# Amazon Athena Snowflake 连接器
适用于 [Snowflake](https://www.snowflake.com/) 的 Amazon Athena 连接器使 Amazon Athena 能够使用 JDBC 对存储在 Snowflake SQL 数据库 中的数据或 RDS 实例运行 SQL 查询。
此连接器可以作为联合目录注册到 Glue Data Catalog。此连接器支持 Lake Formation 中在目录、数据库、行和标签级别定义的数据访问控制。此连接器使用 Glue 连接将配置属性集中保存到 Glue 中。
## 先决条件
可以使用 Athena 控制台或 `CreateDataCatalog` API 操作将该连接器部署到您的 AWS 账户。有关更多信息,请参阅 [创建数据来源连接](connect-to-a-data-source.md)。
## 限制
+ 不支持写入 DDL 操作。
+ 在多路复用器设置中,溢出桶和前缀在所有数据库实例之间共享。
+ 任何相关的 Lambda 限制。有关更多信息,请参阅《*AWS Lambda 开发人员指南*》中的 [Lambda 配额](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html)。
+ 只有传统连接支持多路复用器设置。
+ 目前,不支持单个拆分的 Snowflake 视图。
+ 在 Snowflake 中,对象名称区分大小写。Athena 在 DDL 和 DML 查询中接受混合大小写,但在执行查询时对象名称默认为[小写](https://docs.aws.amazon.com/athena/latest/ug/tables-databases-columns-names.html#table-names-and-table-column-names-in-ate-must-be-lowercase)。使用 Glue Catalog/Lake Formation 时,Snowflake 连接器仅支持小写。使用 Athena Catalog 时,客户可以使用 `casing_mode` Lambda 环境变量来控制大小写行为,该变量的可能值在[参数](#connectors-snowflake-parameters)部分中列出(例如,`key=casing_mode, value = CASE_INSENSITIVE_SEARCH`)。
## 术语
以下术语与 Snowflake 连接器有关。
+ **数据库实例** — 部署在本地、Amazon EC2 或 Amazon RDS 上的任何数据库实例。
+ **处理程序** — 访问您数据库实例的 Lambda 处理程序。处理程序可以用于元数据或数据记录。
+ **元数据处理程序** — 从您的数据库实例中检索元数据的 Lambda 处理程序。
+ **记录处理程序** — 从您的数据库实例中检索数据记录的 Lambda 处理程序。
+ **复合处理程序** — 从您的数据库实例中检索元数据和数据记录的 Lambda 处理程序。
+ **属性或参数** — 处理程序用来提取数据库信息的数据库属性。您可以将这些属性配置为 Lambda 环境变量。
+ **连接字符串** — 用于建立数据库实例连接的文本字符串。
+ **目录** — 向 Athena 注册的非 AWS Glue 目录,是 `connection_string` 属性的必要前缀。
+ **多路复用处理程序** — 可以接受和使用多个数据库连接的 Lambda 处理程序。
## 参数
使用本节中的参数来配置 Snowflake 连接器。
### Glue 连接(推荐)
我们建议您使用 Glue 连接对象来配置 Snowflake 连接器。要执行此操作,请将 Snowflake 连接器 Lambda 的 `glue_connection` 环境变量设置为要使用的 Glue 连接的名称。
**Glue 连接属性**
使用以下命令来获取 Glue 连接对象的架构。此架构包含可用于控制连接的所有参数。
```
aws glue describe-connection-type --connection-type SNOWFLAKE
```
**Lambda 环境属性**
+ **glue\$1connection** – 指定与联合连接器关联的 Glue 连接的名称。
+ **大小写模式** –(可选)指定如何处理架构和表名的大小写。`casing_mode` 参数使用以下值来指定大小写行为:
+ **NONE**:不更改给定架构和表名的大小写(如同在 Snowflake 上一样运行查询)。当未指定 **casing\$1mode** 时,此项为默认值。
+ **UPPER**:查询中所有给定的架构和表名均转换为大写,然后再对 Snowflake 运行该查询。
+ **LOWER**:查询中所有给定的架构和表名均转换为小写,然后再对 Snowflake 运行该查询。
+ **CASE\$1INSENSITIVE\$1SEARCH**:对 Snowflake 中的架构和表名执行不区分大小写的搜索。例如,当您有类似 `SELECT * FROM EMPLOYEE` 的查询并且 Snowflake 包含一个名为 `Employee` 的表时,您可以使用此模式。不过,如果存在名称冲突,例如 Snowflake 中有一个表名为 `EMPLOYEE` 而另一个表名为 `Employee`,则查询将失败。
