Openflow - Snowflake Deployment 설정: Openflow 커넥터에 허용되는 도메인 구성하기¶

Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.

This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.

외부 도메인에 대한 액세스를 관리하기 위한 두 가지 가능한 워크플로가 있습니다.

Create a new network rule and external access integration: Create a new network rule that defines a list of allowed domain/port combinations and create a new external access integration using the newly created network rule.
Alter an existing network rule: Alter an existing network rule to add a list of allowed domain/port combinations.

Create a network rule granting access to one or more domains¶

To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('<domain>', '<domain>');

Copy

For example, to allow Snowflake to access googleads.googleapis.com, execute the following.

USE ROLE SECURITYADMIN;

CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
   TYPE = HOST_PORT
   MODE = EGRESS
   VALUE_LIST = ('googleads.googleapis.com');

Copy

For more information, see CREATE NETWORK RULE.

After the network rule is created, a external access integration has to be created.

To create a new integration, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
   ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
   ENABLED = TRUE
   COMMENT = 'External Access Integration for Openflow connectivity';

Copy

Alter an existing network rule granting access to one or more domains¶

To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:

USE ROLE SECURITYADMIN;

ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
   VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');

Copy

For more information, see ALTER NETWORK RULE.

참고

Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.

If the altered network rule is already associated with an external access integration, it will be updated automatically. If you do not have an external access integration for the altered network rule, refer to the section above for instructions on creating a new integration.

Next steps¶

Associate an external access integration with your runtime:
1. Navigate to the Openflow canvas.
2. Select the Runtimes tab.
3. For the runtime which requires the new external access integration, click the menu.
4. Select External access integrations.
5. Select all required external access integrations from the dropdown list. . Note you may select multiple external access integrations.
6. Click Save.
  
  참고
  
  Restarting the runtime is not required and the changes are applied immediately.
Deploy a connector in a runtime, for a list of connectors available in Openflow, see Openflow 커넥터.

Openflow 커넥터에서 사용하는 도메인¶

The following domains are used by Openflow connectors and require network rules to be granted access.

Amazon Ads¶

Amazon Ads 커넥터에서 사용하는 도메인은 다음과 같습니다.

advertising-api.amazon.com
advertising-api-eu.amazon.com
advertising-api-fe.amazon.com
api.amazon.com
api.amazon.co.uk
api.amazon.co.jp
위치를 보고합니다. 예를 들어, ``offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com``은 보고서를 다운로드하는 데 사용됩니다.

보고서를 생성하기 전에는 정확한 보고서 URL 위치를 알 수 없는 경우가 있습니다. Snowflake에서는 모든 s3 리전을 나열하도록 허용할 것을 권장합니다.

*.s3.eu-west-[1-3].amazonaws.com

*.s3.eu-central-[1-2].amazonaws.com

*.s3.eu-north-1.amazonaws.com

*.s3.eu-south-[1-2].amazonaws.com

*.s3.il-central-1.amazonaws.com

advertising-api-fe.amazon.com의 경우(극동/APAC):
- *.s3.ap-northeast-[1-3].amazonaws.com
- *.s3.ap-south-[1-2].amazonaws.com
- *.s3.ap-southeast-[1-7].amazonaws.com
- *.s3.ap-east-[1-2].amazonaws.com
- *.s3.me-south-1.amazonaws.com
- *.s3.me-central-1.amazonaws.com
- *.s3.af-south-1.amazonaws.com

마지막 도메인은 URL 보고서에서 가져오며, 보고서를 가져올 준비가 되면 반환됩니다. 보고서가 저장되는 Amazon S3 버킷입니다. 고객은 자신의 AWS 리전(예: us-east-1 또는 eu-west-1 및 특정 버킷)을 지정해야 합니다. 정확한 리전과 버킷을 아는 것이 불가능할 수 있으므로, Snowflake는 와일드카드를 사용하고 주어진 위치에 대해 가능한 모든 리전을 나열할 것을 제안합니다.

AWS Secret Manager¶

AWS Secret Manager 커넥터에서 사용하는 도메인은 다음과 같습니다.

secretsmanager.us-west-2.amazonaws.com
sts.us-west-2.amazonaws.com
aws.amazon.com
amazonaws.com

Box¶

Box 커넥터에서 사용하는 도메인은 다음과 같습니다.

api.box.com

box.com

Confluence¶

Confluence 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 이름(예: https://company-name.atlassian.net/)

OAuth의 경우 https://atlassian.company-name.com/

Microsoft Dataverse¶

Dataverse 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 이름(예: org12345467.crm.dynamics.com)
OAuth의 경우 login.microsoftonline.com

Google Ads¶

Google Ads 커넥터에서 사용하는 도메인은 다음과 같습니다.

googleads.googleapis.com

Google Drive¶

Google Drive 커넥터에서 사용하는 도메인은 다음과 같습니다.

drive.google.com
www.googleapis.com
oauth2.googleapis.com
www.googleapis.com

Google Sheets¶

Google Sheets 커넥터에서 사용하는 도메인은 다음과 같습니다.

sheets.googleapis.com

Hubspot¶

HubSpot 커넥터에서 사용하는 도메인은 다음과 같습니다.

api.hubapi.com

Jira Cloud¶

Jira Cloud 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 이름(예: company-name.atlassian.net)
api.atlassian.com

Kafka¶

Kafka 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객 Kafka 부트스트랩 서버 및 모든 Kafka 브로커

Kinesis¶

Kinesis 커넥터에서 사용하는 도메인은 다음과 같습니다.

AWS 리전 종속. 예:
us-west-2의 경우:
- kinesis.us-west-2.amazonaws.com
- kinesis-fips.us-west-2.api.aws
- kinesis-fips.us-west-2.amazonaws.com
- kinesis.us-west-2.api.aws
- *.control-kinesis.us-west-2.amazonaws.com
- *.control-kinesis.us-west-2.api.aws
- *.data-kinesis.us-west-2.amazonaws.com
- *.data-kinesis.us-west-2.api.aws
- dynamodb.us-west-2.amazonaws.com
- monitoring.us-west-2.amazonaws.com:80
- monitoring.us-west-2.amazonaws.com:443
- monitoring-fips.us-west-2.amazonaws.com:80
- monitoring-fips.us-west-2.amazonaws.com:443
- monitoring.us-west-2.api.aws:80
- monitoring.us-west-2.api.aws:443

LinkedIn Ads¶

LinkedIn Ads 커넥터에서 사용하는 도메인은 다음과 같습니다.

www.linkedin.com
api.linkedin.com

Meta Ads¶

Meta Ads 커넥터에서 사용하는 도메인은 다음과 같습니다.

graph.facebook.com

MySQL¶

MySQL 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 및 포트 조합.

PostgreSQL¶

PostgreSQL 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 및 포트 조합.

SharePoint¶

SharePoint 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인(예: company-domain.sharepoint.com 또는 ``company-domain.sharepoint.com``으로 리디렉션되는 별칭)
graph.microsoft.com:80
graph.microsoft.com:443
login.microsoftonline.com

Slack¶

Slack 커넥터에서 사용하는 도메인은 다음과 같습니다.

slack.com 및 api.slack.com

SQL 서버¶

SQL Server 커넥터에서 사용하는 도메인은 다음과 같습니다.

고객별 도메인 및 포트 조합.

Workday¶

Workday 커넥터에서 사용하는 도메인은 다음과 같습니다.

Customer-specific domain and port combination. For example, company-domain.tenant.myworkday.com.

도메인을 얻기 위해 URL 보고서를 사용할 수 있습니다(기본 URL은 항상 동일함).