Configuration de Openflow - Snowflake Deployment : Configurer les domaines autorisés pour les connecteurs Openflow¶

Openflow - Snowflake Deployments ont accès aux ressources de domaines externes. Snowflake contrôle l’accès aux domaines externes à l’aide de règles réseau et d’intégrations d’accès externes pour accorder ou refuser l’accès à des domaines spécifiques.

Cette rubrique décrit le processus de création d’une règle de réseau et de création d’une intégration d’accès externe pour accorder l’accès à un domaine spécifique. De plus, les domaines connus utilisés par les connecteurs Openflow sont fournis.

Il existe deux workflows possibles pour gérer l’accès aux domaines externes :

Créer une nouvelle règle réseau et une intégration d’accès externe : Créez une nouvelle règle réseau qui définit une liste de combinaisons domaine/port autorisées et créez une nouvelle intégration d’accès externe en utilisant la règle réseau nouvellement créée.
Modifier une règle réseau existante : Modifiez une règle réseau existante pour ajouter une liste de combinaisons domaine/port autorisées.

Créer une règle réseau accordant l’accès à un ou plusieurs domaines¶

Pour créer une nouvelle règle réseau qui accorde l’accès à une ou plusieurs combinaisons domaine/port, exécutez une instruction SQL similaire à :

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');

Copy

Par exemple, pour permettre à Snowflake d’accéder à googleads.googleapis.com, exécutez ce qui suit.

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');

Copy

Pour plus d’informations, voir CREATE NETWORK RULE.

Une fois la règle réseau créée, une intégration d’accès externe doit être créée.

Pour créer une nouvelle intégration, exécutez une instruction SQL similaire à :

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';

Copy

Modifier une règle réseau existante accordant l’accès à un ou plusieurs domaines¶

Pour modifier une règle réseau existante afin d’accorder l’accès à une ou plusieurs combinaisons domaine/port, exécutez une instruction SQL similaire à :

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');

Copy

Pour plus d’informations, voir ALTER NETWORK RULE.

Note

Utilisez SHOW NETWORK RULES pour répertorier les règles réseau existantes. . Utilisez DESCRIBE NETWORK RULE pour décrire les propriétés d’une règle réseau spécifique.

Si la règle réseau modifiée est déjà associée à une intégration d’accès externe, elle sera mise à jour automatiquement. Si vous ne disposez pas d’une intégration d’accès externe pour la règle réseau modifiée, reportez-vous à la section ci-dessus pour obtenir des instructions sur la création d’une nouvelle intégration.

Prochaines étapes¶

Associez une intégration d’accès externe à votre environnement d’exécution :
1. Accédez au canevas Openflow.
2. Sélectionnez l’onglet Runtimes.
3. Pour l’environnement d’exécution qui nécessite la nouvelle intégration d’accès externe, cliquez sur le menu .
4. Sélectionnez External access integrations.
5. Sélectionnez toutes les intégrations d’accès externe requises dans la liste déroulante. . Notez que vous pouvez sélectionner plusieurs intégrations d’accès externes.
6. Cliquez sur Save.
  
  Note
  
  Il n’est pas nécessaire de redémarrer l’environnement d’exécution. Les modifications sont appliquées immédiatement.
Déployer un connecteur dans un environnement d’exécution. Pour obtenir la liste des connecteurs disponibles dans Openflow, voir Connecteurs Openflow.

Domaines utilisés par les connecteurs Openflow¶

Les domaines suivants sont utilisés par les connecteurs Openflow et nécessitent l’octroi d’un accès aux règles réseau.

Amazon Ads¶

Les domaines suivants sont utilisés par le connecteur Amazon Ads.

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
Emplacement des rapports. Par exemple, offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com est utilisé pour télécharger des rapports.

L’emplacement URL exact des rapports n’est pas toujours connu avant la création d’un rapport. Snowflake recommande d’autoriser la liste de toutes les régions s3 :

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

Pour advertising-api-fe.amazon.com (Extrême-Orient / APAC) :
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

Le dernier domaine est obtenu à partir de l’URL du rapport qui est renvoyée une fois que le rapport est prêt à être récupéré. Il s’agit d’un compartiment Amazon S3 dans lequel le rapport est stocké. Les clients devront spécifier leur propre région AWS. Par exemple, us-east-1 ou eu-west-1 et un compartiment spécifique. Comme il peut être impossible de connaître la région et le compartiment exacts, Snowflake suggère d’utiliser des caractères génériques et de répertorier toutes les régions possibles pour un emplacement donné.

AWS Secret Manager¶

Les domaines suivants sont utilisés par le connecteur AWS Secret Manager.

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

Les domaines suivants sont utilisés par le connecteur Box.

api.box.com

box.com

Confluence¶

Les domaines suivants sont utilisés par le connecteur Confluence.

Nom de domaine spécifique au client, tel que https://company-name.atlassian.net/.

Pour OAuth, https://atlassian.company-name.com/

Microsoft Dataverse¶

Les domaines suivants sont utilisés par le connecteur Dataverse.

Nom de domaine spécifique au client, tel que org12345467.crm.dynamics.com.
Pour OAuth, login.microsoftonline.com

Google Ads¶

Les domaines suivants sont utilisés par le connecteur Google Ads.

googleads.googleapis.com

Google Drive¶

Les domaines suivants sont utilisés par le connecteur Google Drive.

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Google Sheets¶

Les domaines suivants sont utilisés par le connecteur Google Sheets.

sheets.googleapis.com

Hubspot¶

Les domaines suivants sont utilisés par le connecteur HubSpot.

api.hubapi.com

Jira Cloud¶

Les domaines suivants sont utilisés par le connecteur Jira Cloud.

Nom de domaine spécifique au client, tel que company-name.atlassian.net.
api.atlassian.com

Kafka¶

Les domaines suivants sont utilisés par le connecteur Kafka.

Serveurs Kafka Bootstrap du client et tous les brokers Kafka

Kinesis¶

Les domaines suivants sont utilisés par le connecteur Kinesis.

Dépendant de la région AWS. Par exemple :
pour us-west-2 :
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn Ads¶

Les domaines suivants sont utilisés par le connecteur LinkedIn Ads.

www.linkedin.com
api.linkedin.com

Meta Ads¶

Les domaines suivants sont utilisés par le connecteur Meta Ads.

graph.facebook.com

MySQL¶

Les domaines suivants sont utilisés par le connecteur MySQL.

Combinaison de domaine et de port spécifique au client.

PostgreSQL¶

Les domaines suivants sont utilisés par le connecteur PostgreSQL.

Combinaison de domaine et de port spécifique au client.

SharePoint¶

Les domaines suivants sont utilisés par le connecteur SharePoint.

Domaine spécifique au client, tel que company-domain.sharepoint.com ou un alias qui redirige vers company-domain.sharepoint.com.
graph.microsoft.com:80
graph.microsoft.com:443
login.microsoftonline.com

Slack¶

Les domaines suivants sont utilisés par le connecteur Slack.

slack.com et api.slack.com

SQL Server¶

Les domaines suivants sont utilisés par le connecteur SQL Server.

Combinaison de domaine et de port spécifique au client.

Workday¶

Les domaines suivants sont utilisés par le connecteur Workday.

Combinaison de domaine et de port spécifique au client. Par exemple, company-domain.tenant.myworkday.com.

Pour obtenir le domaine, vous pouvez utiliser l’URL du rapport (l’URL de base étant toujours la même).