**注意**
使用 Glue 连接创建的 Snowflake 连接器不支持使用多路复用处理程序。
使用 Glue 连接创建的 Snowflake 连接器仅支持 `ConnectionSchemaVersion` 2。
**存储凭证**
所有使用 Glue 连接的连接器都必须使用 AWS Secrets Manager 来存储凭证。有关更多信息,请参阅 [通过 Snowflake 进行身份验证](connectors-snowflake-authentication.md)。
### 旧连接
**注意**
2024 年 12 月 3 日及之后创建的 Athena 数据来源连接器使用 AWS Glue 连接。
下面列出的参数名称和定义适用于在没有关联 Glue 连接器时创建的 Athena 数据来源连接器。仅在[手动部署](connect-data-source-serverless-app-repo.md)早期版本的 Athena 数据来源连接器或未指定 `glue_connection` 环境属性时才使用以下参数。
**Lambda 环境属性**
+ **默认** — 用于连接至 Snowflake 数据库实例的 JDBC 连接字符串。例如,`snowflake://${jdbc_connection_string}`
+ **catalog\$1connection\$1string** — 供多路复用处理程序使用(使用 Glue 连接时不支持)。数据库实例连接字符串。将 Athena 中使用的目录的名称作为环境变量前缀。例如,如果向 Athena 注册的目录是 mysnowflakecatalog,则环境变量名称是 mysnowflakecatalog\$1connection\$1string。
+ **大小写模式** –(可选)指定如何处理架构和表名的大小写。`casing_mode` 参数使用以下值来指定大小写行为:
+ **NONE**:不更改给定架构和表名的大小写(如同在 Snowflake 上一样运行查询)。当未指定 **casing\$1mode** 时,此项为默认值。
+ **UPPER**:查询中所有给定的架构和表名均转换为大写,然后再对 Snowflake 运行该查询。
+ **LOWER**:查询中所有给定的架构和表名均转换为小写,然后再对 Snowflake 运行该查询。
+ **CASE\$1INSENSITIVE\$1SEARCH**:对 Snowflake 中的架构和表名执行不区分大小写的搜索。例如,当您有类似 `SELECT * FROM EMPLOYEE` 的查询并且 Snowflake 包含一个名为 `Employee` 的表时,您可以使用此模式。不过,如果存在名称冲突,例如 Snowflake 中有一个表名为 `EMPLOYEE` 而另一个表名为 `Employee`,则查询将失败。
+ **spill\$1bucket** - 为超出 Lambda 函数限制的数据指定 Amazon S3 存储桶。
+ **spill\$1prefix** -(可选)默认为指定 `spill_bucket`(称为 `athena-federation-spill`)中的子文件夹。我们建议您在此位置配置 Amazon S3 [存储生命周期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html),以删除早于预定天数或小时数的溢出内容。
+ **spill\$1put\$1request\$1headers** —(可选)用于溢出的 Amazon S3 `putObject` 请求的请求标头和值的 JSON 编码映射(例如 `{"x-amz-server-side-encryption" : "AES256"}`)。有关其他可能的标头,请参阅《[Amazon Simple Storage Service API 参考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)》中的 *PutObject*。
+ **kms\$1key\$1id** -(可选)默认情况下,将使用经过 AES-GCM 身份验证的加密模式和随机生成的密钥对溢出到 Amazon S3 的任何数据进行加密。要让您的 Lambda 函数使用 KMS 生成的更强的加密密钥(如 `a7e63k4b-8loc-40db-a2a1-4d0en2cd8331`),您可以指定 KMS 密钥 ID。
+ **disable\$1spill\$1encryption** -(可选)当设置为 `True` 时,将禁用溢出加密。默认值为 `False`,此时将使用 AES-GCM 对溢出到 S3 的数据使用进行加密 - 使用随机生成的密钥,或者使用 KMS 生成密钥。禁用溢出加密可以提高性能,尤其是当您的溢出位置使用[服务器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)时。
#### 连接字符串
使用以下格式的 JDBC 连接字符串连接到数据库实例。
```
snowflake://${jdbc_connection_string}
```
#### 使用多路复用处理程序
您可以使用多路复用器通过单个 Lambda 函数连接到多个数据库实例。按目录名称来路由请求。在 Lambda 中使用以下类。
****
| 处理程序 | 类 |
| --- | --- |
| 复合处理程序 | SnowflakeMuxCompositeHandler |
| 元数据处理程序 | SnowflakeMuxMetadataHandler |
| 记录处理程序 | SnowflakeMuxRecordHandler |
##### 多路复用处理程序参数
****
| 参数 | 说明 |
| --- | --- |
| \$1catalog\$1connection\$1string | 必需。数据库实例连接字符串。将 Athena 中使用的目录的名称作为环境变量前缀。例如,如果向 Athena 注册的目录是 mysnowflakecatalog,则环境变量名称是 mysnowflakecatalog\$1connection\$1string。 |
| default | 必需。默认连接字符串。目录为 lambda:\$1\$1AWS\$1LAMBDA\$1FUNCTION\$1NAME\$1 时使用此字符串。 |
以下示例属性适用于支持两个数据库实例的 Snowflake MUX Lambda 函数:`snowflake1`(默认)和 `snowflake2`。
****
| 属性 | 值 |
| --- | --- |
| default | snowflake://jdbc:snowflake://snowflake1.host:port/?warehouse=warehousename&db=db1&schema=schema1&\$1\$1Test/RDS/Snowflake1\$1 |
| snowflake\$1catalog1\$1connection\$1string | snowflake://jdbc:snowflake://snowflake1.host:port/?warehouse=warehousename&db=db1&schema=schema1\$1\$1Test/RDS/Snowflake1\$1 |
| snowflake\$1catalog2\$1connection\$1string | snowflake://jdbc:snowflake://snowflake2.host:port/?warehouse=warehousename&db=db1&schema=schema1&user=sample2&password=sample2 |
##### 提供凭证
要在 JDBC 连接字符串中为数据库提供用户名和密码,可以使用连接字符串属性或 AWS Secrets Manager。
+ **连接字符串** — 可以将用户名和密码指定为 JDBC 连接字符串中的属性。
**重要**
作为安全最佳实践,请勿在环境变量或连接字符串中使用硬编码凭证。有关将硬编码密钥移至 AWS Secrets Manager 的信息,请参阅《*AWS Secrets Manager 用户指南*》中的[将硬编码密钥移至 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/hardcoded.html)。
+ **AWS Secrets Manager** - 要将 Athena 联合查询功能与 AWS Secrets Manager 配合使用,连接到您的 Lambda 函数的 VPC 应该拥有[互联网访问权限](https://aws.amazon.com/premiumsupport/knowledge-center/internet-access-lambda-function/)或者 [VPC 端点](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html),以连接到 Secrets Manager。
您可以将 AWS Secrets Manager 中的密钥名称放入您的 JDBC 连接字符串中。连接器将该密钥名称替换为来自 Secrets Manager 的 `username` 和 `password` 值。
对于 Amazon RDS 数据库实例,将紧密集成这种支持。如果您使用 Amazon RDS,我们强烈建议您使用 AWS Secrets Manager 和凭证轮换。如果您的数据库不使用 Amazon RDS,请按以下格式将凭证存储为 JSON:
```
{"username": "${username}", "password": "${password}"}
```
**带有密钥名称的示例连接字符串**
以下字符串带有密钥名称 `${Test/RDS/Snowflake1}`。
```
snowflake://jdbc:snowflake://snowflake1.host:port/?warehouse=warehousename&db=db1&schema=schema1${Test/RDS/Snowflake1}&...
