Authentification auprès de Snowflake - Amazon Athena
Conditions préalablesConfiguration de l’authentification par paire de clésConfiguration de OAuth l'authentification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification auprès de Snowflake

Vous pouvez configurer le connecteur Amazon Athena Snowflake pour utiliser l'authentification par paire de clés ou la méthode d'authentification pour vous connecter à votre entrepôt de OAuth données Snowflake. Les deux méthodes fournissent un accès sécurisé à Snowflake et éliminent le besoin de stocker les mots de passe dans des chaînes de connexion.

  • Authentification par paire de clés : cette méthode utilise des paires de clés publiques ou privées RSA à des fins d’authentification auprès de Snowflake. La clé privée signe numériquement les demandes d’authentification tandis que la clé publique correspondante est enregistrée dans Snowflake pour vérification. Cette méthode supprime le stockage des mots de passe.

  • OAuth authentification — Cette méthode utilise un jeton d'autorisation et un jeton d'actualisation pour s'authentifier auprès de Snowflake. Elle prend en charge l’actualisation automatique des jetons, ce qui fait d’elle une méthode adaptée aux applications de longue durée.

Pour plus d'informations, consultez les sections Authentification et OAuth authentification par paire de clés dans le guide de l'utilisateur de Snowflake.

Conditions préalables

Avant de commencer, effectuez les opérations obligatoires suivantes :

  • Vous devez accéder au compte Snowflake avec des privilèges administratifs.

  • Vous devez disposer d’un compte utilisateur Snowflake dédié pour le connecteur Athena.

  • Vous devez disposer d’OpenSSL ou d’outils de génération de clés équivalents pour l’authentification par paire de clés.

  • AWS Secrets Manager accès pour créer et gérer des secrets.

  • Navigateur Web pour terminer OAuth le processus d' OAuth authentification.

Configuration de l’authentification par paire de clés

Ce processus implique la génération d’une paire de clés RSA, la configuration de votre compte Snowflake avec la clé publique et le stockage sécurisé de la clé privée dans AWS Secrets Manager. Les étapes suivantes vous guideront dans la création des clés cryptographiques, la configuration des autorisations Snowflake nécessaires et la configuration des AWS informations d'identification pour une authentification fluide.

  1. Génération d’une paire de clés RSA

    Générez une paire de clés privées et publiques à l’aide d’OpenSSL.

    • Pour générer une version non chiffrée, utilisez la commande suivante dans votre application de ligne de commande locale.

      openssl genrsa 2048 | openssl pkcs8 -topk8 -inform PEM -out rsa_key.p8 -nocrypt

    • Pour générer une version chiffrée, utilisez la commande suivante, qui omet -nocrypt.

      openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 des3 -inform PEM -out rsa_key.p8

    • Pour générer une clé publique à partir d’une clé privée, utilisez ce qui suit.

      openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub
# Set appropriate permissions (Unix/Linux)
chmod 600 rsa_key.p8
chmod 644 rsa_key.pub
    Note

    Ne partagez pas votre clé privée. La clé privée doit uniquement être accessible à l’application qui doit s’authentifier auprès de Snowflake.

  2. Extraction du contenu de la clé publique sans délimiteurs pour Snowflake

    # Extract public key content (remove BEGIN/END lines and newlines)
cat rsa_key.pub | grep -v "BEGIN\|END" | tr -d '\n'

    Enregistrez cette sortie, dont vous aurez besoin à l’étape suivante.

  3. Configuration de l’utilisateur Snowflake

    Suivez ces étapes pour configurer un utilisateur Snowflake.

    1. Créez un utilisateur dédié pour le connecteur Athena s’il n’existe pas déjà.

      -- Create user for Athena connector
CREATE USER athena_connector_user;

-- Grant necessary privileges
GRANT USAGE ON WAREHOUSE your_warehouse TO ROLE athena_connector_role;
GRANT USAGE ON DATABASE your_database TO ROLE athena_connector_role;
GRANT SELECT ON ALL TABLES IN DATABASE your_database TO ROLE athena_connector_role;

    2. Accordez des privilèges d’authentification. Pour attribuer une clé publique à un utilisateur, l’un des rôles ou privilèges suivants doit être accordé.

      • Le privilège MODIFY PROGRAMMATIC AUTHENTICATION METHODS ou OWNERSHIP doit être accordé à l’utilisateur.

      • Le rôle SECURITYADMIN ou un rôle supérieur doit être accordé.

      Accordez les privilèges nécessaires pour attribuer des clés publiques à l’aide de la commande suivante.

      GRANT MODIFY PROGRAMMATIC AUTHENTICATION METHODS ON USER athena_connector_user TO ROLE your_admin_role;

    3. Attribuez la clé publique à l’utilisateur Snowflake à l’aide de la commande suivante.

      ALTER USER athena_connector_user SET RSA_PUBLIC_KEY='RSAkey';

      Vérifiez que la clé publique a bien été attribuée à l’utilisateur à l’aide de la commande suivante.

