Openflow - Snowflake Deployment を設定する:Openflowコネクタの許可ドメインの構成

Openflow - Snowflake Deployments 外部ドメインリソースにアクセスする。Snowflakeは、 ネットワークルール および 外部アクセス統合 を使用して外部ドメインへのアクセスを制御し、特定のドメインへのアクセスを許可または拒否します。

このトピックでは、特定のドメインへのアクセスを許可する ネットワークルールの作成 および 外部アクセス統合の作成 プロセスについて説明します。さらに、Openflowコネクタで使用される既知のドメインも提供されます。

外部ドメインへのアクセスを管理するために、2つの可能なワークフローがあります。

1つ以上のドメインへのアクセスを許可するネットワークルールアクセスを作成する

1つ以上のドメインとポートの組み合わせへのアクセスを許可する新しいネットワークルールを作成するには、次のような SQL ステートメントを実行します。

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');
Copy

たとえば、Snowflakeが googleads.googleapis.com にアクセスできるようにするには、次を実行します。

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');
Copy

詳細については、 CREATE NETWORK RULE をご参照ください。

ネットワークルールの作成後、外部アクセス統合を作成する必要があります。

新しい統合を作成するには、次のような SQL ステートメントを実行します。

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';
Copy

1つ以上のドメインへのアクセスを許可する既存のネットワークルールを変更する

既存のネットワークルールを変更して、1つ以上のドメイン/ポートの組み合わせへのアクセスを許可するには、次のような SQL ステートメントを実行します。

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
Copy

詳細については、 ALTER NETWORK RULE をご参照ください。

注釈

SHOW NETWORK RULES を使用して既存のネットワークルールを一覧表示します。.DESCRIBE NETWORK RULE を使用して特定のネットワークルールのプロパティを説明します。

変更されたネットワークルールがすでに外部アクセス統合に関連付けられている場合は、自動的に更新されます。変更されたネットワークルールに外部アクセス統合がない場合は、上記のセクションで新しい統合を作成する手順を参照してください。

次のステップ

  1. 外部アクセス統合をランタイムに関連付けます。

    1. Openflowキャンバスに移動します。

    2. Runtimes タブを選択します。

    3. 新しい外部アクセス統合を必要とするランタイムの場合は、 垂直のもっと見るアイコン メニューをクリックします。

    4. External access integrations を選択します。

    5. ドロップダウンリストから、必要な外部アクセス統合をすべて選択します。. 複数の外部アクセス統合を選択できることに注意してください。

    6. Save をクリックします。

      注釈

      ランタイムを再起動する必要はなく、変更はすぐに適用されます。

  2. ランタイムにコネクタをデプロイします。Openflowで利用可能なコネクタのリストについては、 Openflowコネクタ をご参照ください。

Openflowコネクタが使用するドメイン

次のドメインはOpenflowコネクタによって使用され、アクセスを許可するためにネットワークルールが必要です。

Amazon広告

次のドメインはAmazon広告コネクタによって使用されます。

  • advertising-api.amazon.com

  • advertising-api-eu.amazon.com

  • advertising-api-fe.amazon.com

  • api.amazon.com

  • api.amazon.co.uk

  • api.amazon.co.jp

  • 場所をレポートします。例: offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com は、レポートのダウンロードに使用されます。

レポートを作成する前に、レポートの正確な URL の場所が必ずしもわかるとは限りません。Snowflakeは、すべてのs3リージョンのリストを許可することをお勧めします。

  • *.s3.eu-west-[1-3].amazonaws.com

  • *.s3.eu-central-[1-2].amazonaws.com

  • *.s3.eu-north-1.amazonaws.com

  • *.s3.eu-south-[1-2].amazonaws.com

  • *.s3.il-central-1.amazonaws.com

  • advertising-api-fe.amazon.com(極東/ APAC)の場合:

