Configuração do Openflow - Snowflake Deployment: Configurar domínios permitidos para conectores Openflow¶
Openflow - Snowflake Deployments acessam recursos de domínios externos. O Snowflake controla o acesso a domínios externos usando regras de rede e integrações de acesso externo para conceder ou negar acesso a domínios específicos.
Este tópico descreve o processo de criação de uma regra de rede e criação de uma integração de acesso externo para conceder acesso a um domínio específico. Além disso, são fornecidos os domínios conhecidos utilizados pelos conectores Openflow.
Existem dois fluxos de trabalho possíveis para gerenciar o acesso a domínios externos:
Criação de uma nova regra de rede e integração de acesso externo: crie uma nova regra de rede que defina uma lista de combinações de domínio/porta permitidas e crie uma nova integração de acesso externo usando a regra de rede recém-criada.
Alteração de uma regra de rede existente: altere uma regra de rede existente para adicionar uma lista de combinações de domínio/porta permitidas.
Criação de uma regra de rede que concede acesso a um ou mais domínios¶
Para criar uma nova regra de rede que concede acesso a uma ou mais combinações de domínio/porta, execute uma instrução SQL semelhante a esta:
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('<domain>', '<domain>');
Por exemplo, para permitir que o Snowflake acesse googleads.googleapis.com, execute o comando a seguir.
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('googleads.googleapis.com');
Para obter mais informações, consulte CREATE NETWORK RULE.
Após a criação da regra de rede, uma integração de acesso externo deverá ser criada.
Para criar uma nova integração, execute uma instrução SQL semelhante a esta:
USE ROLE SECURITYADMIN;
CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
ENABLED = TRUE
COMMENT = 'External Access Integration for Openflow connectivity';
Alteração de uma regra de rede existente que concede acesso a um ou mais domínios¶
Para alterar uma regra de rede existente para conceder acesso a uma ou mais combinações de domínio/porta, execute uma instrução SQL semelhante a esta:
USE ROLE SECURITYADMIN;
ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
Para obter mais informações, consulte ALTER NETWORK RULE.
Nota
Use SHOW NETWORK RULES para listar as regras de rede existentes. . Use DESCRIBE NETWORK RULE para descrever as propriedades de uma regra de rede específica.
Se a regra de rede alterada já estiver associada a uma integração de acesso externo, ela será atualizada automaticamente. Se você não tiver uma integração de acesso externo para a regra de rede alterada, consulte a seção acima para obter instruções sobre como criar uma nova integração.
Próximos passos¶
Associe uma integração de acesso externo ao seu tempo de execução:
Navegue até a tela do Openflow.
Selecione a guia Runtimes.
Para o tempo de execução que requer a nova integração de acesso externo, clique no menu
.Selecione External access integrations.
Selecione todas as integrações de acesso externo necessárias na lista suspensa. . Observe que você pode selecionar várias integrações de acesso externo.
Clique em Save.
Nota
Não é necessário reiniciar o tempo de execução, e as alterações são aplicadas imediatamente.
Implante um conector em um tempo de execução. Para obter uma lista de conectores disponíveis no Openflow, consulte Conectores Openflow.
Domínios utilizados por conectores OpenFlow¶
Os seguintes domínios são usados pelos conectores do OpenFlow e exigem que as regras de rede concedam acesso.
Amazon Ads¶
Os seguintes domínios são utilizados pelo conector Amazon Ads.
advertising-api.amazon.comadvertising-api-eu.amazon.comadvertising-api-fe.amazon.comapi.amazon.comapi.amazon.co.ukapi.amazon.co.jpLocalização do relatório. Por exemplo,
offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.comé utilizado para baixar relatórios.
