如何在私有链接的情况下使用浏览器客户端连接到雪花
How to connect to snowflake using browser client in case of privatelink
当我们有 snowflake 的私人 link 设置时,我们需要使用什么 URL 来使用浏览器客户端连接到 snowflake?我们设置了 AWS privatelink 来连接到 Snowflake,这样我们就可以避免通过互联网的流量。如果有人设置了这个,任何关于这个的输入都会很棒。当我从浏览器使用 privatelink dns 时出现 403 Forbidden 错误。
AWS PrivateLink 是 AWS 上的 Snowflake 客户通过 AWS 网络获得私有连接的好方法 backbone。例如,您可以在您的 VPC 中 运行 Tableau server 等服务器工具,无需通过互联网即可连接到 Snowflake。
这是为您的帐户启用它的高级流程。
- 按照 AWS 文档在您的 VPC 中启用 PrivateLink。
- 使用 Snowflake 提交支持案例,为您的帐户启用 PrivateLink。在支持案例中包含您的 AWS 账户 ID。
- 启用该功能后,Snowflake 支持将返回 3 条信息 a) Snowflake privatelink url、b) DNS 记录和 c) 要限制的 ip 地址 public url 访问您的 Snowflake 帐户。
- 根据上面提供给您的 DNS 记录设置 DNS。设置 AWS 安全组策略以允许访问 Snowflake privatelink url 端口 443 和 80(对于 OCSP)。
- 在 Snowflake 中创建网络策略,仅允许支持人员在上面提供的 IP 地址。
- 验证:从您的 VPC 启动一个 EC2 实例,然后通过浏览器 运行 在 EC2 上登录 Snowflake privatelink url。或者,使用 snowsql 命令行工具从 VPC 内部进行验证。
其他安全最佳实践:
在您的 VPC 中设置 S3 endpoint。这将确保您的 VPC 的 S3 访问通过 AWS backbone 而不是互联网。请注意,Snowflake 驱动程序直接连接到 S3 以获得大型结果集,或者如果您使用 PUT 命令加载数据。
此外,请参阅此主题的官方文档https://docs.snowflake.net/manuals/user-guide/admin-security-privatelink.html
这里是high-level diagram of how it works。
注意:从公司网络到 AWS VPC 的专用连接是一个单独的主题,您可以使用 AWS Direct Connect 或 AWS VPN 对其进行配置。该配置独立于 Snowflake,您应该能够直接使用 AWS 来启用它。
Vikas Jain |安全产品管理 |雪花
当我们有 snowflake 的私人 link 设置时,我们需要使用什么 URL 来使用浏览器客户端连接到 snowflake?我们设置了 AWS privatelink 来连接到 Snowflake,这样我们就可以避免通过互联网的流量。如果有人设置了这个,任何关于这个的输入都会很棒。当我从浏览器使用 privatelink dns 时出现 403 Forbidden 错误。
AWS PrivateLink 是 AWS 上的 Snowflake 客户通过 AWS 网络获得私有连接的好方法 backbone。例如,您可以在您的 VPC 中 运行 Tableau server 等服务器工具,无需通过互联网即可连接到 Snowflake。 这是为您的帐户启用它的高级流程。
- 按照 AWS 文档在您的 VPC 中启用 PrivateLink。
- 使用 Snowflake 提交支持案例,为您的帐户启用 PrivateLink。在支持案例中包含您的 AWS 账户 ID。
- 启用该功能后,Snowflake 支持将返回 3 条信息 a) Snowflake privatelink url、b) DNS 记录和 c) 要限制的 ip 地址 public url 访问您的 Snowflake 帐户。
- 根据上面提供给您的 DNS 记录设置 DNS。设置 AWS 安全组策略以允许访问 Snowflake privatelink url 端口 443 和 80(对于 OCSP)。
- 在 Snowflake 中创建网络策略,仅允许支持人员在上面提供的 IP 地址。
- 验证:从您的 VPC 启动一个 EC2 实例,然后通过浏览器 运行 在 EC2 上登录 Snowflake privatelink url。或者,使用 snowsql 命令行工具从 VPC 内部进行验证。
其他安全最佳实践: 在您的 VPC 中设置 S3 endpoint。这将确保您的 VPC 的 S3 访问通过 AWS backbone 而不是互联网。请注意,Snowflake 驱动程序直接连接到 S3 以获得大型结果集,或者如果您使用 PUT 命令加载数据。
此外,请参阅此主题的官方文档https://docs.snowflake.net/manuals/user-guide/admin-security-privatelink.html
这里是high-level diagram of how it works。
注意:从公司网络到 AWS VPC 的专用连接是一个单独的主题,您可以使用 AWS Direct Connect 或 AWS VPN 对其进行配置。该配置独立于 Snowflake,您应该能够直接使用 AWS 来启用它。
Vikas Jain |安全产品管理 |雪花