Snowflake

Para conectar o Looker ao Snowflake, siga estas etapas:

  1. Crie um usuário do Looker no Snowflake e provisione acesso.
  2. Configure uma conexão de banco de dados no Looker.

Como criptografar o tráfego de rede

É uma prática recomendada criptografar o tráfego de rede entre o aplicativo Looker e seu banco de dados. Considere uma das opções descritas na página de documentação Como ativar o acesso seguro ao banco de dados.

Como criar um usuário do Looker no Snowflake

Recomendamos os seguintes comandos para criar o usuário do Looker. Execute cada linha individualmente.

Se quiser, adicione a palavra-chave ON FUTURE para manter as instruções GRANT em objetos recém-criados. Recomendamos executá-lo nas tabelas em todos os esquemas que o Looker vai usar para que você não precise executar novamente as instruções GRANT à medida que novas tabelas são criadas.

-- change role to ACCOUNTADMIN
use role ACCOUNTADMIN;

-- create role for looker
create role if not exists looker_role;
grant role looker_role to role SYSADMIN;
    -- Note that we are not making the looker_role a SYSADMIN,
    -- but rather granting users with the SYSADMIN role to modify the looker_role

-- create a user for looker
create user if not exists looker_user
password = <enter password here>;
grant role looker_role to user looker_user;
alter user looker_user
set default_role = looker_role
default_warehouse = looker_wh;

-- change role
use role SYSADMIN;

-- create a warehouse for looker (optional)
create warehouse if not exists looker_wh

-- set the size based on your dataset
warehouse_size = medium
warehouse_type = standard
auto_suspend = 1800
auto_resume = true
initially_suspended = true;
grant all privileges
on warehouse looker_wh
to role looker_role;

-- grant read only database access (repeat for all database/schemas)
grant usage on database <database> to role looker_role;
grant usage on schema <database>.<schema> to role looker_role;

-- rerun the following any time a table is added to the schema
grant select on all tables in schema <database>.<schema> to role looker_role;
-- or
grant select on future tables in schema <database>.<schema> to role looker_role;

-- create schema for looker to write back to
use database <database>;
create schema if not exists looker_scratch;
use role ACCOUNTADMIN;
grant ownership on schema looker_scratch to role SYSADMIN revoke current grants;
grant all on schema looker_scratch to role looker_role;

Se você colar os comandos anteriores como um lote no painel de conexão do Snowflake, marque a caixa de seleção Todas as consultas para garantir que todas as linhas sejam executadas. Por padrão, o Snowflake executa apenas as linhas selecionadas.

O console do Snowflake com a caixa de seleção &quot;Todas as consultas&quot; marcada.

Como criar a conexão do Looker com seu banco de dados

Na seção Administrador do Looker, selecione Conexões e clique em Adicionar conexão.

Preencher os detalhes de conexão. A maioria das configurações é comum à maioria dos dialetos de banco de dados. Consulte a página de documentação Como conectar o Looker ao banco de dados para mais informações. Algumas das configurações são descritas a seguir:

  • Nome: dê um nome à conexão. É assim que o modelo LookML vai fazer referência à conexão.
  • Dialeto: selecione Snowflake.
  • Host: insira o nome do host do Snowflake. Ele terá esta aparência: <account_name>.snowflakecomputing.com. Consulte os exemplos de nome de conta do Snowflake por região para garantir que você está usando o valor certo para sua implantação.
  • Porta: o padrão é 443.
  • Banco de dados: insira o banco de dados padrão a ser usado. Esse campo diferencia maiúsculas de minúsculas.
  • Esquema: insira o esquema padrão.
  • Autenticação: selecione Conta do banco de dados ou OAuth:
    • Use a opção Database Account para especificar o nome de usuário e a senha da conta de usuário do Snowflake que será usada para se conectar ao Looker.
    • Use OAuth se quiser configurar o OAuth para a conexão.

  • Ativar TDPs: use esse botão para ativar as tabelas derivadas persistentes (PDTs). A ativação das TDPs revela mais campos de TDP e a seção Substituições de TDP da conexão.

  • Banco de dados temporário: se as TDPs estiverem ativadas, defina esse campo como um esquema em que o usuário tenha privilégios totais para criar, descartar, renomear e alterar tabelas.

  • Máximo de conexões por nó: essa configuração pode ser deixada no valor padrão inicialmente. Leia mais sobre essa configuração na seção Máximo de conexões por nó da página de documentação Como conectar o Looker ao banco de dados.

