雪花到谷歌云存储 - 存储桶安全

【问题标题】:Snowflake to google cloud storage - bucket security雪花到谷歌云存储 - 存储桶安全
【发布时间】:2021-03-19 10:12:24
【问题描述】:

我们正在查看此链接,该链接概述了如何将 Snowflake 输出暂存到 GCS 存储桶 (https://docs.snowflake.com/en/user-guide/data-load-gcs-config.html)。在本文的第 3 步中,您只需将服务帐户的名称提供给 GCS 存储桶,并在分配了正确的权限后,雪花帐户即可获得访问权限。

我的问题是,如果该服务帐户的名称被泄露,是什么阻止潜在黑客冒充该帐户并运行 python/java 程序连接到允许该帐户的 GCS 存储桶?

在那篇文章中,我没有看到任何对密钥、令牌、证书或其他额外控制的要求来限制访问。在 GCP 方面,只是权限和控制它的帐户名称?

感谢和问候

【问题讨论】:

    标签: snowflake-cloud-data-platform


    【解决方案1】:

    这是一个很酷的问题,您首先应该知道的是您的数据是安全的。

    当您想设置 GCP/GCS 以便 Snowflake 可以从中读取文件时,Snowflake 将创建一个类似 paoeffnyz@sfc-prod2-1-947.iam.gserviceaccount.com 的服务帐户 ID。您可以使用该身份告诉 GCS 诸如“是的,可以与 paoeffnyz@sfc-prod2-1-947.iam.gserviceaccount.com 共享我的这些文件。这是安全的。

    为什么?

    唯一拥有识别为 paoeffnyz@sfc-prod2-1-947.iam.gserviceaccount.com 的秘密的是您的 Snowflake 帐户。这个 id 是否公开并不重要,因为除了你的 Snowflake 帐户之外,没有人知道它的“密码”。

    【讨论】:

    • 您好 Felipe,感谢您的保证。因此,Snowflake 和 Google 在后台交换身份验证信息。您能否向我们指出任何链接或文档,其中概述了这是如何完成的?此外,如果我们想使用我们的“自己的”自定义身份验证......例如短期凭证、令牌交换、IdP、双向 TLS、HSM 等。这是我们可以控制的吗?还是 Snowflake 会阻止用户自定义外部存储集成产品?谢谢费利佩。
    • 这是文档:docs.snowflake.com/en/user-guide/data-load-gcs-config.html
    • 嗨 Felipe,是的,这是我发布的链接,它是我最初问题的基础。我希望您可能会遇到其他深入的参考资料,这些参考资料更详细地解释了它的身份验证部分。谢谢。
    • 这是我最好的。有什么特别的东西可以使这个文档变得更好?我可以将反馈传递给团队。
    • 嗨Felipe,这很好......解释是令人满意的。我会将这个问题标记为已回答。感谢您的所有帮助。
    猜你喜欢
    • 2016-01-31
    • 2019-08-24
    • 2015-03-01
    • 1970-01-01
    • 2019-02-16
    • 2016-12-16
    • 1970-01-01
    • 1970-01-01
    • 2016-04-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode