Openflow - Snowflake Deployment を設定する:Openflowコネクタの許可ドメインの構成

Openflow - Snowflake Deployments 外部ドメインリソースにアクセスする。Snowflakeは、ネットワークポリシー を使用して外部ドメインへのアクセスを制御し、特定のドメインへのアクセスを許可または拒否します。

このトピックでは、特定のドメインへのアクセスを許可する ネットワークポリシーの作成 プロセスについて説明します。さらに、Openflowコネクタで使用される既知のドメインも提供されます。

外部ドメインへのアクセスを管理するために、2つの可能なワークフローがあります。

  • :ref:`新しいネットワークポリシーの作成<label-openflow_create_new_network_policy_grant_domain_access>`許可されるドメイン/ポートの組み合わせのリストを定義する新しいネットワークポリシーを作成します。

  • :ref:`既存のネットワークポリシーの変更<label-openflow_alter_existing_network_policy_grant_domain_access>`既存のネットワークポリシーを変更して、許可されたドメイン/ポートの組み合わせのリストを追加します。

1つ以上のドメインへのアクセスを許可するネットワークポリシーを作成する

1つ以上のドメインとポートの組み合わせへのアクセスを許可する新しいネットワークポリシーを作成するには、次のような SQL ステートメントを実行します。

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<domain:port>', '<domain:port>');
Copy

たとえば、Snowflakeが 443 ポートにおける googleads.googleapis.com にアクセスできるようにするには、次を実行します。

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('googleads.googleapis.com:443');
Copy

詳細については、 CREATE NETWORK POLICY をご参照ください。

1つ以上のドメインへのアクセスを許可する既存のネットワークポリシーを変更する

既存のネットワークポリシーを変更して、1つ以上のドメイン/ポートの組み合わせへのアクセスを許可するには、次のような SQL ステートメントを実行します。

USE ROLE SECURITYADMIN;

ALTER NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<existing domain:port>', <existing domain:port>,
                      'googleads.googleapis.com:443');
Copy

注釈

SHOW NETWORK POLICIES を使用して既存のネットワークポリシーを一覧表示します。DESCRIBE NETWORK POLICY を使用して特定のネットワークポリシーのプロパティを説明します。

次のステップ

ランタイムにコネクタをデプロイします。Openflow で利用可能なコネクタのリストについては、 Openflowコネクタ をご参照ください。

Openflowコネクタが使用するドメイン

次のドメインはOpenflowコネクタによって使用され、アクセスを許可するためにネットワークポリシーが必要です。

Amazon広告

次のドメインはAmazon広告コネクタによって使用されます。

  • advertising-api.amazon.com

  • advertising-api-eu.amazon.com

  • advertising-api-fe.amazon.com

  • api.amazon.com

  • api.amazon.co.uk

  • api.amazon.co.jp

  • 場所をレポートします。例: offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com は、レポートのダウンロードに使用されます。

レポートを作成する前に、レポートの正確な URL の場所が必ずしもわかるとは限りません。Snowflakeは、すべてのs3リージョンのリストを許可することをお勧めします。

  • *.s3.eu-west-[1-3].amazonaws.com

  • *.s3.eu-central-[1-2].amazonaws.com

  • *.s3.eu-north-1.amazonaws.com

  • *.s3.eu-south-[1-2].amazonaws.com

  • *.s3.il-central-1.amazonaws.com

  • advertising-api-fe.amazon.com(極東/ APAC)の場合:

    • *.s3.ap-northeast-[1-3].amazonaws.com

    • *.s3.ap-south-[1-2].amazonaws.com

    • *.s3.ap-southeast-[1-7].amazonaws.com

    • *.s3.ap-east-[1-2].amazonaws.com

    • *.s3.me-south-1.amazonaws.com

    • *.s3.me-central-1.amazonaws.com

    • *.s3.af-south-1.amazonaws.com

最後のドメインはレポートから取得され、レポートの取得準備が完了した後に URL が返されます。これは、レポートが保存されるAmazon S3バケットです。お客様は独自の AWS リージョンを指定する必要があります。例: us-east-1 または eu-west-1 と特定の バケット正確なリージョンとバケットを知ることはできないため、Snowflakeはワイルドカードを使用し、指定された場所の可能なすべてのリージョンを一覧表示することをお勧めします。