  • Estimativa de custo: ativa as estimativas de custo para consultas da Análise, as estimativas de custo para as consultas do SQL Runner e as estimativas de economia de computação para consultas de reconhecimento agregado na conexão.

  • Fuso horário do banco de dados: o fuso horário que o banco de dados do Snowflake usa para armazenar datas e horas. O padrão é UTC. Isso é opcional.

  • Fuso horário da consulta: o fuso horário em que você quer exibir as consultas. Por exemplo, Leste dos EUA (América – Nova York). Isso é opcional.

  • Outros parâmetros do JDBC: adicione outros parâmetros do JDBC usando o driver JDBC do Snowflake.

    • Adicione warehouse=<YOUR WAREHOUSE NAME>.

    • Além disso, por padrão, o Looker define os seguintes parâmetros do Snowflake em cada sessão:

      • TIMESTAMP_TYPE_MAPPING=TIMESTAMP_LTZ
      • JDBC_TREAT_DECIMAL_AS_INT=FALSE
      • TIMESTAMP_INPUT_FORMAT=AUTO
      • AUTOCOMMIT=TRUE

      É possível modificar cada um desses parâmetros definindo um valor alternativo no campo Parâmetros adicionais do JDBC, por exemplo: &AUTOCOMMIT=FALSE

Para verificar se a conexão foi bem-sucedida, clique em Testar. Consulte a página de documentação Como testar a conectividade do banco de dados para informações sobre solução de problemas.

Para salvar essas configurações, clique em Conectar.

Designar warehouses do Snowflake por grupo ou usuário

Use os atributos de usuário do Looker para atribuir warehouses separados do Snowflake a usuários individuais ou grupos do Looker. Isso é útil, por exemplo, quando você tem usuários que precisam de diferentes níveis de capacidade de computação. É possível atribuir um warehouse com mais recursos de computação apenas aos usuários que precisam dele e atribuir um warehouse com menos recursos a usuários com menos necessidades.

Para designar warehouses por grupo ou por usuário, siga estas etapas:

  1. Adicione os grupos ou os usuários ao Looker.

  2. Defina um atributo de usuário no Looker em que os nomes dos armazéns do Snowflake serão armazenados. É possível dar qualquer nome a esse atributo, como snowflake_wh.

    A página &quot;Atributos do usuário&quot; no Looker, mostrando o atributo de usuário do Snowflake Warehouse.

  3. No atributo de usuário que você acabou de definir, atribua os valores de nome do armazém aos grupos ou usuários.

    A página &quot;Atributos do usuário&quot; no Looker, mostrando o atributo de usuário do Snowflake com valores atribuídos a um grupo.

  4. No campo Outros parâmetros do JDBC na página Configurações de conexão, adicione o seguinte, substituindo snowflake_warehouse pelo nome do atributo de usuário definido:

      warehouse={{ _user_attributes['snowflake_warehouse'] }}

    Exemplo:

    Página &quot;Configurações de conexão&quot; no Looker mostrando o campo &quot;Parâmetros adicionais do JDBC&quot; com o parâmetro de atributo de usuário do warehouse.

  5. Para testar as configurações de conexão individual, é possível sudo como um usuário a quem você atribuiu um valor de nome de warehouse.

Veja instruções mais detalhadas sobre esse procedimento no blog do Red Pill Analytics (em inglês).

Recurso de suspensão automática do Snowflake

Os warehouses do Snowflake têm um recurso de suspensão automática ativado por padrão. Após um período especificado, o warehouse será suspenso automaticamente. Se o warehouse for suspenso, todas as consultas produzirão um erro. Esse erro não aparece nos painéis (normalmente nenhum dado é mostrado), mas é mostrado na consulta na página "Explorar".

O Snowflake também tem um recurso de retomada automática que retoma o warehouse quando ele é consultado. No entanto, a retomada do warehouse pode levar até cinco minutos, fazendo com que as consultas parem de responder por cinco minutos antes de retornar. Esses recursos não podem ser configurados no Looker. Ative esses recursos na guia Warehouses na interface do Snowflake.

A guia Warehouses na IU do Snowflake, mostrando as caixas de seleção Autosuspend e Autoresume

Compatibilidade com TDP

Para suporte a tabelas derivadas persistentes, crie uma conta de usuário do Snowflake para PDTs que tenha acesso de gravação ao seu banco de dados e o esquema temporário que o Looker vai usar para criar PDTs. Na página Configurações de conexões do Looker, na seção Tabelas derivadas persistentes (PDTs), ative a opção Ativar PDTs. Em seguida, no campo Banco de dados temporário, insira o nome do esquema temporário que o Looker vai usar para criar TDPs. Em seguida, na seção Substituições de TDP, digite o nome de usuário e a senha do usuário da TDP. Consulte a página de documentação Como conectar o Looker ao banco de dados para mais informações.