```
该连接器使用该密钥名称来检索密钥,并提供用户名和密码,如以下示例所示。
```
snowflake://jdbc:snowflake://snowflake1.host:port/warehouse=warehousename&db=db1&schema=schema1&user=sample2&password=sample2&...
```
目前,Snowflake 可以识别 `user` 和 `password` JDBC 属性。还接受以下格式的用户名和密码:*用户名*`/`*密码*(不含密钥 `user` 或 `password`)。
#### 使用单个连接处理程序
您可以使用以下单个连接元数据和记录处理程序连接到单个 Snowflake 实例。
****
| 处理程序类型 | 类 |
| --- | --- |
| 复合处理程序 | SnowflakeCompositeHandler |
| 元数据处理程序 | SnowflakeMetadataHandler |
| 记录处理程序 | SnowflakeRecordHandler |
##### 单个连接处理程序参数
****
| 参数 | 说明 |
| --- | --- |
| default | 必需。默认连接字符串。 |
单个连接处理程序支持一个数据库实例,并且必须提供 `default` 连接字符串参数。将忽略所有其他连接字符串。
以下示例属性适用于 Lambda 函数支持的单个 Snowflake 实例。
****
| 属性 | 值 |
| --- | --- |
| default | snowflake://jdbc:snowflake://snowflake1.host:port/?secret=Test/RDS/Snowflake1 |
#### 溢出参数
Lambda 开发工具包可以将数据溢出到 Amazon S3。由同一 Lambda 函数访问的所有数据库实例都会溢出到同一位置。
****
| 参数 | 说明 |
| --- | --- |
| spill\$1bucket | 必需。溢出桶名称。 |
| spill\$1prefix | 必需。溢出桶密钥前缀。 |
| spill\$1put\$1request\$1headers | (可选)用于溢出的 Amazon S3 putObject 请求的请求标头和值的 JSON 编码映射(例如,\$1"x-amz-server-side-encryption" : "AES256"\$1)。有关其他可能的标头,请参阅《Amazon Simple Storage Service API 参考》中的 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)。 |
## 数据类型支持
下表显示了适用于 JDBC 和 Apache Arrow 的相应数据类型。
****
| JDBC | Arrow |
| --- | --- |
| 布尔值 | Bit |
| 整数 | Tiny |
| 短型 | Smallint |
| 整数 | Int |
| 长整型 | Bigint |
| 浮点数 | Float4 |
| 双精度 | Float8 |
| 日期 | DateDay |
| Timestamp | DateMilli |
| 字符串 | Varchar |
| 字节 | Varbinary |
| BigDecimal | 十进制 |
| ARRAY | 列表 |
## 数据类型转换
除了 JDBC 到 Arrow 的转换外,连接器还执行某些其他转换,以使 Snowflake 源和 Athena 数据类型兼容。这些转换有助于确保成功执行查询。下表显示了这些转换。
****
| 源数据类型 (Snowflake) | 转换后的数据类型 (Athena) |
| --- | --- |
| TIMESTAMP | TIMESTAMPMILLI |
| DATE | TIMESTAMPMILLI |
| INTEGER | INT |
| DECIMAL | BIGINT |
| TIMESTAMP\$1NTZ | TIMESTAMPMILLI |
所有其他不支持的数据类型都转换为 `VARCHAR`。
## 分区和拆分
分区用于确定如何为该连接器生成拆分。Athena 将构建一个 `varchar` 类型的合成列,它将展示表的分区方案,以帮助该连接器生成拆分。该连接器不会修改实际的表定义。
若要创建此合成列和分区,Athena 需要定义主键。但是,由于 Snowflake 不强制执行主键约束,您必须自己强制执行唯一性。不这样做会导致 Athena 默认为单次拆分。
## 性能
为了获得最佳性能,请尽可能在查询中使用筛选条件。此外,我们强烈建议使用本机分区来检索具有均匀分区分布的大型数据集。选择列的子集可以显著减少查询运行时及扫描的数据。Snowflake 连接器能够灵活地应对并发造成的节流。
Athena Snowflake 连接器执行谓词下推,以减少查询扫描的数据量。`LIMIT` 子句、简单谓词和复杂表达式将下推到连接器,以减少扫描数据量并缩短查询执行的运行时间。
### LIMIT 子句
`LIMIT N` 语句用于减少查询扫描的数据量。`LIMIT N` 下推时,连接器仅向 Athena 返回 `N` 行。