A localização exata do URL do relatório nem sempre é conhecida antes da criação de um relatório. A Snowflake recomenda permitir a listagem de todas as regiões S3:
*.s3.eu-west-[1-3].amazonaws.com
*.s3.eu-central-[1-2].amazonaws.com
*.s3.eu-north-1.amazonaws.com
*.s3.eu-south-[1-2].amazonaws.com
*.s3.il-central-1.amazonaws.com
Para advertising-api-fe.amazon.com (Far East / APAC):
*.s3.ap-northeast-[1-3].amazonaws.com*.s3.ap-south-[1-2].amazonaws.com*.s3.ap-southeast-[1-7].amazonaws.com*.s3.ap-east-[1-2].amazonaws.com*.s3.me-south-1.amazonaws.com*.s3.me-central-1.amazonaws.com*.s3.af-south-1.amazonaws.com
O último domínio obtido do URL do relatório é retornado após o relatório estar pronto para ser buscado. Este é um bucket Amazon S3 em que o relatório é armazenado. Os clientes precisarão especificar sua própria região AWS, por exemplo, us-east-1 ou eu-west-1, e um bucket específico. Como pode não ser possível saber a região e o bucket exatos, a Snowflake sugere o uso de curingas e a listagem de todas as regiões possíveis para uma determinada localização.
AWS Secret Manager¶
Os seguintes domínios são utilizados pelo conector AWS Secret Manager.
secretsmanager.us-west-2.amazonaws.comsts.us-west-2.amazonaws.comaws.amazon.comamazonaws.com
Box¶
Os seguintes domínios são utilizados pelo conector Box.
api.box.com
box.com
Confluence¶
Os seguintes domínios são utilizados pelo conector Confluence.
Nome de domínio específico do cliente, como
https://company-name.atlassian.net/.Para OAuth, https://atlassian.company-name.com/
Microsoft Dataverse¶
Os seguintes domínios são utilizados pelo conector Dataverse.
Nome de domínio específico do cliente, como
org12345467.crm.dynamics.comPara OAuth,
login.microsoftonline.com
Google Ads¶
Os seguintes domínios são utilizados pelo conector Google Ads.
googleads.googleapis.com
Google Drive¶
Os seguintes domínios são utilizados pelo conector Google Drive:
drive.google.comwww.googleapis.comoauth2.googleapis.comwww.googleapis.com
Google Sheets¶
Os seguintes domínios são utilizados pelo conector Google Sheets.
sheets.googleapis.com
Hubspot¶
Os seguintes domínios são utilizados pelo conector HubSpot.
api.hubapi.com
Jira Cloud¶
Os seguintes domínios são utilizados pelo conector Jira Cloud.
Nome de domínio específico do cliente, por exemplo,
company-name.atlassian.netapi.atlassian.com
Kafka¶
Os seguintes domínios são utilizados pelo conector Kafka.
Servidores bootstrap do Kafka do cliente e todos os brokers do Kafka
Kinesis¶
Os seguintes domínios são utilizados pelo conector Kinesis.
Depende da região da AWS. Por exemplo:
para us-west-2:
kinesis.us-west-2.amazonaws.comkinesis-fips.us-west-2.api.awskinesis-fips.us-west-2.amazonaws.comkinesis.us-west-2.api.aws*.control-kinesis.us-west-2.amazonaws.com*.control-kinesis.us-west-2.api.aws*.data-kinesis.us-west-2.amazonaws.com*.data-kinesis.us-west-2.api.awsdynamodb.us-west-2.amazonaws.commonitoring.us-west-2.amazonaws.com:80monitoring.us-west-2.amazonaws.com:443monitoring-fips.us-west-2.amazonaws.com:80monitoring-fips.us-west-2.amazonaws.com:443monitoring.us-west-2.api.aws:80monitoring.us-west-2.api.aws:443
LinkedIn Ads¶
Os seguintes domínios são utilizados pelo conector LinkedIn Ads.
www.linkedin.comapi.linkedin.com
Meta Ads¶
Os seguintes domínios são utilizados pelo conector de Meta Ads.
graph.facebook.com
MySQL¶
Os seguintes domínios são utilizados pelo conector MySQL.
Combinação de porta e domínio específica do cliente.
PostgreSQL¶
Os seguintes domínios são utilizados pelo conector PostgreSQL.
Combinação de porta e domínio específica do cliente.
Slack¶
Os seguintes domínios são utilizados pelo conector Slack.
slack.comeapi.slack.com
SQL Server¶
Os seguintes domínios são utilizados pelo conector SQL Server.
Combinação de porta e domínio específica do cliente.
Workday¶
Os seguintes domínios são utilizados pelo conector Workday.
Combinação de porta e domínio específica do cliente. Por exemplo,
company-domain.tenant.myworkday.com.Para obter o domínio, você pode usar o URL do relatório (o URL base é sempre o mesmo).