As TDPs não são compatíveis com conexões Snowflake que usam OAuth.

Para as conexões do Snowflake, o Looker define o valor do parâmetro AUTOCOMMIT como TRUE, que é o valor padrão do Snowflake. O AUTOCOMMIT é necessário para comandos SQL que o Looker executa para manter o sistema de registro de TDP.

Como configurar o OAuth para conexões do Snowflake

O Looker oferece suporte ao OAuth para conexões do Snowflake, o que significa que cada usuário do Looker se autentica no banco de dados e autoriza a execução de consultas no banco de dados com a própria conta de usuário OAuth.

O OAuth permite que os administradores de bancos de dados executem as seguintes tarefas:

  • Auditar quais usuários do Looker estão executando consultas no banco de dados
  • Aplicar controles de acesso baseados em funções usando permissões no nível do banco de dados
  • Usar tokens OAuth para todos os processos e ações que acessam o banco de dados, em vez de incorporar IDs e senhas de bancos de dados em vários locais
  • Revogar a autorização de um determinado usuário diretamente pelo banco de dados

Com conexões do Snowflake que usam OAuth, os usuários precisam fazer login novamente periodicamente quando os tokens OAuth expirarem. A duração da validade dos tokens OAuth do Snowflake é definida pelo próprio Snowflake.

Observe o seguinte para conexões OAuth no nível do banco de dados:

  • Se um usuário permitir que o token OAuth expire, as programações ou os alertas do Looker vão ser afetados. Para se proteger contra isso, o Looker envia um e-mail de notificação ao proprietário de cada programação e alerta antes que o token OAuth ativo atual expire. O Looker vai enviar esses e-mails de notificação 14, 7 dias e 1 dia antes do token expirar. O usuário pode acessar a página de usuário do Looker para reautorizar o Looker no banco de dados e evitar interrupções nas programações e alertas. Consulte a página de documentação Como personalizar as configurações da conta de usuário para mais detalhes.

  • Como as conexões de banco de dados que usam OAuth são "por usuário", as políticas de armazenamento em cache também são por usuário e não apenas por consulta. Isso significa que, em vez de usar resultados armazenados em cache sempre que a mesma consulta for executada no período de armazenamento em cache, o Looker usará os resultados armazenados em cache somente se o mesmo usuário tiver executado a mesma consulta nesse período. Para mais informações sobre o armazenamento em cache, consulte a página de documentação Consultas de armazenamento em cache.

  • Ao usar o OAuth, não é possível alternar para diferentes papéis na conta de usuário do Snowflake. Conforme descrito na documentação do Snowflake, o Snowflake usa a função padrão da conta do usuário do Snowflake, a menos que a função padrão seja ACCOUNTADMIN ou SECURITYADMIN. Como esses papéis estão bloqueados para OAuth, o Snowflake vai usar o papel PUBLIC. Consulte a documentação do Snowflake para ver mais informações.

  • As tabelas derivadas persistentes (PDTs, na sigla em inglês) não são compatíveis com conexões Snowflake com OAuth.

  • Quando um administrador do Looker executa o sudo como outro usuário, ele usa o token de acesso OAuth desse usuário. Se o token de acesso do usuário tiver expirado, o administrador não poderá criar um novo token em nome do usuário com o sudoed. Consulte a página de documentação Usuários para informações sobre como usar o comando sudo.

Como configurar um banco de dados do Snowflake para OAuth com o Looker

Para criar uma conexão do Snowflake com o Looker usando OAuth, você precisa configurar a integração OAuth no Snowflake. Para isso, é preciso ter uma conta de usuário do Snowflake com a permissão ACCOUNTADMIN.

  1. Execute o seguinte comando no Snowflake, em que <looker_hostname> é o nome do host da instância do Looker:

      CREATE SECURITY INTEGRATION LOOKER
    TYPE = OAUTH
    ENABLED = TRUE
    OAUTH_CLIENT = LOOKER
    OAUTH_REDIRECT_URI = 'https://<looker_hostname>/external_oauth/redirect';

  2. Receba o ID e a chave secreta do cliente OAuth executando o seguinte comando:

      SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('LOOKER');

    A resposta terá um OAUTH_CLIENT_ID e um OAUTH_CLIENT_SECRET que serão necessários mais adiante neste procedimento.

