Snowflake、カタログ払い出し認証情報向けプライベート接続を一般提供

Snowflake は 2026年6月2日、Apache Icebergテーブルでカタログ払い出し認証情報を使う場合のプライベート接続を一般提供にしたと案内しました。Snowflakeがクラウドストレージへアクセスする経路を、パブリックインターネットではなくプライベートエンドポイントに寄せられる更新です。

要点

• カタログ払い出し認証情報向けプライベート接続が一般提供になった
• Apache Icebergテーブルで、Snowflakeからクラウドストレージへプライベートエンドポイント経由でアクセスできる
• カタログ連携の DEFAULT_STORAGE_CONFIG で USE_PRIVATELINK_ENDPOINT = TRUE を設定して有効化する
• AWS PrivateLink と Azure Private Link がサポート対象
• 外部カタログ、Iceberg、ネットワーク境界、認証情報管理に関係する

今回のリリースノートで語られていること

カタログ払い出し認証情報は、Icebergテーブルのストレージアクセスに必要な認証情報をカタログ側から払い出す仕組みです。複数のクエリエンジンやサービスが同じIcebergテーブルへアクセスする場合、長期的な認証情報を各所に配るのではなく、カタログを通じて必要な認証情報を取得する設計が重要になります。今回の更新は、この認証情報を使ったストレージアクセスをプライベートエンドポイント経由にできる点が主眼です。

公式リリースノートでは、カタログ払い出し認証情報を使うApache Icebergテーブルに対して、アウトバウンドのプライベート接続を構成できるようになったと説明されています。これにより、Snowflakeがクラウドストレージへパブリックインターネットではなくプライベートエンドポイントを通じてアクセスできます。有効化は、カタログ連携の DEFAULT_STORAGE_CONFIG パラメータで USE_PRIVATELINK_ENDPOINT = TRUE を設定する形です。

サポート対象は、AWS PrivateLink と Azure Private Link です。つまり、AWSやAzure上でIcebergテーブル、外部カタログ、Snowflakeを組み合わせる組織にとって、ネットワーク境界をより厳密に設計するための選択肢になります。クラウドストレージへの通信経路をプライベートに寄せられることは、規制対応、セキュリティレビュー、データ境界、監査説明の観点で意味があります。

この更新は、BigLake Metastore連携やSnowflakeストレージ for Icebergテーブルと同じく、Snowflakeのオープンレイクハウス戦略を支える実装面の一つです。Icebergを本番利用する場合、テーブル形式だけでなく、カタログ、認証情報、ネットワーク、ログ、権限、コストをまとめて設計する必要があります。プライベート接続の一般提供は、その中でもネットワーク統制と認証情報管理を本番水準に近づけるための更新です。

実務で確認したいポイント

カタログ払い出し認証情報を使う予定のチームは、既存のカタログ連携、ストレージアクセス設定、プライベートエンドポイント、VPC/VNet、DNS、ネットワークポリシーを確認してください。USE_PRIVATELINK_ENDPOINT = TRUE を有効化するだけでなく、Snowflakeから対象ストレージへプライベート経路で到達できるか、監査ログ上で期待通りに見えるかを検証する必要があります。

また、AWS PrivateLink と Azure Private Link が対象であるため、Google Cloud構成やその他リージョンで同じ前提を置かないよう注意が必要です。既存のpublic エンドポイント経由アクセスから切り替える場合は、接続失敗時の切り戻し、権限、コスト、レイテンシも確認したいところです。

結局、この更新をどう見るべきか

カタログ払い出し認証情報向けプライベート接続の一般提供は、IcebergをSnowflakeと外部カタログで本番運用する際のネットワーク統制を強める更新です。オープンテーブル形式を使いながら、通信経路と認証情報の扱いを厳密にしたいチームにとって重要です。