AWS シークレットマネージャー

次のドメインは AWS シークレットマネージャーコネクタで使用されます。

  • secretsmanager.us-west-2.amazonaws.com

  • sts.us-west-2.amazonaws.com

  • aws.amazon.com

  • amazonaws.com

Box

次のドメインはBoxコネクタによって使用されます。

  • api.box.com

  • box.com

Confluence

次のドメインはConfluenceコネクタによって使用されます。

Microsoft Dataverse

次のドメインはDataverseコネクタで使用されます。

  • org12345467.crm.dynamics.com などの顧客固有のドメイン名

  • OAuth の場合、login.microsoftonline.com

Googleドライブ

次のドメインはGoogleドライブコネクタで使用されます。

  • drive.google.com

  • www.googleapis.com

  • oauth2.googleapis.com

  • www.googleapis.com

Googleスプレッドシート

次のドメインはGoogleスプレッドシートコネクタで使用されます。

  • sheets.googleapis.com:443

Hubspot

次のドメインは HubSpot コネクタで使用されます。

  • api.hubapi.com

Jiraクラウド

次のドメインはJiraクラウドコネクタによって使用されます。

  • 顧客固有のドメイン名。例: company-name.atlassian.net

  • api.atlassian.com

Kafka

次のドメインはKafkaコネクタで使用されます。

  • お客様のKafkaブートストラップサーバーとすべてのKafkaブローカー

Kinesis

次のドメインはKinesisコネクタによって使用されます。

  • AWS リージョンに依存します。 例:

    us-west-2の場合:

    • kinesis.us-west-2.amazonaws.com

    • kinesis-fips.us-west-2.api.aws

    • kinesis-fips.us-west-2.amazonaws.com

    • kinesis.us-west-2.api.aws

    • *.control-kinesis.us-west-2.amazonaws.com

    • *.control-kinesis.us-west-2.api.aws

    • *.data-kinesis.us-west-2.amazonaws.com

    • *.data-kinesis.us-west-2.api.aws

    • dynamodb.us-west-2.amazonaws.com

    • monitoring.us-west-2.amazonaws.com:80

    • monitoring.us-west-2.amazonaws.com:443

    • monitoring-fips.us-west-2.amazonaws.com:80

    • monitoring-fips.us-west-2.amazonaws.com:443

    • monitoring.us-west-2.api.aws:80

    • monitoring.us-west-2.api.aws:443

LinkedIn 広告

次のドメインは LinkedIn 広告コネクタで使用されます。

  • www.linkedin.com:443

  • api.linkedin.com:443

Meta広告

次のドメインはMeta広告コネクタで使用されます。

  • graph.facebook.com

MySQL

次のドメインは MySQL コネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

PostgreSQL

次のドメインは PostgreSQL コネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

SharePoint

次のドメインは SharePoint コネクタで使用されます。

  • 顧客固有のドメイン---例: company-domain.sharepoint.com または company-domain.sharepoint.com にリダイレクトするエイリアス

  • graph.microsoft.com および login.microsoftonline.com

Slack

以下のドメインはSlackコネクタで使用されます。

  • slack.com および api.slack.com

SQL サーバー

次のドメインは SQL サーバーコネクタで使用されます。

  • お客様固有のドメインとポートの組み合わせ。

Workday

次のドメインは Workdayコネクタ によって使用されます。

  • お客様固有のドメインとポートの組み合わせ。例: company-domain.tenant.myworkday.com:443

    ドメインを取得するには、レポート URL を使用できます(ベース URL は常に同じです)

言語: 日本語