Openflow - Snowflake Deployment einrichten: zulässige Domänen für Openflow-Konnektoren konfigurieren¶
Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.
This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.
Es gibt zwei mögliche Workflows für die Verwaltung des Zugriffs auf externe Domänen:
Create a new network rule and external access integration: Create a new network rule that defines a list of allowed domain/port combinations and create a new external access integration using the newly created network rule.
Alter an existing network rule: Alter an existing network rule to add a list of allowed domain/port combinations.
Create a network rule granting access to one or more domains¶
To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('<domain>', '<domain>');
For example, to allow Snowflake to access googleads.googleapis.com, execute the following.
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('googleads.googleapis.com');
For more information, see CREATE NETWORK RULE.
Nachdem die Netzwerkregel erstellt wurde, muss eine Integration für den externen Zugriff erstellt werden.
To create a new integration, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
ENABLED = TRUE
COMMENT = 'External Access Integration for Openflow connectivity';
Alter an existing network rule granting access to one or more domains¶
To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
For more information, see ALTER NETWORK RULE.
Bemerkung
Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.
Wenn die geänderte Netzwerkregel bereits mit einer Integration für den externen Zugriff verknüpft ist, wird sie automatisch aktualisiert. Wenn Sie keine Integration für den externen Zugriff für die geänderte Netzwerkregel haben, finden Sie im obigen Abschnitt eine Anleitung zum Erstellen einer neuen Integration.
Next steps¶
Ordnen Sie Ihrer Laufzeitumgebung eine Integration für den externen Zugriff zu:
Navigieren Sie zur Openflow-Arbeitsoberfläche.
Wählen Sie die Registerkarte Runtimes aus.
Klicken Sie für die Laufzeit, die die neue Integration für den externen Zugriff erfordert, auf das Menü
.Wählen Sie External access integrations aus.
Wählen Sie in der Dropdown-Liste alle erforderlichen Integrationen für den externen Zugriff aus. . Beachten Sie, dass Sie mehrere Integrationen für den externen Zugriff auswählen können.
Klicken Sie auf Save.
Bemerkung
Ein Neustart der Laufzeit ist nicht erforderlich. Die Änderungen werden sofort übernommen.
Deploy a connector in a runtime, for a list of connectors available in Openflow, see Openflow-Konnektoren.
Domänen, die von Openflow-Konnektoren verwendet werden¶
The following domains are used by Openflow connectors and require network rules to be granted access.
Amazon Ads¶
Die folgenden Domänen werden vom Amazon Ads-Konnektor verwendet.
advertising-api.amazon.comadvertising-api-eu.amazon.comadvertising-api-fe.amazon.comapi.amazon.comapi.amazon.co.ukapi.amazon.co.jpSpeicherort des Berichts. Beispiel:
offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.comwird zum Herunterladen von Berichten verwendet.
Der genaue URL-Speicherort des Berichts ist vor dem Erstellen eines Berichts nicht immer bekannt. Snowflake empfiehlt, das Auflisten aller S3-Regionen zuzulassen:
*.s3.eu-west-[1-3].amazonaws.com
*.s3.eu-central-[1-2].amazonaws.com
*.s3.eu-north-1.amazonaws.com
*.s3.eu-south-[1-2].amazonaws.com
*.s3.il-central-1.amazonaws.com
Für advertising-api-fe.amazon.com (Far East / APAC):
*.s3.ap-northeast-[1-3].amazonaws.com*.s3.ap-south-[1-2].amazonaws.com*.s3.ap-southeast-[1-7].amazonaws.com*.s3.ap-east-[1-2].amazonaws.com*.s3.me-south-1.amazonaws.com*.s3.me-central-1.amazonaws.com*.s3.af-south-1.amazonaws.com
Die letzte Domäne wird aus der Berichts-URL ermittelt und wird zurückgegeben, nachdem der Bericht abrufbereit ist. Dies ist ein Amazon S3-Bucket, in dem der Bericht gespeichert wird. Kunden müssen ihre eigene AWS-Region angeben, z. B. us-east-1 oder eu-west-1, und einen bestimmten Bucket. Da es u. U. nicht möglich ist, die genaue Region und den Bucket zu kennen, empfiehlt Snowflake, Platzhalter zu verwenden und alle möglichen Regionen für einen bestimmten Standort aufzulisten.
