Configuração do Openflow - Snowflake Deployment: Configurar domínios permitidos para conectores Openflow

Openflow - Snowflake Deployments acessam recursos de domínios externos. O Snowflake controla o acesso a domínios externos usando uma política de redes para conceder ou negar acesso a domínios específicos.

Este tópico descreve o processo de criação de uma política de redes para conceder acesso a um domínio específico. Além disso, são fornecidos os domínios conhecidos utilizados ​​pelos conectores Openflow.

Existem dois fluxos de trabalho possíveis para gerenciar o acesso a domínios externos:

Criar uma política de redes que conceda acesso a um ou mais domínios

Para criar uma nova política de redes que conceda acesso a uma ou mais combinações de domínio/porta, execute uma instrução SQL semelhante a:

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<domain:port>', '<domain:port>');
Copy

Por exemplo, para permitir que o Snowflake acesse googleads.googleapis.com na porta 443, execute o seguinte.

USE ROLE SECURITYADMIN;

CREATE NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('googleads.googleapis.com:443');
Copy

Para obter mais informações, consulte CREATE NETWORK POLICY.

Alterar uma política de redes existente que conceda acesso a um ou mais domínios

Para alterar uma política de redes existente para conceder acesso a uma ou mais combinações de domínio/porta, execute uma instrução SQL semelhante a:

USE ROLE SECURITYADMIN;

ALTER NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
   ALLOWED_IP_LIST = ('<existing domain:port>', <existing domain:port>,
                      'googleads.googleapis.com:443');
Copy

Nota

Use SHOW NETWORK POLICIES para listar as políticas de redes existentes. Use DESCRIBE NETWORK POLICY para descrever as propriedades de uma política de redes específica.

Próxima etapa

Implemente um conector em um tempo de execução. Para obter uma lista dos conectores disponíveis no Openflow, consulte Conectores Openflow.

Domínios utilizados ​​por conectores OpenFlow

Os seguintes domínios são utilizados ​​por conectores OpenFlow e exigem que as políticas de redes concedam acesso.

Amazon Ads

Os seguintes domínios são utilizados ​​pelo conector Amazon Ads.

  • advertising-api.amazon.com

  • advertising-api-eu.amazon.com

  • advertising-api-fe.amazon.com

  • api.amazon.com

  • api.amazon.co.uk

  • api.amazon.co.jp

  • Localização do relatório. Por exemplo, offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com é utilizado para baixar relatórios.

A localização exata do URL do relatório nem sempre é conhecida antes da criação de um relatório. A Snowflake recomenda permitir a listagem de todas as regiões S3:

  • *.s3.eu-west-[1-3].amazonaws.com

  • *.s3.eu-central-[1-2].amazonaws.com

  • *.s3.eu-north-1.amazonaws.com

  • *.s3.eu-south-[1-2].amazonaws.com

  • *.s3.il-central-1.amazonaws.com

  • Para advertising-api-fe.amazon.com (Far East / APAC):

    • *.s3.ap-northeast-[1-3].amazonaws.com

    • *.s3.ap-south-[1-2].amazonaws.com

    • *.s3.ap-southeast-[1-7].amazonaws.com

    • *.s3.ap-east-[1-2].amazonaws.com

    • *.s3.me-south-1.amazonaws.com

    • *.s3.me-central-1.amazonaws.com

    • *.s3.af-south-1.amazonaws.com

O último domínio obtido do URL do relatório é retornado após o relatório estar pronto para ser buscado. Este é um bucket Amazon S3 em que o relatório é armazenado. Os clientes precisarão especificar sua própria região AWS, por exemplo, us-east-1 ou eu-west-1, e um bucket específico. Como pode não ser possível saber a região e o bucket exatos, a Snowflake sugere o uso de curingas e a listagem de todas as regiões possíveis para uma determinada localização.

AWS Secret Manager

Os seguintes domínios são utilizados ​​pelo conector AWS Secret Manager.