    • *.s3.ap-northeast-[1-3].amazonaws.com

    • *.s3.ap-south-[1-2].amazonaws.com

    • *.s3.ap-southeast-[1-7].amazonaws.com

    • *.s3.ap-east-[1-2].amazonaws.com

    • *.s3.me-south-1.amazonaws.com

    • *.s3.me-central-1.amazonaws.com

    • *.s3.af-south-1.amazonaws.com

最後のドメインはレポートから取得され、レポートの取得準備が完了した後に URL が返されます。これは、レポートが保存されるAmazon S3バケットです。お客様は独自の AWS リージョンを指定する必要があります。例: us-east-1 または eu-west-1 と特定の バケット正確なリージョンとバケットを知ることはできないため、Snowflakeはワイルドカードを使用し、指定された場所の可能なすべてのリージョンを一覧表示することをお勧めします。

AWS シークレットマネージャー

次のドメインは AWS シークレットマネージャーコネクタで使用されます。

  • secretsmanager.us-west-2.amazonaws.com

  • sts.us-west-2.amazonaws.com

  • aws.amazon.com

  • amazonaws.com

Box

次のドメインはBoxコネクタによって使用されます。

  • api.box.com

  • box.com

Confluence

次のドメインはConfluenceコネクタによって使用されます。

Microsoft Dataverse

次のドメインはDataverseコネクタで使用されます。

  • org12345467.crm.dynamics.com などの顧客固有のドメイン名

  • OAuth の場合、login.microsoftonline.com

Googleドライブ

次のドメインはGoogleドライブコネクタで使用されます。

  • drive.google.com

  • www.googleapis.com

  • oauth2.googleapis.com

  • www.googleapis.com

Googleスプレッドシート

次のドメインはGoogleスプレッドシートコネクタで使用されます。

  • sheets.googleapis.com

Hubspot

次のドメインは HubSpot コネクタで使用されます。

  • api.hubapi.com

Jiraクラウド

次のドメインはJiraクラウドコネクタによって使用されます。

  • 顧客固有のドメイン名。例: company-name.atlassian.net

  • api.atlassian.com

Kafka

次のドメインはKafkaコネクタで使用されます。

  • お客様のKafkaブートストラップサーバーとすべてのKafkaブローカー

Kinesis

次のドメインはKinesisコネクタによって使用されます。

  • AWS リージョンに依存します。 例:

    us-west-2の場合:

    • kinesis.us-west-2.amazonaws.com

    • kinesis-fips.us-west-2.api.aws

    • kinesis-fips.us-west-2.amazonaws.com

    • kinesis.us-west-2.api.aws

    • *.control-kinesis.us-west-2.amazonaws.com

    • *.control-kinesis.us-west-2.api.aws

    • *.data-kinesis.us-west-2.amazonaws.com

    • *.data-kinesis.us-west-2.api.aws

    • dynamodb.us-west-2.amazonaws.com

    • monitoring.us-west-2.amazonaws.com:80

    • monitoring.us-west-2.amazonaws.com:443

    • monitoring-fips.us-west-2.amazonaws.com:80

    • monitoring-fips.us-west-2.amazonaws.com:443

    • monitoring.us-west-2.api.aws:80

    • monitoring.us-west-2.api.aws:443

LinkedIn 広告

次のドメインは LinkedIn 広告コネクタで使用されます。

  • www.linkedin.com

  • api.linkedin.com

Meta広告

次のドメインはMeta広告コネクタで使用されます。

  • graph.facebook.com

MySQL

次のドメインは MySQL コネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

PostgreSQL

次のドメインは PostgreSQL コネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

SharePoint

次のドメインは SharePoint コネクタで使用されます。

  • 顧客固有のドメイン---例: company-domain.sharepoint.com または company-domain.sharepoint.com にリダイレクトするエイリアス

  • graph.microsoft.com:80

  • graph.microsoft.com:443

  • login.microsoftonline.com

Slack

以下のドメインはSlackコネクタで使用されます。

  • slack.com

  • api.slack.com

  • hooks.slack.com

  • files.slack.com

  • wss-primary.slack.com

  • wss-backup.slack.com

SQL サーバー

次のドメインは SQL サーバーコネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

Workday

次のドメインは Workdayコネクタ によって使用されます。

  • お客様固有のドメインとポートの組み合わせ。例: company-domain.tenant.myworkday.com

    ドメインを取得するには、レポート URL を使用できます(ベース URL は常に同じです)