Configuração do Openflow - Snowflake Deployment: Configurar domínios permitidos para conectores Openflow¶
Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.
This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.
Existem dois fluxos de trabalho possíveis para gerenciar o acesso a domínios externos:
Create a new network rule and external access integration: Create a new network rule that defines a list of allowed domain/port combinations and create a new external access integration using the newly created network rule.
Alter an existing network rule: Alter an existing network rule to add a list of allowed domain/port combinations.
Create a network rule granting access to one or more domains¶
To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('<domain>', '<domain>');
For example, to allow Snowflake to access googleads.googleapis.com, execute the following.
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('googleads.googleapis.com');
For more information, see CREATE NETWORK RULE.
Após a criação da regra de rede, uma integração de acesso externo deverá ser criada.
To create a new integration, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
ENABLED = TRUE
COMMENT = 'External Access Integration for Openflow connectivity';
Alter an existing network rule granting access to one or more domains¶
To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
For more information, see ALTER NETWORK RULE.
Nota
Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.
Se a regra de rede alterada já estiver associada a uma integração de acesso externo, ela será atualizada automaticamente. Se você não tiver uma integração de acesso externo para a regra de rede alterada, consulte a seção acima para obter instruções sobre como criar uma nova integração.
Next steps¶
Associe uma integração de acesso externo ao seu tempo de execução:
Navegue até a tela do Openflow.
Selecione a guia Runtimes.
Para o tempo de execução que requer a nova integração de acesso externo, clique no menu
.Selecione External access integrations.
Selecione todas as integrações de acesso externo necessárias na lista suspensa. . Observe que você pode selecionar várias integrações de acesso externo.
Clique em Save.
Nota
Não é necessário reiniciar o tempo de execução, e as alterações são aplicadas imediatamente.
Deploy a connector in a runtime, for a list of connectors available in Openflow, see Conectores Openflow.
Domínios utilizados por conectores OpenFlow¶
The following domains are used by Openflow connectors and require network rules to be granted access.
Amazon Ads¶
Os seguintes domínios são utilizados pelo conector Amazon Ads.
advertising-api.amazon.comadvertising-api-eu.amazon.comadvertising-api-fe.amazon.comapi.amazon.comapi.amazon.co.ukapi.amazon.co.jpLocalização do relatório. Por exemplo,
offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.comé utilizado para baixar relatórios.
A localização exata do URL do relatório nem sempre é conhecida antes da criação de um relatório. A Snowflake recomenda permitir a listagem de todas as regiões S3:
*.s3.eu-west-[1-3].amazonaws.com
*.s3.eu-central-[1-2].amazonaws.com
*.s3.eu-north-1.amazonaws.com
*.s3.eu-south-[1-2].amazonaws.com
*.s3.il-central-1.amazonaws.com
Para advertising-api-fe.amazon.com (Far East / APAC):
*.s3.ap-northeast-[1-3].amazonaws.com*.s3.ap-south-[1-2].amazonaws.com*.s3.ap-southeast-[1-7].amazonaws.com*.s3.ap-east-[1-2].amazonaws.com*.s3.me-south-1.amazonaws.com*.s3.me-central-1.amazonaws.com*.s3.af-south-1.amazonaws.com
O último domínio obtido do URL do relatório é retornado após o relatório estar pronto para ser buscado. Este é um bucket Amazon S3 em que o relatório é armazenado. Os clientes precisarão especificar sua própria região AWS, por exemplo, us-east-1 ou eu-west-1, e um bucket específico. Como pode não ser possível saber a região e o bucket exatos, a Snowflake sugere o uso de curingas e a listagem de todas as regiões possíveis para uma determinada localização.
AWS Secret Manager¶
Os seguintes domínios são utilizados pelo conector AWS Secret Manager.
secretsmanager.us-west-2.amazonaws.comsts.us-west-2.amazonaws.comaws.amazon.comamazonaws.com
Box¶
Os seguintes domínios são utilizados pelo conector Box.
api.box.com
box.com
Confluence¶
Os seguintes domínios são utilizados pelo conector Confluence.
Nome de domínio específico do cliente, como
https://company-name.atlassian.net/.Para OAuth, https://atlassian.company-name.com/
Microsoft Dataverse¶
Os seguintes domínios são utilizados pelo conector Dataverse.
Nome de domínio específico do cliente, como
org12345467.crm.dynamics.comPara OAuth,
login.microsoftonline.com
Google Ads¶
Os seguintes domínios são utilizados pelo conector Google Ads.
googleads.googleapis.com
Google Drive¶
Os seguintes domínios são utilizados pelo conector Google Drive:
drive.google.comwww.googleapis.comoauth2.googleapis.comwww.googleapis.com
Google Sheets¶
Os seguintes domínios são utilizados pelo conector Google Sheets.
sheets.googleapis.com
Hubspot¶
Os seguintes domínios são utilizados pelo conector HubSpot.
api.hubapi.com
Jira Cloud¶
Os seguintes domínios são utilizados pelo conector Jira Cloud.
Nome de domínio específico do cliente, por exemplo,
company-name.atlassian.netapi.atlassian.com
Kafka¶
Os seguintes domínios são utilizados pelo conector Kafka.
Servidores bootstrap do Kafka do cliente e todos os brokers do Kafka
Kinesis¶
Os seguintes domínios são utilizados pelo conector Kinesis.
Depende da região da AWS. Por exemplo:
para us-west-2:
kinesis.us-west-2.amazonaws.comkinesis-fips.us-west-2.api.awskinesis-fips.us-west-2.amazonaws.comkinesis.us-west-2.api.aws*.control-kinesis.us-west-2.amazonaws.com*.control-kinesis.us-west-2.api.aws*.data-kinesis.us-west-2.amazonaws.com*.data-kinesis.us-west-2.api.awsdynamodb.us-west-2.amazonaws.commonitoring.us-west-2.amazonaws.com:80monitoring.us-west-2.amazonaws.com:443monitoring-fips.us-west-2.amazonaws.com:80monitoring-fips.us-west-2.amazonaws.com:443monitoring.us-west-2.api.aws:80monitoring.us-west-2.api.aws:443
LinkedIn Ads¶
Os seguintes domínios são utilizados pelo conector LinkedIn Ads.
www.linkedin.comapi.linkedin.com
Meta Ads¶
Os seguintes domínios são utilizados pelo conector de Meta Ads.
graph.facebook.com
MySQL¶
Os seguintes domínios são utilizados pelo conector MySQL.
Combinação de porta e domínio específica do cliente.
PostgreSQL¶
Os seguintes domínios são utilizados pelo conector PostgreSQL.
Combinação de porta e domínio específica do cliente.
Slack¶
Os seguintes domínios são utilizados pelo conector Slack.
slack.comeapi.slack.com
SQL Server¶
Os seguintes domínios são utilizados pelo conector SQL Server.
Combinação de porta e domínio específica do cliente.
Workday¶
Os seguintes domínios são utilizados pelo conector Workday.
Customer-specific domain and port combination. For example,
company-domain.tenant.myworkday.com.Para obter o domínio, você pode usar o URL do relatório (o URL base é sempre o mesmo).