  • secretsmanager.us-west-2.amazonaws.com

  • sts.us-west-2.amazonaws.com

  • aws.amazon.com

  • amazonaws.com

Box

Os seguintes domínios são utilizados ​​pelo conector Box.

  • api.box.com

  • box.com

Confluence

Os seguintes domínios são utilizados ​​pelo conector Confluence.

Microsoft Dataverse

Os seguintes domínios são utilizados ​​pelo conector Dataverse.

  • Nome de domínio específico do cliente, como org12345467.crm.dynamics.com

  • Para OAuth, login.microsoftonline.com

Google Drive

Os seguintes domínios são utilizados ​​pelo conector Google Drive:

  • drive.google.com

  • www.googleapis.com

  • oauth2.googleapis.com

  • www.googleapis.com

Google Sheets

Os seguintes domínios são utilizados ​​pelo conector Google Sheets.

  • sheets.googleapis.com:443

Hubspot

Os seguintes domínios são utilizados ​​pelo conector HubSpot.

  • api.hubapi.com

Jira Cloud

Os seguintes domínios são utilizados ​​pelo conector Jira Cloud.

  • Nome de domínio específico do cliente, por exemplo, company-name.atlassian.net

  • api.atlassian.com

Kafka

Os seguintes domínios são utilizados ​​pelo conector Kafka.

  • Servidores bootstrap do Kafka do cliente e todos os brokers do Kafka

Kinesis

Os seguintes domínios são utilizados ​​pelo conector Kinesis.

  • Depende da região da AWS. Por exemplo:

    para us-west-2:

    • kinesis.us-west-2.amazonaws.com

    • kinesis-fips.us-west-2.api.aws

    • kinesis-fips.us-west-2.amazonaws.com

    • kinesis.us-west-2.api.aws

    • *.control-kinesis.us-west-2.amazonaws.com

    • *.control-kinesis.us-west-2.api.aws

    • *.data-kinesis.us-west-2.amazonaws.com

    • *.data-kinesis.us-west-2.api.aws

    • dynamodb.us-west-2.amazonaws.com

    • monitoring.us-west-2.amazonaws.com:80

    • monitoring.us-west-2.amazonaws.com:443

    • monitoring-fips.us-west-2.amazonaws.com:80

    • monitoring-fips.us-west-2.amazonaws.com:443

    • monitoring.us-west-2.api.aws:80

    • monitoring.us-west-2.api.aws:443

LinkedIn Ads

Os seguintes domínios são utilizados ​​pelo conector LinkedIn Ads.

  • www.linkedin.com:443

  • api.linkedin.com:443

Meta Ads

Os seguintes domínios são utilizados ​​pelo conector de Meta Ads.

  • graph.facebook.com

MySQL

Os seguintes domínios são utilizados ​​pelo conector MySQL.

  • Combinação de porta e domínio específica do cliente.

PostgreSQL

Os seguintes domínios são utilizados ​​pelo conector PostgreSQL.

  • Combinação de porta e domínio específica do cliente.

SharePoint

Os seguintes domínios são utilizados ​​pelo conector SharePoint.

  • Domínio específico do cliente: por exemplo, company-domain.sharepoint.com ou um alias que redireciona para company-domain.sharepoint.com

  • graph.microsoft.com e login.microsoftonline.com

Slack

Os seguintes domínios são utilizados ​​pelo conector Slack.

  • slack.com e api.slack.com

SQL Server

Os seguintes domínios são utilizados ​​pelo conector SQL Server.

  • Combinação de porta e domínio específica do cliente.

Workday

Os seguintes domínios são utilizados ​​pelo conector Workday.

  • Combinação de porta e domínio específica do cliente. Por exemplo, company-domain.tenant.myworkday.com:443.

    Para obter o domínio, você pode usar o URL do relatório (o URL base é sempre o mesmo).

Linguagem: Português