Openflow - Snowflake Deployment einrichten: zulässige Domänen für Openflow-Konnektoren konfigurieren¶

Openflow - Snowflake Deployments greifen auf externe Domänenressourcen zu. Snowflake steuert den Zugriff auf externe Domänen über Netzwerkrichtlinien und Integrationen für den externen Zugriff, um den Zugriff auf bestimmte Domänen entweder zu gewähren oder zu verweigern.

Unter diesem Thema wird der Prozess der Erstellung einer Netzwerkregel und der Erstellung einer Integration für den externen Zugriff für die Gewährung des Zugriffs auf eine bestimmte Domäne beschrieben. Darüber hinaus werden die bekannten Domänen angegeben, die von Openflow-Konnektoren verwendet werden.

Es gibt zwei mögliche Workflows für die Verwaltung des Zugriffs auf externe Domänen:

Netzwerkregel für die Integration für den externen Zugriff erstellen: Erstellen Sie eine neue Netzwerkregel, die eine Liste zulässiger Kombinationen von Domänen und Ports definiert, und erstellen Sie eine neue Integration für den externen Zugriff unter Verwendung der neu erstellten Netzwerkregel.
Vorhandene Netzwerkregel ändern: Ändern Sie eine bestehende Netzwerkrichtlinie, um eine Liste zulässiger Kombinationen von Domänen und Ports hinzuzufügen.

Eine Netzwerkregel erstellen, die Zugriff auf eine oder mehrere Domänen gewährt¶

Um eine neue Netzwerkregel zu erstellen, die Zugriff auf eine oder mehrere Kombinationen aus Domäne/Port gewährt, führen Sie eine SQL-Anweisung aus ähnlich wie:

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');

Copy

Um Snowflake z. B. Zugriff auf googleads.googleapis.com zu ermöglichen, führen Sie den folgenden Befehl aus.

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');

Copy

Weitere Informationen dazu finden Sie unter CREATE NETWORK RULE.

Nachdem die Netzwerkregel erstellt wurde, muss eine Integration für den externen Zugriff erstellt werden.

Um eine neue Integration zu erstellen, führen Sie eine SQL-Anweisung ähnlich wie die folgende aus:

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';

Copy

Bestehende Netzwerkregel ändern, die Zugriff auf eine oder mehrere Domänen gewährt¶

Um eine bestehende Netzwerkregel zu ändern und so Zugriff auf eine oder mehrere Kombinationen aus Domänen und Ports zu gewähren, führen Sie eine SQL-Anweisung aus ähnlich wie:

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');

Copy

Weitere Informationen dazu finden Sie unter ALTER NETWORK RULE.

Bemerkung

Verwenden Sie SHOW NETWORK RULES, um die vorhandenen Netzwerkregeln aufzulisten. .`Verwenden Sie :doc:/sql-reference/sql/desc-network-rule`, um die Eigenschaften einer bestimmten Netzwerkregel zu beschreiben.

Wenn die geänderte Netzwerkregel bereits mit einer Integration für den externen Zugriff verknüpft ist, wird sie automatisch aktualisiert. Wenn Sie keine Integration für den externen Zugriff für die geänderte Netzwerkregel haben, finden Sie im obigen Abschnitt eine Anleitung zum Erstellen einer neuen Integration.

Nächste Schritte¶

Ordnen Sie Ihrer Laufzeitumgebung eine Integration für den externen Zugriff zu:
1. Navigieren Sie zur Openflow-Arbeitsoberfläche.
2. Wählen Sie die Registerkarte Runtimes aus.
3. Klicken Sie für die Laufzeit, die die neue Integration für den externen Zugriff erfordert, auf das Menü .
4. Wählen Sie External access integrations aus.
5. Wählen Sie in der Dropdown-Liste alle erforderlichen Integrationen für den externen Zugriff aus. . Beachten Sie, dass Sie mehrere Integrationen für den externen Zugriff auswählen können.
6. Klicken Sie auf Save.
  
  Bemerkung
  
  Ein Neustart der Laufzeit ist nicht erforderlich. Die Änderungen werden sofort übernommen.
Stellen Sie einen Konnektor in einer Laufzeit bereit. Eine Liste der in Openflow verfügbaren Konnektoren finden Sie unter Openflow-Konnektoren.

