Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Authentification auprès de Snowflake
Vous pouvez configurer le connecteur Amazon Athena Snowflake pour utiliser l'authentification par paire de clés ou la méthode d'authentification pour vous connecter à votre entrepôt de OAuth données Snowflake. Les deux méthodes fournissent un accès sécurisé à Snowflake et éliminent le besoin de stocker les mots de passe dans des chaînes de connexion.
+ **Authentification par paire de clés** : cette méthode utilise des paires de clés publiques ou privées RSA à des fins d’authentification auprès de Snowflake. La clé privée signe numériquement les demandes d’authentification tandis que la clé publique correspondante est enregistrée dans Snowflake pour vérification. Cette méthode supprime le stockage des mots de passe.
+ **OAuth authentification** — Cette méthode utilise un jeton d'autorisation et un jeton d'actualisation pour s'authentifier auprès de Snowflake. Elle prend en charge l’actualisation automatique des jetons, ce qui fait d’elle une méthode adaptée aux applications de longue durée.
Pour plus d'informations, consultez les sections [Authentification et [OAuth authentification](https://docs.snowflake.com/en/user-guide/oauth-custom) par paire de clés](https://docs.snowflake.com/en/user-guide/key-pair-auth) dans le guide de l'utilisateur de Snowflake.
## Conditions préalables
Avant de commencer, effectuez les opérations obligatoires suivantes :
+ Vous devez accéder au compte Snowflake avec des privilèges administratifs.
+ Vous devez disposer d’un compte utilisateur Snowflake dédié pour le connecteur Athena.
+ Vous devez disposer d’OpenSSL ou d’outils de génération de clés équivalents pour l’authentification par paire de clés.
+ AWS Secrets Manager accès pour créer et gérer des secrets.
+ Navigateur Web pour terminer OAuth le processus d' OAuth authentification.
## Configuration de l’authentification par paire de clés
Ce processus implique la génération d’une paire de clés RSA, la configuration de votre compte Snowflake avec la clé publique et le stockage sécurisé de la clé privée dans AWS Secrets Manager. Les étapes suivantes vous guideront dans la création des clés cryptographiques, la configuration des autorisations Snowflake nécessaires et la configuration des AWS informations d'identification pour une authentification fluide.
1. **Génération d’une paire de clés RSA**
Générez une paire de clés privées et publiques à l’aide d’OpenSSL.
+ Pour générer une version non chiffrée, utilisez la commande suivante dans votre application de ligne de commande locale.
```
openssl genrsa 2048 | openssl pkcs8 -topk8 -inform PEM -out rsa_key.p8 -nocrypt
```
+ Pour générer une version chiffrée, utilisez la commande suivante, qui omet `-nocrypt`.
```
openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 des3 -inform PEM -out rsa_key.p8
```
+ Pour générer une clé publique à partir d’une clé privée, utilisez ce qui suit.
```
openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub
# Set appropriate permissions (Unix/Linux)
chmod 600 rsa_key.p8
chmod 644 rsa_key.pub
```
**Note**
Ne partagez pas votre clé privée. La clé privée doit uniquement être accessible à l’application qui doit s’authentifier auprès de Snowflake.
1. **Extraction du contenu de la clé publique sans délimiteurs pour Snowflake**
```
# Extract public key content (remove BEGIN/END lines and newlines)
cat rsa_key.pub | grep -v "BEGIN\|END" | tr -d '\n'
```
Enregistrez cette sortie, dont vous aurez besoin à l’étape suivante.
1. **Configuration de l’utilisateur Snowflake**
Suivez ces étapes pour configurer un utilisateur Snowflake.
1. Créez un utilisateur dédié pour le connecteur Athena s’il n’existe pas déjà.
```
-- Create user for Athena connector
CREATE USER {{athena_connector_user}};
-- Grant necessary privileges
GRANT USAGE ON WAREHOUSE {{your_warehouse}} TO ROLE {{athena_connector_role}};
GRANT USAGE ON DATABASE {{your_database}} TO ROLE {{athena_connector_role}};
GRANT SELECT ON ALL TABLES IN DATABASE {{your_database}} TO ROLE {{athena_connector_role}};
```
1. Accordez des privilèges d’authentification. Pour attribuer une clé publique à un utilisateur, l’un des rôles ou privilèges suivants doit être accordé.
+ Le privilège `MODIFY PROGRAMMATIC AUTHENTICATION METHODS` ou `OWNERSHIP` doit être accordé à l’utilisateur.
+ Le rôle `SECURITYADMIN` ou un rôle supérieur doit être accordé.
Accordez les privilèges nécessaires pour attribuer des clés publiques à l’aide de la commande suivante.
```
GRANT MODIFY PROGRAMMATIC AUTHENTICATION METHODS ON USER {{athena_connector_user}} TO ROLE {{your_admin_role}};
```
1. Attribuez la clé publique à l’utilisateur Snowflake à l’aide de la commande suivante.
```
ALTER USER {{athena_connector_user}} SET RSA_PUBLIC_KEY='{{RSAkey}}';
```
Vérifiez que la clé publique a bien été attribuée à l’utilisateur à l’aide de la commande suivante.
