Configuration de Openflow - Snowflake Deployment : Configurer les domaines autorisés pour les connecteurs Openflow¶

Openflow - Snowflake Deployments ont accès aux ressources de domaines externes. Snowflake contrôle l’accès aux domaines externes à l’aide d’une politique réseau afin d’accorder ou de refuser l’accès à des domaines spécifiques.

Cette rubrique décrit le processus de création d’une politique réseau pour accorder l’accès à un domaine spécifique. De plus, les domaines connus utilisés par les connecteurs Openflow sont fournis.

Il existe deux workflows possibles pour gérer l’accès aux domaines externes :

Créer une nouvelle politique réseau : Créez une nouvelle politique réseau qui définit la liste des combinaisons domaine/port autorisées.
Modifier une politique réseau existante : Modifiez une politique réseau existante pour ajouter une liste de combinaisons domaine/port autorisées.

Créer une politique réseau accordant l’accès à un ou plusieurs domaines¶

Pour créer une nouvelle politique réseau qui accorde l’accès à une ou plusieurs combinaisons domaine/port, exécutez une instruction SQL similaire à :

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<domain:port>', '<domain:port>');

Copy

Par exemple, pour permettre à Snowflake d’accéder à googleads.googleapis.com sur le port 443, exécutez ce qui suit.

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('googleads.googleapis.com:443');

Copy

Pour plus d’informations, voir CREATE NETWORK POLICY.

Modifier une politique réseau existante accordant l’accès à un ou plusieurs domaines¶

Pour modifier une politique réseau existante afin d’accorder l’accès à une ou plusieurs combinaisons domaine/port, exécutez une instruction SQL similaire à :

USE ROLE SECURITYADMIN;

ALTER NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<existing domain:port>', <existing domain:port>,
                      'googleads.googleapis.com:443');

Copy

Note

Utilisez SHOW NETWORK POLICIES pour répertorier les politiques réseau existantes. Utilisez DESCRIBE NETWORK POLICY pour décrire les propriétés d’une politique réseau spécifique.

Étape suivante¶

Déployez un connecteur dans un environnement d’exécution. Pour obtenir la liste des connecteurs disponibles dans Openflow, consultez Connecteurs Openflow.

Domaines utilisés par les connecteurs Openflow¶

Les domaines suivants sont utilisés par les connecteurs Openflow et nécessitent l’octroi d’un accès aux politiques réseau.

Amazon Ads¶

Les domaines suivants sont utilisés par le connecteur Amazon Ads.

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
Emplacement des rapports. Par exemple, offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com est utilisé pour télécharger des rapports.

L’emplacement URL exact des rapports n’est pas toujours connu avant la création d’un rapport. Snowflake recommande d’autoriser la liste de toutes les régions s3 :

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

Pour advertising-api-fe.amazon.com (Extrême-Orient / APAC) :
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

Le dernier domaine est obtenu à partir de l’URL du rapport qui est renvoyée une fois que le rapport est prêt à être récupéré. Il s’agit d’un compartiment Amazon S3 dans lequel le rapport est stocké. Les clients devront spécifier leur propre région AWS. Par exemple, us-east-1 ou eu-west-1 et un compartiment spécifique. Comme il peut être impossible de connaître la région et le compartiment exacts, Snowflake suggère d’utiliser des caractères génériques et de répertorier toutes les régions possibles pour un emplacement donné.

AWS Secret Manager¶

Les domaines suivants sont utilisés par le connecteur AWS Secret Manager.

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

Les domaines suivants sont utilisés par le connecteur Box.

api.box.com

box.com

Confluence¶

Les domaines suivants sont utilisés par le connecteur Confluence.

Nom de domaine spécifique au client, tel que https://company-name.atlassian.net/.

Pour OAuth, https://atlassian.company-name.com/

Microsoft Dataverse¶

Les domaines suivants sont utilisés par le connecteur Dataverse.

Nom de domaine spécifique au client, tel que org12345467.crm.dynamics.com.
Pour OAuth, login.microsoftonline.com

Google Ads¶

Les domaines suivants sont utilisés par le connecteur Google Ads.

googleads.googleapis.com:443

Google Drive¶

Les domaines suivants sont utilisés par le connecteur Google Drive.

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Google Sheets¶

Les domaines suivants sont utilisés par le connecteur Google Sheets.

sheets.googleapis.com:443

Hubspot¶

Les domaines suivants sont utilisés par le connecteur HubSpot.

api.hubapi.com

Jira Cloud¶

Les domaines suivants sont utilisés par le connecteur Jira Cloud.

Nom de domaine spécifique au client, tel que company-name.atlassian.net.
api.atlassian.com

Kafka¶

Les domaines suivants sont utilisés par le connecteur Kafka.

Serveurs Kafka Bootstrap du client et tous les brokers Kafka

Kinesis¶

Les domaines suivants sont utilisés par le connecteur Kinesis.

Dépendant de la région AWS. Par exemple :
pour us-west-2 :
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn Ads¶

Les domaines suivants sont utilisés par le connecteur LinkedIn Ads.

www.linkedin.com:443
api.linkedin.com:443

Meta Ads¶

Les domaines suivants sont utilisés par le connecteur Meta Ads.

graph.facebook.com

MySQL¶

Les domaines suivants sont utilisés par le connecteur MySQL.

Combinaison de domaine et de port spécifique au client.

PostgreSQL¶

Les domaines suivants sont utilisés par le connecteur PostgreSQL.

Combinaison de domaine et de port spécifique au client.

SharePoint¶

Les domaines suivants sont utilisés par le connecteur SharePoint.

Domaine spécifique au client, tel que company-domain.sharepoint.com ou un alias qui redirige vers company-domain.sharepoint.com.
graph.microsoft.com et login.microsoftonline.com

Slack¶

Les domaines suivants sont utilisés par le connecteur Slack.

slack.com et api.slack.com

SQL Server¶

Les domaines suivants sont utilisés par le connecteur SQL Server.

Combinaison de domaine et de port spécifique au client.

Workday¶

Les domaines suivants sont utilisés par le connecteur Workday.

Combinaison de domaine et de port spécifique au client. Par exemple, company-domain.tenant.myworkday.com:443.

Pour obtenir le domaine, vous pouvez utiliser l’URL du rapport (l’URL de base étant toujours la même).