Domänen, die von Openflow-Konnektoren verwendet werden¶

Die folgenden Domänen werden von Openflow-Konnektoren verwendet und erfordern Zugriff für die Netzwerkregeln.

Amazon Ads¶

Die folgenden Domänen werden vom Amazon Ads-Konnektor verwendet.

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
Speicherort des Berichts. Beispiel: offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com wird zum Herunterladen von Berichten verwendet.

Der genaue URL-Speicherort des Berichts ist vor dem Erstellen eines Berichts nicht immer bekannt. Snowflake empfiehlt, das Auflisten aller S3-Regionen zuzulassen:

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

Für advertising-api-fe.amazon.com (Far East / APAC):
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

Die letzte Domäne wird aus der Berichts-URL ermittelt und wird zurückgegeben, nachdem der Bericht abrufbereit ist. Dies ist ein Amazon S3-Bucket, in dem der Bericht gespeichert wird. Kunden müssen ihre eigene AWS-Region angeben, z. B. us-east-1 oder eu-west-1, und einen bestimmten Bucket. Da es u. U. nicht möglich ist, die genaue Region und den Bucket zu kennen, empfiehlt Snowflake, Platzhalter zu verwenden und alle möglichen Regionen für einen bestimmten Standort aufzulisten.

AWS Secret Manager¶

Die folgenden Domänen werden vom AWS Secret Manager-Konnektor verwendet.

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

Die folgenden Domänen werden vom Box-Konnektor verwendet.

api.box.com

box.com

Confluence¶

Die folgenden Domänen werden vom Confluence-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. https://company-name.atlassian.net/.

Für OAuth: https://atclassian.company-name.com/

Microsoft Dataverse¶

Die folgenden Domänen werden vom Dataverse-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. org12345467.crm.dynamics.com
Für OAuth: login.microsoftonline.com

Google-Anzeigen¶

Die folgenden Domänen werden vom Google Ads-Konnektor verwendet.

googleads.googleapis.com

Google Drive¶

Die folgenden Domänen werden vom Google Drive-Konnektor verwendet.

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Google Sheets¶

Die folgenden Domänen werden vom Google Sheets-Konnektor verwendet.

sheets.googleapis.com

Hubspot¶

Die folgenden Domänen werden vom HubSpot-Konnektor verwendet.

api.hubapi.com

Jira Cloud¶

Die folgenden Domänen werden vom Jira Cloud-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. company-name.atlassian.net
api.atlassian.com

Kafka¶

Die folgenden Domänen werden vom Kafka-Konnektor verwendet.

Kafka-Bootstrap-Kundenserver und alle Kafka-Broker

Kinesis¶

Die folgenden Domänen werden vom Kinesis-Konnektor verwendet.

Abhängig von der AWS-Region. Beispiel:
für us-west-2:
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn Ads¶

Die folgenden Domänen werden vom LinkedIn Ads-Konnektor verwendet.

www.linkedin.com
api.linkedin.com

Meta Ads¶

Die folgenden Domänen werden vom Meta Ads-Konnektor verwendet.

graph.facebook.com

MySQL¶

Die folgenden Domänen werden vom MySQL-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

PostgreSQL¶

Die folgenden Domänen werden vom PostgreSQL-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

SharePoint¶

Die folgenden Domänen werden vom SharePoint-Konnektor verwendet.

Kundenspezifische Domäne, z. B. company-domain.sharepoint.com oder ein Alias, der zu company-domain.sharepoint.com umleitet.
graph.microsoft.com:80
graph.microsoft.com:443
login.microsoftonline.com

Slack¶

Die folgenden Domänen werden vom Slack-Konnektor verwendet.

slack.com und api.slack.com

SQL Server¶

Die folgenden Domänen werden vom SQL Server-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

Workday¶

Die folgenden Domänen werden vom Workday-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port. Beispiel: company-domain.tenant.myworkday.com.

Um die Domäne zu erhalten, können Sie die Berichts-URL verwenden (die Basis-URL ist immer gleich).