No tenga secretos con Snowflake Workload Identity Federation

¿Tiene dificultades para alejarse de la autenticación de contraseña? Imagínese si pudiera eliminar la trámite secreta durante esta transición. ¡Ahora puedes!

Estamos encantados de anunciar que ¡La tratado de identidades de cargas de trabajo (WIF) ya está adecuado de forma generalizada! Esto marca un importante paso delante en nuestro compromiso de mejorar la seguridad y simplificar la autenticación para sus interacciones con Snowflake. Con WIF, ahora puede conectar sin problemas sus aplicaciones y servicios a Snowflake utilizando sus identidades de infraestructura existentes sin mandar ninguna credencial.

El desafío de la autenticación tradicional

Como parte de la labor de Snowflake de proteger a nuestros clientes de acuerdo con las mejores prácticas de la industria, estamos trabajando para dejar de utilizar las contraseñas como método de autenticación único para los usuarios, cuando corresponda. Los servicios que se autentican en Snowflake a menudo se basan en secretos estáticos (nombres de favorecido/contraseñas). Si proporcionadamente son simples, estos secretos son muy susceptibles de encontrarse comprometidos si no se protegen adecuadamente, y su trámite segura conlleva una importante sobrecarga administrativa.

La tratado de identidades de cargas de trabajo es la respuesta definitiva para que los usuarios de servicios adopten este cambio, proporcionando una experiencia de autenticación moderna, segura y sin fricciones que supera a las alternativas comunes para las conexiones de servicio a servicio en varias áreas secreto.

¿Qué es la tratado de identidades de cargas de trabajo?

WIF es el método de autenticación recomendado y preferido de Snowflake para usuarios de tipo SERVICIO, es opinar, cargas de trabajo automatizadas, aplicaciones y herramientas de terceros. En división de necesitar de secretos de larga duración, WIF permite que sus servicios obtengan dinámicamente certificaciones de corta duración utilizando su identidad de sus proveedores de estrato, como AWS, Azure o Google Cloud. Igualmente admite plataformas que tienen un proveedor OIDC como Kubernetes y GitHub Actions. Luego, Snowflake verifica estas certificaciones directamente con el proveedor de identidad, otorgando camino sin ver ni acumular los secretos estáticos de su servicio.

Beneficios secreto que te encantarán

La acogida de WIF permite que sus aplicaciones funcionen "sin secretos" eliminando la privación de acumular, mandar o rotar credenciales de camino de larga duración a Snowflake. Este enfoque produce los siguientes beneficios:

• Seguridad mejorada: Sin secretos administrados por el cliente que puedan encontrarse comprometidos, la superficie de ataque se reduce drásticamente. WIF utiliza tokens efímeros y de corta duración, lo que mejoría aún más su postura de seguridad.

• Complejidad pequeña: En comparación con métodos federados anteriores como OAuth forastero, WIF simplifica significativamente la configuración original y reduce los gastos generales de mantenimiento continuo. Esto significa una integración más rápida y menos tiempo dedicado a la autenticación.

• Rentabilidad: Centralice su trámite de identidades reutilizando las identidades de proveedores de estrato existentes. No hay privación de herramientas o licencias adicionales para mandar identidades de servicios específicamente para Snowflake.

• Enfoque estandarizado: WIF es un método de autenticación ampliamente prohijado y recomendado por los principales proveedores de estrato para cargas de trabajo externas.

¿Dónde puedes usar WIF?

WIF es ideal para una amplia matiz de escenarios de autenticación de servicio a servicio:

• Cargas de trabajo personalizadas alojadas en la estrato: Autentique aplicaciones que se ejecutan en AWS EC2 o Lambda mediante roles de IAM, máquinas virtuales o funciones de Azure con identidades administradas por el sistema o el favorecido, o instancias de Google Compute Engine y Cloud Run a través de cuentas de servicio.

• Tuberías de CI/CD: Conecte de forma segura sus flujos de trabajo de GitHub Actions a Snowflake, lo que permite que su automatización interactúe con los datos sin codificar credenciales.

• Aplicaciones en contenedores: Habilite las cargas de trabajo que se ejecutan en Kubernetes para autenticarse en Snowflake mediante la tratado OIDC.

• Trabajos ETL/ELT y canales de datos: Automatice la ingesta y transformación de datos con una autenticación sólida y sin secretos.

Más allá de estos escenarios, nuestro objetivo es que sus herramientas de terceros preferidas, incluidas las herramientas de BI y ETL, todavía admitan la autenticación sin secretos a través de la tratado OIDC. Aunque colaboramos con muchos proveedores, le recomendamos que solicite la décimo de sus proveedores externos en nuestra iniciativa secreta y que adopten WIF como su método de autenticación de servicio a servicio preferido para Snowflake.

Comenzar con WIF es simple

La configuración de WIF implica algunos pasos sencillos, que generalmente requieren la configuración de su proveedor de estrato y la creación de un favorecido de SERVICIO en Snowflake.

A continuación se muestra un ejemplo para conectar una instancia AWS EC2:

1. Configurar AWS: Adjunte una función de IAM a su instancia EC2 en AWS.

2. Crear favorecido de Snowflake: Cree un favorecido de Snowflake SERVICE y asócielo con el ARN de su rol de AWS IAM mediante la propiedad WORKLOAD_IDENTITY.

3. Conéctese con el conductor: Actualice su aplicación para utilizar el compensador Snowflake más nuevo y especifique authenticator=»WORKLOAD_IDENTITY» y workload_identity_provider=’AWS’ en su esclavitud de conexión. El compensador detectará automáticamente las credenciales nativas de la plataforma.

Para pitón:

¿Pronto para no tener secretos y mejorar la seguridad de Snowflake? Aquí hay algunas maneras de comenzar:

• Explora nuestra documentación completa para obtener guías de configuración detalladas y ejemplos para AWS, Azure, GCP y OIDC Federation (incluidas Kubernetes y GitHub Actions)

• Actualice a los últimos controladores Snowflake para utilizar esta poderosa nueva característica

• Anime a sus herramientas de terceros favoritas a adoptar una integración secreta, como lo ejemplifica Abundancia de datos de Salesforce

• Revisa nuestro Consejero para desaprobar las contraseñas como método de autenticación único.

• Comparte tus comentarios y ayúdanos a seguir mejorando la estrato de datos de IA

Muchas gracias a los siguientes colaboradores de Snowflake por su trabajo en este blog: Dima Basavin, James Kasten, Peter Mansour, Eric Woroshow y Xiaohu Zhao.