### Predicates
谓词是 SQL 查询的 `WHERE` 子句中的表达式,其评估结果为布尔值并根据多个条件筛选行。Athena Snowflake 连接器可以组合这些表达式并将其直接推送到 Snowflake,以增强功能并减少扫描的数据量。
以下 Athena Snowflake 连接器运算符支持谓词下推:
+ **布尔值:**AND、OR、NOT
+ **相等:**EQUAL、NOT\$1EQUAL、LESS\$1THAN、LESS\$1THAN\$1OR\$1EQUAL、GREATER\$1THAN、GREATER\$1THAN\$1OR\$1EQUAL、IS\$1DISTINCT\$1FROM、NULL\$1IF、IS\$1NULL
+ **算术:**ADD、SUBTRACT、MULTIPLY、DIVIDE、MODULUS、NEGATE
+ **其他:**LIKE\$1PATTERN、IN
### 组合下推示例
要增强查询功能,组合下推类型,如以下示例所示:
```
SELECT *
FROM my_table
WHERE col_a > 10
AND ((col_a + col_b) > (col_c % col_d))
AND (col_e IN ('val1', 'val2', 'val3') OR col_f LIKE '%pattern%')
LIMIT 10;
```
# 通过 Snowflake 进行身份验证
您可以将 Amazon Athena Snowflake 连接器配置为使用密钥对身份验证或 OAuth 身份验证方法,来连接 Snowflake 数据仓库。这两种方法都提供对 Snowflake 的安全访问,并且无需在连接字符串中存储密码。
+ **密钥对身份验证**:此方法使用 RSA 公有或私有密钥对通过 Snowflake 进行身份验证。私有密钥会对身份验证请求进行数字签名,而相应的公有密钥则会在 Snowflake 中注册以供验证。此方法消除了存储密码的需要。
+ **OAuth 身份验证**:此方法使用授权令牌和刷新令牌通过 Snowflake 进行身份验证。它支持自动令牌刷新,因此适用于长时间运行的应用程序。
有关更多信息,请参阅 Snowfla ke 用户指南中的 [Key-pair authentication](https://docs.snowflake.com/en/user-guide/key-pair-auth) 和 [OAuth authentication](https://docs.snowflake.com/en/user-guide/oauth-custom)。
## 先决条件
在开始之前,请满足以下先决条件:
+ 具有管理权限的 Snowflake 账户访问权限。
+ 专门用于 Athena 连接器的 Snowflake 用户账户。
+ 用于密钥对身份验证的 OpenSSL 或等效密钥生成工具。
+ AWS Secrets Manager 访问权限,用于创建和管理密钥。
+ 用于完成 OAuth 身份验证的 OAuth 流程的 Web 浏览器。
## 配置密钥对身份验证
此过程包括生成 RSA 密钥对、使用公有密钥配置您的 Snowflake 账户,以及将私有密钥安全地存储在 AWS Secrets Manager 中。以下步骤将指导您创建加密密钥、设置必要的 Snowflake 权限以及配置 AWS 凭证以实现流畅的身份验证。
1. **生成 RSA 密钥对**
使用 OpenSSL 生成私有和公有密钥对。
+ 要生成未加密的版本,请在本地命令行应用程序中使用以下命令。
```
openssl genrsa 2048 | openssl pkcs8 -topk8 -inform PEM -out rsa_key.p8 -nocrypt
```
+ 要生成加密版本,请使用以下命令,该命令省略了 `-nocrypt`。
```
openssl genrsa 2048 | openssl pkcs8 -topk8 -v2 des3 -inform PEM -out rsa_key.p8
```
+ 使用私有密钥生成公有密钥。
```
openssl rsa -in rsa_key.p8 -pubout -out rsa_key.pub
# Set appropriate permissions (Unix/Linux)
chmod 600 rsa_key.p8
chmod 644 rsa_key.pub
```
**注意**
请勿与他人共享您的私有密钥。只有需要通过 Snowflake 进行身份验证的应用程序才能访问私有密钥。
1. **为 Snowflake 提取不带分隔符的公有密钥内容**
```
# Extract public key content (remove BEGIN/END lines and newlines)
cat rsa_key.pub | grep -v "BEGIN\|END" | tr -d '\n'
```
请记下这些信息,因为需要在下一步中用到。
1. **配置 Snowflake 用户**
按照以下步骤配置 Snowflake 用户:
1. 为 Athena 连接器创建专属用户(如果还没有执行此操作)。
```
-- Create user for Athena connector
CREATE USER athena_connector_user;
-- Grant necessary privileges
GRANT USAGE ON WAREHOUSE your_warehouse TO ROLE athena_connector_role;
GRANT USAGE ON DATABASE your_database TO ROLE athena_connector_role;
GRANT SELECT ON ALL TABLES IN DATABASE your_database TO ROLE athena_connector_role;
```
1. 授予身份验证权限。要向用户分配公有密钥,您必须具有以下角色或权限之一:
+ 用户的 `MODIFY PROGRAMMATIC AUTHENTICATION METHODS` 或 `OWNERSHIP` 权限。
+ `SECURITYADMIN` 角色或更高层级角色。
使用以下命令授予必要权限以分配公有密钥。
```
GRANT MODIFY PROGRAMMATIC AUTHENTICATION METHODS ON USER athena_connector_user TO ROLE your_admin_role;
```
1. 使用以下命令将公有密钥分配给 Snowflake 用户。
```
ALTER USER athena_connector_user SET RSA_PUBLIC_KEY='RSAkey';
```
使用以下命令验证公有密钥是否已成功分配给该用户。
```
DESC USER athena_connector_user;
```
1. **将私有密钥存储在 AWS Secrets Manager 中**
1. 将私有密钥转换为连接器要求的格式。
```
# Read private key content
cat rsa_key.p8
```
1. 在 AWS Secrets Manager 中,创建一个使用以下结构的密钥。
```
{
"sfUser": "your_snowflake_user",
"pem_private_key": "-----BEGIN PRIVATE KEY-----\n...\n-----END PRIVATE KEY-----",
"pem_private_key_passphrase": "passphrase_in_case_of_encrypted_private_key(optional)"
}
```
**注意**
页眉和页脚为选填。
私有密钥必须使用 `\n` 分隔。
## 配置 OAuth 身份验证
此身份验证方法具备自动刷新凭证的功能,可以实现对 Snowflake 进行基于令牌的安全访问。配置过程包括在 Snowflake 中创建安全集成、检索 OAuth 客户端凭证、完成授权流程以获取访问代码,以及将 OAuth 凭据存储在 AWS Secrets Manager 中以供连接器使用。
1. **在 Snowflake 创建安全集成**
在 Snowflake 中执行以下 SQL 命令创建 Snowflake OAuth 安全集成。
```
CREATE SECURITY INTEGRATION my_snowflake_oauth_integration_a
TYPE = OAUTH
ENABLED = TRUE
OAUTH_CLIENT = CUSTOM
OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
OAUTH_REDIRECT_URI = 'https://localhost:8080/oauth/callback'
OAUTH_ISSUE_REFRESH_TOKENS = TRUE
OAUTH_REFRESH_TOKEN_VALIDITY = 7776000;
```
**配置参数**
+ `TYPE = OAUTH`:指定 OAuth 身份验证类型。
+ `ENABLED = TRUE`:启用安全集成。
+ `OAUTH_CLIENT = CUSTOM`:使用自定义 OAuth 客户端配置。
+ `OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'`:为安全应用程序设置客户端类型。
+ `OAUTH_REDIRECT_URI`:OAuth 流程的回调 URL。它可以是用于测试的本地主机。
+ `OAUTH_ISSUE_REFRESH_TOKENS = TRUE`:启用刷新令牌生成。
+ `OAUTH_REFRESH_TOKEN_VALIDITY = 7776000`:设置刷新令牌的有效期(以秒为单位,最长 90 天)。
1. **检索 OAuth 客户端密钥**
1. 运行以下 SQL 命令来获取客户端凭证。
```
DESC SECURITY INTEGRATION 'MY_SNOWFLAKE_OAUTH_INTEGRATION_A';
```
1. 检索 OAuth 客户端密钥。
```
SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('MY_SNOWFLAKE_OAUTH_INTEGRATION_A');
