第 4 步:在管理控制台中将面向 AWS 的 API 集成链接到代理服务¶
本主题说明如何将 Snowflake 中的 API 集成对象链接到代理服务(即 Amazon API Gateway)。为此,您可以在 Snowflake 和之前创建的 IAM (身份和访问管理)角色之间建立信任关系。
无论您使用的是管理控制台还是 CloudFormation 模板,说明都是相同的。
上一步¶
在 Snowflake 和新 IAM 角色之间建立信任关系¶
在 AWS 管理控制台中,请执行以下操作:
选择 IAM。
选择 Roles。
在工作表中,查找
New IAM Role Name字段中的值,然后在 AWS 管理控制台中查找相同的值(角色名称)。点击 Trust relationships 选项卡,然后点击按钮 Edit trust relationship。
这样应该会打开 Policy Document,在其中您可以添加身份验证信息。
在 Policy Document 中,找到 Statement.Principal.AWS 字段,并将值(不是键)替换为工作表
API_AWS_IAM_USER_ARN字段中的值。查找 Statement.Condition 字段。最初,此字段应该只包含大括号(“{}”)。
将以下内容粘贴到大括号之间:
"StringEquals": { "sts:ExternalId": "xxx" }将
xxx替换为工作表中API_AWS_EXTERNAL_ID字段的值。针对信任关系的 Policy Document 完成编辑后,应类似于以下内容:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::1234567898012:user/development/development_user" }, "Action": "sts:AssumeRole", "Condition": {"StringEquals": { "sts:ExternalId": "EXTERNAL_FUNCTIONS_SFCRole=3_8Hcmbi9halFOkt+MdilPi7rdgOv=" }} } ] }
点击 Update Trust Policy。