```
DESC USER {{athena_connector_user}};
```
1. **Stocker la clé privée dans AWS Secrets Manager**
1. Convertissez votre clé privée au format requis par le connecteur.
```
# Read private key content
cat rsa_key.p8
```
1. Créez un secret AWS Secrets Manager avec la structure suivante.
```
{
"sfUser": "{{your_snowflake_user}}",
"pem_private_key": "-----BEGIN PRIVATE KEY-----\n...\n-----END PRIVATE KEY-----",
"pem_private_key_passphrase": "{{passphrase_in_case_of_encrypted_private_key(optional)}}"
}
```
**Note**
L’en-tête et le pied de page sont facultatifs.
La clé privée doit être séparée par `\n`.
## Configuration de OAuth l'authentification
Cette méthode d’authentification offre un accès sécurisé à Snowflake basé sur des jetons grâce à des fonctionnalités d’actualisation automatique des informations d’identification. Le processus de configuration consiste à créer une intégration de sécurité dans Snowflake, à récupérer les informations d'identification du OAuth client, à terminer le flux d'autorisation pour obtenir un code d'accès et à stocker les OAuth informations d'identification AWS Secrets Manager pour que le connecteur puisse les utiliser.
1. **Création d’une intégration de sécurité dans Snowflake**
Exécutez la commande SQL suivante dans Snowflake pour créer une intégration de sécurité OAuth Snowflake.
```
CREATE SECURITY INTEGRATION {{my_snowflake_oauth_integration_a}}
TYPE = OAUTH
ENABLED = TRUE
OAUTH_CLIENT = CUSTOM
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://localhost:8080/oauth/callback'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = 7776000;
```
**Paramètres de configuration**
+ `TYPE = OAUTH`— Spécifie le type OAuth d'authentification.
+ `ENABLED = TRUE` : active l’intégration de sécurité.
+ `OAUTH_CLIENT = CUSTOM`— Utilise une configuration OAuth client personnalisée.
+ `OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'` : définit le type de client pour les applications sécurisées.
+ `OAUTH_REDIRECT_URI`— L'URL de rappel pour le OAuth flux. Il peut s’agir de localhost à des fins de test.
+ `OAUTH_ISSUE_REFRESH_TOKENS = TRUE` : active la génération de jetons d’actualisation.
+ `OAUTH_REFRESH_TOKEN_VALIDITY = 7776000` : définit la validité du jeton d’actualisation (90 jours en secondes).
1. **Récupérez les secrets des OAuth clients**
1. Pour obtenir les informations d’identification du client, exécutez la commande suivante.
```
DESC SECURITY INTEGRATION '{{MY_SNOWFLAKE_OAUTH_INTEGRATION_A}}';
```
1. Récupérez les secrets OAuth du client.
```
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('{{MY_SNOWFLAKE_OAUTH_INTEGRATION_A}}');
```
**Exemple de réponse**
```
{
"OAUTH_CLIENT_SECRET_2": "{{wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY}}",
"OAUTH_CLIENT_SECRET": "{{je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY}},
"OAUTH_CLIENT_ID": "{{AIDACKCEVSQ6C2EXAMPLE}}"
}
```
**Note**
Conservez ces informations d’identification en lieu sûr et ne les partagez pas. Ils seront utilisés pour configurer le OAuth client.
1. **Autorisation de l’utilisateur et récupération du code d’autorisation**
1. Ouvrez l’URL suivante dans un navigateur.
```
https://{{}}.snowflakecomputing.com/oauth/authorize?client_id={{}}&response_type=code&redirect_uri=https://localhost:8080/oauth/callback
```
1. Exécutez le flux d’autorisation.
1. Connectez-vous à l’aide de vos informations d’identification Snowflake.
1. Accordez les autorisations demandées. Vous serez redirigé vers l’URI de rappel avec un code d’autorisation.
1. Extrayez le code d’autorisation en copiant le paramètre de code depuis l’URL de redirection.
```
https://localhost:8080/oauth/callback?code={{}}
```
**Note**
Le code d’autorisation est valide pour une durée limitée et ne peut être utilisé qu’une seule fois.
1. **Stockez les OAuth informations d'identification dans AWS Secrets Manager**
Créez un secret AWS Secrets Manager avec la structure suivante.
```
{
"redirect_uri": "https://localhost:8080/oauth/callback",
"client_secret": "{{je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY}}",
"token_url": "https://<{{your_account}}>.snowflakecomputing.com/oauth/token-request",
"client_id": "{{AIDACKCEVSQ6C2EXAMPLE}},
"username": "{{your_snowflake_username}}",
"auth_code": "{{authorizationcode}}"
}
```
**Champs obligatoires**
+ `redirect_uri`— OAuth redirige l'URI que vous avez obtenu à l'étape 1.
+ `client_secret`— secret OAuth client que vous avez obtenu à l'étape 2.
+ `token_url`— Snowflake Le point de terminaison du OAuth jeton.
+ `client_id`— L'ID OAuth client indiqué à l'étape 2.
+ `username` : nom d’utilisateur Snowflake pour le connecteur.
+ `auth_code` : code d’autorisation que vous avez obtenu à l’étape 3.
Après avoir créé un secret, vous obtenez un ARN de secret que vous pouvez utiliser dans votre connexion Glue lors de la [création d’une connexion à une source de données](connect-to-a-data-source.md).