Openflow - Snowflake Deployment を設定する:Openflowコネクタの許可ドメインの構成¶

Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.

This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.

外部ドメインへのアクセスを管理するために、2つの可能なワークフローがあります。

Create a new network rule and external access integration: Create a new network rule that defines a list of allowed domain/port combinations and create a new external access integration using the newly created network rule.
Alter an existing network rule: Alter an existing network rule to add a list of allowed domain/port combinations.

Create a network rule granting access to one or more domains¶

To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');

Copy

For example, to allow Snowflake to access googleads.googleapis.com, execute the following.

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');

Copy

For more information, see CREATE NETWORK RULE.

After the network rule is created, a external access integration has to be created.

To create a new integration, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';

Copy

Alter an existing network rule granting access to one or more domains¶

To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');

Copy

For more information, see ALTER NETWORK RULE.

注釈

Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.

If the altered network rule is already associated with an external access integration, it will be updated automatically. If you do not have an external access integration for the altered network rule, refer to the section above for instructions on creating a new integration.

Next steps¶

Associate an external access integration with your runtime:
1. Navigate to the Openflow canvas.
2. Select the Runtimes tab.
3. For the runtime which requires the new external access integration, click the menu.
4. Select External access integrations.
5. Select all required external access integrations from the dropdown list. . Note you may select multiple external access integrations.
6. Click Save.
  
  注釈
  
  Restarting the runtime is not required and the changes are applied immediately.
Deploy a connector in a runtime, for a list of connectors available in Openflow, see Openflowコネクタ.

Openflowコネクタが使用するドメイン¶

The following domains are used by Openflow connectors and require network rules to be granted access.

Amazon広告¶

次のドメインはAmazon広告コネクタによって使用されます。

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
場所をレポートします。例: offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com は、レポートのダウンロードに使用されます。

レポートを作成する前に、レポートの正確な URL の場所が必ずしもわかるとは限りません。Snowflakeは、すべてのs3リージョンのリストを許可することをお勧めします。

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

advertising-api-fe.amazon.com（極東/ APAC）の場合:
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

最後のドメインはレポートから取得され、レポートの取得準備が完了した後に URL が返されます。これは、レポートが保存されるAmazon S3バケットです。お客様は独自の AWS リージョンを指定する必要があります。例: us-east-1 または eu-west-1 と特定のバケット正確なリージョンとバケットを知ることはできないため、Snowflakeはワイルドカードを使用し、指定された場所の可能なすべてのリージョンを一覧表示することをお勧めします。

AWS シークレットマネージャー¶

次のドメインは AWS シークレットマネージャーコネクタで使用されます。

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

次のドメインはBoxコネクタによって使用されます。

api.box.com

box.com

Confluence¶

次のドメインはConfluenceコネクタによって使用されます。

https://company-name.atlassian.net/ などの顧客固有のドメイン名

OAuth の場合、https://atlassian.company-name.com/

Microsoft Dataverse¶

次のドメインはDataverseコネクタで使用されます。

org12345467.crm.dynamics.com などの顧客固有のドメイン名
OAuth の場合、login.microsoftonline.com

Google Ads¶

次のドメインはGoogle広告コネクタで使用されます。

googleads.googleapis.com

Googleドライブ¶

次のドメインはGoogleドライブコネクタで使用されます。

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Googleスプレッドシート¶

次のドメインはGoogleスプレッドシートコネクタで使用されます。

sheets.googleapis.com

Hubspot¶

次のドメインは HubSpot コネクタで使用されます。

api.hubapi.com

Jiraクラウド¶

次のドメインはJiraクラウドコネクタによって使用されます。

顧客固有のドメイン名。例: company-name.atlassian.net
api.atlassian.com

Kafka¶

次のドメインはKafkaコネクタで使用されます。

お客様のKafkaブートストラップサーバーとすべてのKafkaブローカー

Kinesis¶

次のドメインはKinesisコネクタによって使用されます。

AWS リージョンに依存します。例:
us-west-2の場合:
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn 広告¶

次のドメインは LinkedIn 広告コネクタで使用されます。

www.linkedin.com
api.linkedin.com

Meta広告¶

次のドメインはMeta広告コネクタで使用されます。

graph.facebook.com

MySQL¶

次のドメインは MySQL コネクタで使用されます。

お客様固有のドメインとポートの組み合わせ。

PostgreSQL¶

次のドメインは PostgreSQL コネクタで使用されます。

お客様固有のドメインとポートの組み合わせ。

SharePoint¶

次のドメインは SharePoint コネクタで使用されます。

顧客固有のドメイン---例: company-domain.sharepoint.com または company-domain.sharepoint.com にリダイレクトするエイリアス
graph.microsoft.com:80
graph.microsoft.com:443
login.microsoftonline.com

Slack¶

以下のドメインはSlackコネクタで使用されます。

slack.com および api.slack.com

SQL サーバー¶

次のドメインは SQL サーバーコネクタで使用されます。

お客様固有のドメインとポートの組み合わせ。

Workday¶

次のドメインは Workdayコネクタによって使用されます。

Customer-specific domain and port combination. For example, company-domain.tenant.myworkday.com.

ドメインを取得するには、レポート URL を使用できます（ベース URL は常に同じです）