲存在 Secrets Manager 中的憑證由您使用的 OAuth 機制決定。X509 型 OAuth 機密需要下列鍵值對:
-
username:連線至 Snowflake 時使用的 Snowflake 帳戶使用者名稱 -
client_id:OAuth 用戶端 ID -
client_private_key:OAuth 用戶端私有金鑰 -
client_public_key:OAuth 用戶端憑證公有金鑰及其加密演算法 (例如{"alg": "RS256", "kid", "cert_kid"})
權杖型 OAuth 機密需要下列鍵值對:
-
username:連線至 Snowflake 時使用的 Snowflake 帳戶使用者名稱 -
client_id:OAuth 用戶端 ID -
client_secret:OAuth 用戶端機密
使用 Quick Sight APIs 建立 Snowflake OAuth連線
在 Secrets Manager 中建立包含 Snowflake OAuth憑證的秘密,並將 Quick Suite 帳戶連線至 Secrets Manager 之後,您可以使用 Quick Sight APIs 和 SDK 在 Quick Sight 和 Snowflake 之間建立資料來源連線。下列範例會使用字符OAuth用戶端憑證建立 Snowflake 資料來源連線。
{ "AwsAccountId": "AWSACCOUNTID", "DataSourceId": "UNIQUEDATASOURCEID", "Name": "NAME", "Type": "SNOWFLAKE", "DataSourceParameters": { "SnowflakeParameters": { "Host": "HOSTNAME", "Database": "DATABASENAME", "Warehouse": "WAREHOUSENAME", "AuthenticationType": "TOKEN", "DatabaseAccessControlRole": "snowflake-db-access-role-name", "OAuthParameters": { "TokenProviderUrl": "oauth-access-token-endpoint", "OAuthScope": "oauth-scope", "IdentityProviderResourceUri" : "resource-uri", "IdentityProviderVpcConnectionProperties" : { "VpcConnectionArn": "IdP-VPC-connection-ARN" } } }, "VpcConnectionProperties": { "VpcConnectionArn": "VPC-connection-ARN-for-Snowflake" } "Credentials": { "SecretArn": "oauth-client-secret-ARN" } }
如需有關 CreateDatasource API 操作的詳細資訊,請參閱 CreateDataSource。
建立 Quick Sight 和 Snowflake 之間的連線並使用 Quick Sight APIs 或 SDK 建立資料來源後,新的資料來源會顯示在 Quick Sight 中。Quick Sight 作者可以使用此資料來源來建立包含 Snowflake 資料的資料集。顯示的資料表取決於 CreateDataSource API 呼叫傳遞的 DatabaseAccessControlRole 參數中所使用的角色。如果在建立資料來源連線時未定義此參數,則會使用預設的 Snowflake 角色。
在 Quick Sight 和 Snowflake 帳戶之間成功建立資料來源連線後,您就可以開始建立資料集包含 Snowflake 資料。