      DESC USER athena_connector_user;

  4. Stocker la clé privée dans AWS Secrets Manager

    1. Convertissez votre clé privée au format requis par le connecteur.

      # Read private key content
cat rsa_key.p8

    2. Créez un secret AWS Secrets Manager avec la structure suivante.

      {
  "sfUser": "your_snowflake_user",
  "pem_private_key": "-----BEGIN PRIVATE KEY-----\n...\n-----END PRIVATE KEY-----",
  "pem_private_key_passphrase": "passphrase_in_case_of_encrypted_private_key(optional)"
}
      Note

      • L’en-tête et le pied de page sont facultatifs.

      • La clé privée doit être séparée par \n.

Configuration de OAuth l'authentification

Cette méthode d’authentification offre un accès sécurisé à Snowflake basé sur des jetons grâce à des fonctionnalités d’actualisation automatique des informations d’identification. Le processus de configuration consiste à créer une intégration de sécurité dans Snowflake, à récupérer les informations d'identification du OAuth client, à terminer le flux d'autorisation pour obtenir un code d'accès et à stocker les OAuth informations d'identification AWS Secrets Manager pour que le connecteur puisse les utiliser.

  1. Création d’une intégration de sécurité dans Snowflake

    Exécutez la commande SQL suivante dans Snowflake pour créer une intégration de sécurité OAuth Snowflake.

    CREATE SECURITY INTEGRATION my_snowflake_oauth_integration_a
  TYPE = OAUTH
  ENABLED = TRUE
  OAUTH_CLIENT = CUSTOM
  OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
  OAUTH_REDIRECT_URI = 'https://localhost:8080/oauth/callback'
  OAUTH_ISSUE_REFRESH_TOKENS = TRUE
  OAUTH_REFRESH_TOKEN_VALIDITY = 7776000;

    Paramètres de configuration

    • TYPE = OAUTH— Spécifie le type OAuth d'authentification.

    • ENABLED = TRUE : active l’intégration de sécurité.

    • OAUTH_CLIENT = CUSTOM— Utilise une configuration OAuth client personnalisée.

    • OAUTH_CLIENT_TYPE = 'CONFIDENTIAL' : définit le type de client pour les applications sécurisées.

    • OAUTH_REDIRECT_URI— L'URL de rappel pour le OAuth flux. Il peut s’agir de localhost à des fins de test.

    • OAUTH_ISSUE_REFRESH_TOKENS = TRUE : active la génération de jetons d’actualisation.

    • OAUTH_REFRESH_TOKEN_VALIDITY = 7776000 : définit la validité du jeton d’actualisation (90 jours en secondes).

  2. Récupérez les secrets des OAuth clients

    1. Pour obtenir les informations d’identification du client, exécutez la commande suivante.

      DESC SECURITY INTEGRATION 'MY_SNOWFLAKE_OAUTH_INTEGRATION_A';

    2. Récupérez les secrets OAuth du client.

      SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('MY_SNOWFLAKE_OAUTH_INTEGRATION_A');

      Exemple de réponse

      {
  "OAUTH_CLIENT_SECRET_2": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
  "OAUTH_CLIENT_SECRET": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY,
  "OAUTH_CLIENT_ID": "AIDACKCEVSQ6C2EXAMPLE"
}
    Note

    Conservez ces informations d’identification en lieu sûr et ne les partagez pas. Ils seront utilisés pour configurer le OAuth client.

  3. Autorisation de l’utilisateur et récupération du code d’autorisation

    1. Ouvrez l’URL suivante dans un navigateur.

      https://<your_account>.snowflakecomputing.com/oauth/authorize?client_id=<OAUTH_CLIENT_ID>&response_type=code&redirect_uri=https://localhost:8080/oauth/callback

    2. Exécutez le flux d’autorisation.

      1. Connectez-vous à l’aide de vos informations d’identification Snowflake.

      2. Accordez les autorisations demandées. Vous serez redirigé vers l’URI de rappel avec un code d’autorisation.

    3. Extrayez le code d’autorisation en copiant le paramètre de code depuis l’URL de redirection.

      https://localhost:8080/oauth/callback?code=<authorizationcode>
      Note

      Le code d’autorisation est valide pour une durée limitée et ne peut être utilisé qu’une seule fois.

  4. Stockez les OAuth informations d'identification dans AWS Secrets Manager

    Créez un secret AWS Secrets Manager avec la structure suivante.

    {
  "redirect_uri": "https://localhost:8080/oauth/callback",
  "client_secret": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY",
  "token_url": "https://<your_account>.snowflakecomputing.com/oauth/token-request",
  "client_id": "AIDACKCEVSQ6C2EXAMPLE,
  "username": "your_snowflake_username",
  "auth_code": "authorizationcode"
}

    Champs obligatoires

    • redirect_uri— OAuth redirige l'URI que vous avez obtenu à l'étape 1.

    • client_secret— secret OAuth client que vous avez obtenu à l'étape 2.

    • token_url— Snowflake Le point de terminaison du OAuth jeton.

    • client_id— L'ID OAuth client indiqué à l'étape 2.

    • username : nom d’utilisateur Snowflake pour le connecteur.

    • auth_code : code d’autorisation que vous avez obtenu à l’étape 3.

Après avoir créé un secret, vous obtenez un ARN de secret que vous pouvez utiliser dans votre connexion Glue lors de la création d’une connexion à une source de données.