Configuration de Openflow - Snowflake Deployment : Configurer les domaines autorisés pour les connecteurs Openflow

Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.

This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.

Il existe deux workflows possibles pour gérer l’accès aux domaines externes :

Create a network rule granting access to one or more domains

To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');
Copy

For example, to allow Snowflake to access googleads.googleapis.com, execute the following.

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');
Copy

For more information, see CREATE NETWORK RULE.

After the network rule is created, a external access integration has to be created.

To create a new integration, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';
Copy

Alter an existing network rule granting access to one or more domains

To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
Copy

For more information, see ALTER NETWORK RULE.

Note

Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.

If the altered network rule is already associated with an external access integration, it will be updated automatically. If you do not have an external access integration for the altered network rule, refer to the section above for instructions on creating a new integration.

Next steps

  1. Associate an external access integration with your runtime:

    1. Navigate to the Openflow canvas.

    2. Select the Runtimes tab.

    3. For the runtime which requires the new external access integration, click the Vertical more icon menu.

    4. Select External access integrations.

    5. Select all required external access integrations from the dropdown list. . Note you may select multiple external access integrations.

    6. Click Save.

      Note

      Restarting the runtime is not required and the changes are applied immediately.

  2. Deploy a connector in a runtime, for a list of connectors available in Openflow, see Connecteurs Openflow.

Domaines utilisés par les connecteurs Openflow

The following domains are used by Openflow connectors and require network rules to be granted access.

Amazon Ads

Les domaines suivants sont utilisés par le connecteur Amazon Ads.

  • advertising-api.amazon.com

  • advertising-api-eu.amazon.com

  • advertising-api-fe.amazon.com

  • api.amazon.com

  • api.amazon.co.uk

  • api.amazon.co.jp

  • Emplacement des rapports. Par exemple, offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com est utilisé pour télécharger des rapports.

L’emplacement URL exact des rapports n’est pas toujours connu avant la création d’un rapport. Snowflake recommande d’autoriser la liste de toutes les régions s3 :

  • *.s3.eu-west-[1-3].amazonaws.com

  • *.s3.eu-central-[1-2].amazonaws.com

  • *.s3.eu-north-1.amazonaws.com

  • *.s3.eu-south-[1-2].amazonaws.com

  • *.s3.il-central-1.amazonaws.com

  • Pour advertising-api-fe.amazon.com (Extrême-Orient / APAC) :

    • *.s3.ap-northeast-[1-3].amazonaws.com

    • *.s3.ap-south-[1-2].amazonaws.com

    • *.s3.ap-southeast-[1-7].amazonaws.com

    • *.s3.ap-east-[1-2].amazonaws.com

    • *.s3.me-south-1.amazonaws.com

    • *.s3.me-central-1.amazonaws.com

    • *.s3.af-south-1.amazonaws.com

Le dernier domaine est obtenu à partir de l’URL du rapport qui est renvoyée une fois que le rapport est prêt à être récupéré. Il s’agit d’un compartiment Amazon S3 dans lequel le rapport est stocké. Les clients devront spécifier leur propre région AWS. Par exemple, us-east-1 ou eu-west-1 et un compartiment spécifique. Comme il peut être impossible de connaître la région et le compartiment exacts, Snowflake suggère d’utiliser des caractères génériques et de répertorier toutes les régions possibles pour un emplacement donné.

AWS Secret Manager

Les domaines suivants sont utilisés par le connecteur AWS Secret Manager.

  • secretsmanager.us-west-2.amazonaws.com

  • sts.us-west-2.amazonaws.com

  • aws.amazon.com

  • amazonaws.com

Box

Les domaines suivants sont utilisés par le connecteur Box.

  • api.box.com

  • box.com

Confluence

Les domaines suivants sont utilisés par le connecteur Confluence.

Microsoft Dataverse

Les domaines suivants sont utilisés par le connecteur Dataverse.

  • Nom de domaine spécifique au client, tel que org12345467.crm.dynamics.com.

  • Pour OAuth, login.microsoftonline.com

Google Drive

Les domaines suivants sont utilisés par le connecteur Google Drive.

  • drive.google.com

  • www.googleapis.com

  • oauth2.googleapis.com

  • www.googleapis.com

Google Sheets

Les domaines suivants sont utilisés par le connecteur Google Sheets.

  • sheets.googleapis.com

Hubspot

Les domaines suivants sont utilisés par le connecteur HubSpot.

  • api.hubapi.com

Jira Cloud

Les domaines suivants sont utilisés par le connecteur Jira Cloud.

  • Nom de domaine spécifique au client, tel que company-name.atlassian.net.

  • api.atlassian.com

Kafka

Les domaines suivants sont utilisés par le connecteur Kafka.

  • Serveurs Kafka Bootstrap du client et tous les brokers Kafka

Kinesis

Les domaines suivants sont utilisés par le connecteur Kinesis.

  • Dépendant de la région AWS. Par exemple :

    pour us-west-2 :

    • kinesis.us-west-2.amazonaws.com

    • kinesis-fips.us-west-2.api.aws

    • kinesis-fips.us-west-2.amazonaws.com

    • kinesis.us-west-2.api.aws

    • *.control-kinesis.us-west-2.amazonaws.com

    • *.control-kinesis.us-west-2.api.aws

    • *.data-kinesis.us-west-2.amazonaws.com

    • *.data-kinesis.us-west-2.api.aws

    • dynamodb.us-west-2.amazonaws.com

    • monitoring.us-west-2.amazonaws.com:80

    • monitoring.us-west-2.amazonaws.com:443

    • monitoring-fips.us-west-2.amazonaws.com:80

    • monitoring-fips.us-west-2.amazonaws.com:443

    • monitoring.us-west-2.api.aws:80

    • monitoring.us-west-2.api.aws:443

LinkedIn Ads

Les domaines suivants sont utilisés par le connecteur LinkedIn Ads.

  • www.linkedin.com

  • api.linkedin.com

Meta Ads

Les domaines suivants sont utilisés par le connecteur Meta Ads.

  • graph.facebook.com

MySQL

Les domaines suivants sont utilisés par le connecteur MySQL.

  • Combinaison de domaine et de port spécifique au client.

PostgreSQL

Les domaines suivants sont utilisés par le connecteur PostgreSQL.

  • Combinaison de domaine et de port spécifique au client.

SharePoint

Les domaines suivants sont utilisés par le connecteur SharePoint.

  • Domaine spécifique au client, tel que company-domain.sharepoint.com ou un alias qui redirige vers company-domain.sharepoint.com.

  • graph.microsoft.com:80

  • graph.microsoft.com:443

  • login.microsoftonline.com

Slack

Les domaines suivants sont utilisés par le connecteur Slack.

  • slack.com et api.slack.com

SQL Server

Les domaines suivants sont utilisés par le connecteur SQL Server.

  • Combinaison de domaine et de port spécifique au client.

Workday

Les domaines suivants sont utilisés par le connecteur Workday.

  • Customer-specific domain and port combination. For example, company-domain.tenant.myworkday.com.

    Pour obtenir le domaine, vous pouvez utiliser l’URL du rapport (l’URL de base étant toujours la même).

Langage: Français