Openflow - Snowflake Deployment einrichten: zulässige Domänen für Openflow-Konnektoren konfigurieren¶

Openflow - Snowflake Deployments greifen auf externe Domänenressourcen zu. Snowflake steuert den Zugriff auf externe Domänen über eine Netzwerkrichtlinie, um den Zugriff auf bestimmte Domänen entweder zu gewähren oder zu verweigern.

Unter diesem Thema wird der Prozess der Erstellung einer Netzwerkrichtlinie beschrieben, um Zugriff auf eine bestimmte Domäne zu gewähren. Darüber hinaus werden die bekannten Domänen angegeben, die von Openflow-Konnektoren verwendet werden.

Es gibt zwei mögliche Workflows für die Verwaltung des Zugriffs auf externe Domänen:

Neue Netzwerkrichtlinie erstellen: Erstellen Sie eine neue Netzwerkrichtlinie, die die Liste der zulässigen Kombinationen aus Domäne/Port definiert.
Vorhandene Netzwerkrichtlinie ändern: Ändern Sie eine bestehende Netzwerkrichtlinie, um eine Liste zulässiger Kombinationen aus Domäne/Port hinzuzufügen.

Eine Netzwerkrichtlinie erstellen, die Zugriff auf eine oder mehrere Domänen gewährt¶

Um eine neue Netzwerkrichtlinie zu erstellen, die Zugriff auf eine oder mehrere Kombinationen aus Domäne/Port gewährt, führen Sie eine SQL-Anweisung aus ähnlich wie:

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<domain:port>', '<domain:port>');

Copy

Um Snowflake z. B. Zugriff auf googleads.googleapis.com auf Port 443 zu ermöglichen, führen Sie den folgenden Befehl aus.

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('googleads.googleapis.com:443');

Copy

Weitere Informationen dazu finden Sie unter CREATE NETWORK POLICY.

Bestehende Netzwerkrichtlinie ändern, die Zugriff auf eine oder mehrere Domänen gewährt¶

Um eine bestehende Netzwerkrichtlinie zu ändern und so Zugriff auf eine oder mehrere Kombinationen aus Domäne/Port zu gewähren, führen Sie eine SQL-Anweisung aus ähnlich wie:

USE ROLE SECURITYADMIN;

ALTER NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<existing domain:port>', <existing domain:port>,
                      'googleads.googleapis.com:443');

Copy

Bemerkung

Verwenden Sie SHOW NETWORK POLICIES, um die vorhandenen Netzwerkrichtlinien aufzulisten. Verwenden Sie DESCRIBE NETWORK POLICY, um die Eigenschaften einer bestimmten Netzwerkrichtlinie zu beschreiben.

Nächster Schritt¶

Setzen Sie einen Konnektor in einer Laufzeit ein. Eine Liste der in Openflow verfügbaren Konnektoren finden Sie unter Openflow-Konnektoren.

Domänen, die von Openflow-Konnektoren verwendet werden¶

Die folgenden Domänen werden von Openflow-Konnektoren verwendet und erfordern, dass Netzwerkrichtlinien Zugriff haben.

Amazon Ads¶

Die folgenden Domänen werden vom Amazon Ads-Konnektor verwendet.

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
Speicherort des Berichts. Beispiel: offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com wird zum Herunterladen von Berichten verwendet.

Der genaue URL-Speicherort des Berichts ist vor dem Erstellen eines Berichts nicht immer bekannt. Snowflake empfiehlt, das Auflisten aller S3-Regionen zuzulassen:

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

Für advertising-api-fe.amazon.com (Far East / APAC):
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

Die letzte Domäne wird aus der Berichts-URL ermittelt und wird zurückgegeben, nachdem der Bericht abrufbereit ist. Dies ist ein Amazon S3-Bucket, in dem der Bericht gespeichert wird. Kunden müssen ihre eigene AWS-Region angeben, z. B. us-east-1 oder eu-west-1, und einen bestimmten Bucket. Da es u. U. nicht möglich ist, die genaue Region und den Bucket zu kennen, empfiehlt Snowflake, Platzhalter zu verwenden und alle möglichen Regionen für einen bestimmten Standort aufzulisten.

AWS Secret Manager¶

Die folgenden Domänen werden vom AWS Secret Manager-Konnektor verwendet.

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

Die folgenden Domänen werden vom Box-Konnektor verwendet.

api.box.com

box.com

Confluence¶

Die folgenden Domänen werden vom Confluence-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. https://company-name.atlassian.net/.

Für OAuth: https://atclassian.company-name.com/

Microsoft Dataverse¶

Die folgenden Domänen werden vom Dataverse-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. org12345467.crm.dynamics.com
Für OAuth: login.microsoftonline.com

Google-Anzeigen¶

Die folgenden Domänen werden vom Google Ads-Konnektor verwendet.

googleads.googleapis.com:443

Google Drive¶

Die folgenden Domänen werden vom Google Drive-Konnektor verwendet.

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Google Sheets¶

Die folgenden Domänen werden vom Google Sheets-Konnektor verwendet.

sheets.googleapis.com:443

Hubspot¶

Die folgenden Domänen werden vom HubSpot-Konnektor verwendet.

api.hubapi.com

Jira Cloud¶

Die folgenden Domänen werden vom Jira Cloud-Konnektor verwendet.

Kundenspezifischer Domänenname, z. B. company-name.atlassian.net
api.atlassian.com

Kafka¶

Die folgenden Domänen werden vom Kafka-Konnektor verwendet.

Kafka-Bootstrap-Kundenserver und alle Kafka-Broker

Kinesis¶

Die folgenden Domänen werden vom Kinesis-Konnektor verwendet.

Abhängig von der AWS-Region. Beispiel:
für us-west-2:
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn Ads¶

Die folgenden Domänen werden vom LinkedIn Ads-Konnektor verwendet.

www.linkedin.com:443
api.linkedin.com:443

Meta Ads¶

Die folgenden Domänen werden vom Meta Ads-Konnektor verwendet.

graph.facebook.com

MySQL¶

Die folgenden Domänen werden vom MySQL-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

PostgreSQL¶

Die folgenden Domänen werden vom PostgreSQL-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

SharePoint¶

Die folgenden Domänen werden vom SharePoint-Konnektor verwendet.

Kundenspezifische Domäne, z. B. company-domain.sharepoint.com oder ein Alias, der zu company-domain.sharepoint.com umleitet.
graph.microsoft.com und login.microsoftonline.com

Slack¶

Die folgenden Domänen werden vom Slack-Konnektor verwendet.

slack.com und api.slack.com

SQL Server¶

Die folgenden Domänen werden vom SQL Server-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port.

Workday¶

Die folgenden Domänen werden vom Workday-Konnektor verwendet.

Kundenspezifische Kombination aus Domäne und Port. Beispiel: company-domain.tenant.myworkday.com:443.

Um die Domäne zu erhalten, können Sie die Berichts-URL verwenden (die Basis-URL ist immer gleich).