  3. No Looker, crie uma nova conexão com o warehouse do Snowflake, conforme descrito na seção Como criar a conexão do Looker com seu banco de dados desta página. Ao criar a nova conexão, selecione a opção OAuth no campo Autenticação. Quando você seleciona a opção OAuth, o Looker exibe os campos ID do cliente OAuth e Chave secreta do cliente OAuth.

  4. Cole os valores OAUTH_CLIENT_ID e OAUTH_CLIENT_SECRET que você recebeu do banco de dados anteriormente neste procedimento.

  5. Conclua o procedimento restante para Conectar o Looker ao banco de dados.

Depois de configurar a conexão do Looker com seu banco de dados, teste a conexão seguindo um destes procedimentos:

  • Selecione o botão Testar na parte de baixo da página Configurações de conexões, conforme descrito na página de documentação Como conectar o Looker ao banco de dados.
  • Selecione o botão Testar na listagem da conexão na página do administrador Conexões, conforme descrito na página de documentação Conexões.

Além disso, é possível testar a conexão e implantá-la em um modelo seguindo estas etapas:

  1. No Looker, entre no Modo de Desenvolvimento.
  2. Acesse os arquivos de um projeto do Looker que usa sua conexão do Snowflake.
  3. Abra um arquivo de modelo, substitua o valor connection do modelo pelo nome da nova conexão do Snowflake e salve o arquivo.
  4. Abra uma das Análises ou painéis do modelo e execute uma consulta. Quando você tenta executar uma consulta, o Looker pede que você faça login no Snowflake.
  5. Siga as instruções de login do Snowflake e insira suas credenciais.

Depois de fazer login no Snowflake, o Looker retornará sua consulta. Se a consulta for executada corretamente, confirme o novo valor da conexão e implante as alterações na produção.

Como fazer login no Snowflake para executar consultas

Depois que a conexão do Snowflake estiver configurada para OAuth, os usuários precisarão fazer login no Snowflake antes de executar consultas. Isso inclui consultas de Análises, dashboards, Looks e SQL Runner.

A interface do Looker mostrando a solicitação de login do OAuth.

Os usuários também podem fazer login no Snowflake na seção Credenciais de conexão OAuth na página Conta.

Para fazer login na sua conta do Snowflake usando o Looker, siga estas etapas:

Página &quot;Conta&quot; no Looker mostrando a seção &quot;Credenciais de conexão OAuth&quot;.

  1. Clique no menu do usuário do Looker.
  2. Selecione Conta.
  3. Na página Conta, acesse a seção Credenciais de conexão OAuth e selecione o botão Fazer login no banco de dados do Snowflake apropriado.

Se você selecionar Fazer login, uma caixa de diálogo de login do Snowflake será exibida. Insira suas credenciais do Snowflake, selecione Fazer login e Permitir para conceder ao Looker acesso à sua conta do Snowflake.

Depois de fazer login no Snowflake usando o Looker, você pode sair ou autorizar novamente suas credenciais a qualquer momento na página Conta, conforme descrito na página de documentação Como personalizar sua conta de usuário.

Suporte a recursos

Para que o Looker ofereça suporte a alguns recursos, o dialeto do banco de dados também precisa ser compatível com eles.

O Snowflake é compatível com os seguintes recursos a partir do Looker 24.10:

Engenharia de Compatível?
Nível do suporte
Compatível
Looker (Google Cloud Core)
Sim
Agregações simétricas
Sim
Tabelas derivadas
Sim
Tabelas derivadas de SQL persistentes
Sim
Tabelas derivadas nativas nativas
Sim
Visualizações estáveis
Sim
Eliminação de consultas
Sim
Dinâmicas baseadas em SQL
Sim
Fusos horários
Sim
SSL
Sim
Subtotais
Sim
Parâmetros adicionais do JDBC
Sim
Diferenciar maiúsculas e minúsculas
Sim
Tipo de local
Sim
Tipo de lista
Sim
Percentil
Sim
Percentil distinto
No
Processos de exibição do SQL Runner
No
Tabela de descrição do executor do SQL
Sim
Mostrar índices do SQL Runner
No
Seleção do SQL Runner 10
Sim
Contagem de executores do SQL
Sim
Explicação do SQL
Sim
Credenciais OAuth
Sim
Comentários de contexto
Sim
Pool de conexão
Sim
Esboços do HLL
Sim
Agregar reconhecimento
Sim
TDPs incrementais
Sim
Milissegundos
Sim
Microssegundos
Sim
Visualizações materializadas
No
Contagem aproximada diferente
No

Próximas etapas

Depois de conectar seu banco de dados ao Looker, configure as opções de login para os usuários.