AWS Secret Manager¶
Die folgenden Domänen werden vom AWS Secret Manager-Konnektor verwendet.
secretsmanager.us-west-2.amazonaws.comsts.us-west-2.amazonaws.comaws.amazon.comamazonaws.com
Box¶
Die folgenden Domänen werden vom Box-Konnektor verwendet.
api.box.com
box.com
Confluence¶
Die folgenden Domänen werden vom Confluence-Konnektor verwendet.
Kundenspezifischer Domänenname, z. B.
https://company-name.atlassian.net/.Für OAuth: https://atclassian.company-name.com/
Microsoft Dataverse¶
Die folgenden Domänen werden vom Dataverse-Konnektor verwendet.
Kundenspezifischer Domänenname, z. B.
org12345467.crm.dynamics.comFür OAuth:
login.microsoftonline.com
Google-Anzeigen¶
Die folgenden Domänen werden vom Google Ads-Konnektor verwendet.
googleads.googleapis.com
Google Drive¶
Die folgenden Domänen werden vom Google Drive-Konnektor verwendet.
drive.google.comwww.googleapis.comoauth2.googleapis.comwww.googleapis.com
Google Sheets¶
Die folgenden Domänen werden vom Google Sheets-Konnektor verwendet.
sheets.googleapis.com
Hubspot¶
Die folgenden Domänen werden vom HubSpot-Konnektor verwendet.
api.hubapi.com
Jira Cloud¶
Die folgenden Domänen werden vom Jira Cloud-Konnektor verwendet.
Kundenspezifischer Domänenname, z. B.
company-name.atlassian.netapi.atlassian.com
Kafka¶
Die folgenden Domänen werden vom Kafka-Konnektor verwendet.
Kafka-Bootstrap-Kundenserver und alle Kafka-Broker
Kinesis¶
Die folgenden Domänen werden vom Kinesis-Konnektor verwendet.
Abhängig von der AWS-Region. Beispiel:
für us-west-2:
kinesis.us-west-2.amazonaws.comkinesis-fips.us-west-2.api.awskinesis-fips.us-west-2.amazonaws.comkinesis.us-west-2.api.aws*.control-kinesis.us-west-2.amazonaws.com*.control-kinesis.us-west-2.api.aws*.data-kinesis.us-west-2.amazonaws.com*.data-kinesis.us-west-2.api.awsdynamodb.us-west-2.amazonaws.commonitoring.us-west-2.amazonaws.com:80monitoring.us-west-2.amazonaws.com:443monitoring-fips.us-west-2.amazonaws.com:80monitoring-fips.us-west-2.amazonaws.com:443monitoring.us-west-2.api.aws:80monitoring.us-west-2.api.aws:443
LinkedIn Ads¶
Die folgenden Domänen werden vom LinkedIn Ads-Konnektor verwendet.
www.linkedin.comapi.linkedin.com
Meta Ads¶
Die folgenden Domänen werden vom Meta Ads-Konnektor verwendet.
graph.facebook.com
MySQL¶
Die folgenden Domänen werden vom MySQL-Konnektor verwendet.
Kundenspezifische Kombination aus Domäne und Port.
PostgreSQL¶
Die folgenden Domänen werden vom PostgreSQL-Konnektor verwendet.
Kundenspezifische Kombination aus Domäne und Port.
Slack¶
Die folgenden Domänen werden vom Slack-Konnektor verwendet.
slack.comundapi.slack.com
SQL Server¶
Die folgenden Domänen werden vom SQL Server-Konnektor verwendet.
Kundenspezifische Kombination aus Domäne und Port.
Workday¶
Die folgenden Domänen werden vom Workday-Konnektor verwendet.
Customer-specific domain and port combination. For example,
company-domain.tenant.myworkday.com.Um die Domäne zu erhalten, können Sie die Berichts-URL verwenden (die Basis-URL ist immer gleich).