```
**响应示例**
```
{
"OAUTH_CLIENT_SECRET_2": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"OAUTH_CLIENT_SECRET": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY,
"OAUTH_CLIENT_ID": "AIDACKCEVSQ6C2EXAMPLE"
}
```
**注意**
请妥善保管这些凭证,不要与他人共享。这些凭证将用于配置 OAuth 客户端。
1. **授权用户并检索授权码**
1. 在浏览器中打开以下 URL。
```
https://.snowflakecomputing.com/oauth/authorize?client_id=&response_type=code&redirect_uri=https://localhost:8080/oauth/callback
```
1. 完成授权流程。
1. 使用 Snowflake 凭证登录。
1. 授予所需的权限。您将被重定向到带有授权码的回调 URI。
1. 从重定向 URL 中复制代码参数来提取授权码。
```
https://localhost:8080/oauth/callback?code=
```
**注意**
该授权码仅在有限时间内有效,而且只能使用一次。
1. **将 OAuth 凭证存储在 AWS Secrets Manager 中**
在 AWS Secrets Manager 中,创建一个使用以下结构的密钥。
```
{
"redirect_uri": "https://localhost:8080/oauth/callback",
"client_secret": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY",
"token_url": "https://.snowflakecomputing.com/oauth/token-request",
"client_id": "AIDACKCEVSQ6C2EXAMPLE,
"username": "your_snowflake_username",
"auth_code": "authorizationcode"
}
```
**必填字段**
+ `redirect_uri`:您在步骤 1 中获得的 OAuth 重定向 URI。
+ `client_secret`:您在步骤 2 中获得的 OAuth 客户端密钥。
+ `token_url`:Snowflake OAuth 令牌端点。
+ `client_id`:步骤 2 中的 OAuth 客户端 ID。
+ `username`:连接器的 Snowflake 用户名。
+ `auth_code`:您在步骤 3 中获得的授权码。
创建密钥后,您将获得一个密钥 ARN,您可以在[创建数据来源连接](connect-to-a-data-source.md)时在 Glue 连接中使用该密钥 ARN。
## 传递查询
Snowflake 连接器支持[传递查询](federated-query-passthrough.md)。传递查询使用表函数将完整查询下推到数据来源来执行查询。
要在 Snowflake 中执行传递查询,可以使用以下语法:
```
SELECT * FROM TABLE(
system.query(
query => 'query string'
))
```
以下示例查询将查询下推到 Snowflake 中的数据来源。该查询选择了 `customer` 表中的所有列,将结果限制为 10。
```
SELECT * FROM TABLE(
system.query(
query => 'SELECT * FROM customer LIMIT 10'
))
```
## 许可证信息
使用此连接器,即表示您确认包含第三方组件(这些组件的列表可在此连接器的 [pom.xml](https://github.com/awslabs/aws-athena-query-federation/blob/master/athena-snowflake/pom.xml) 文件中找到),并同意 GitHub.com 上的 [LICENSE.txt](https://github.com/awslabs/aws-athena-query-federation/blob/master/athena-snowflake/LICENSE.txt) 文件中提供的相应第三方许可证中的条款。
## 其他资源
有关最新 JDBC 驱动程序版本信息,请参见 GitHub.com 上适用于 Snowflake 连接器的 [pom.xml](https://github.com/awslabs/aws-athena-query-federation/blob/master/athena-snowflake/pom.xml) 文件。
有关此连接器的更多信息,请访问 GitHub.com 上的[相应站点](https://github.com/awslabs/aws-athena-query-federation/tree/master/athena-snowflake)。