Configuração do Openflow - Snowflake Deployment: Configurar domínios permitidos para conectores Openflow¶
Openflow - Snowflake Deployments access external domain resources. Snowflake controls access to external domains using network rules and external access integrations to either grant or deny access to specific domains.
This topic describes the process of creating a network rule and creating an external access integration to grant access to a specific domain. In addition, the known domains used by Openflow connectors are provided.
Existem dois fluxos de trabalho possíveis para gerenciar o acesso a domínios externos:
Create a new network rule and external access integration: Create a new network rule that defines a list of allowed domain/port combinations and create a new external access integration using the newly created network rule.
Alter an existing network rule: Alter an existing network rule to add a list of allowed domain/port combinations.
Create a network rule granting access to one or more domains¶
To create a new network rule that grants access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE MY_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('<domain>', '<domain>');
For example, to allow Snowflake to access googleads.googleapis.com, execute the following.
USE ROLE SECURITYADMIN;
CREATE NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('googleads.googleapis.com');
For more information, see CREATE NETWORK RULE.
After the network rule is created, a external access integration has to be created.
To create a new integration, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
CREATE EXTERNAL ACCESS INTEGRATION MY_OPENFLOW_EAI
ALLOWED_NETWORK_RULES = (MY_OPENFLOW_NETWORK_RULE)
ENABLED = TRUE
COMMENT = 'External Access Integration for Openflow connectivity';
Alter an existing network rule granting access to one or more domains¶
To alter an existing network rule to grant access to one or more domain/port combinations, execute an SQL statement similar to:
USE ROLE SECURITYADMIN;
ALTER NETWORK RULE GOOGLEADS_OPENFLOW_NETWORK_RULE SET
VALUE_LIST = ('<existing domain>', '<existing domain>', 'googleads.googleapis.com');
For more information, see ALTER NETWORK RULE.
Nota
Use SHOW NETWORK RULES to list the existing network rules. . Use DESCRIBE NETWORK RULE to describe the properties of a specific network rule.
If the altered network rule is already associated with an external access integration, it will be updated automatically. If you do not have an external access integration for the altered network rule, refer to the section above for instructions on creating a new integration.
Next steps¶
Associate an external access integration with your runtime:
Navigate to the Openflow canvas.
Select the Runtimes tab.
For the runtime which requires the new external access integration, click the
menu.Select External access integrations.
Select all required external access integrations from the dropdown list. . Note you may select multiple external access integrations.
Click Save.
Nota
Restarting the runtime is not required and the changes are applied immediately.
Deploy a connector in a runtime, for a list of connectors available in Openflow, see Conectores Openflow.
Domínios utilizados por conectores OpenFlow¶
The following domains are used by Openflow connectors and require network rules to be granted access.
Amazon Ads¶
Os seguintes domínios são utilizados pelo conector Amazon Ads.
advertising-api.amazon.comadvertising-api-eu.amazon.comadvertising-api-fe.amazon.comapi.amazon.comapi.amazon.co.ukapi.amazon.co.jpLocalização do relatório. Por exemplo,
offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.comé utilizado para baixar relatórios.
A localização exata do URL do relatório nem sempre é conhecida antes da criação de um relatório. A Snowflake recomenda permitir a listagem de todas as regiões S3:
*.s3.eu-west-[1-3].amazonaws.com
*.s3.eu-central-[1-2].amazonaws.com
*.s3.eu-north-1.amazonaws.com
*.s3.eu-south-[1-2].amazonaws.com
*.s3.il-central-1.amazonaws.com
Para advertising-api-fe.amazon.com (Far East / APAC):
*.s3.ap-northeast-[1-3].amazonaws.com*.s3.ap-south-[1-2].amazonaws.com*.s3.ap-southeast-[1-7].amazonaws.com*.s3.ap-east-[1-2].amazonaws.com*.s3.me-south-1.amazonaws.com*.s3.me-central-1.amazonaws.com*.s3.af-south-1.amazonaws.com
O último domínio obtido do URL do relatório é retornado após o relatório estar pronto para ser buscado. Este é um bucket Amazon S3 em que o relatório é armazenado. Os clientes precisarão especificar sua própria região AWS, por exemplo, us-east-1 ou eu-west-1, e um bucket específico. Como pode não ser possível saber a região e o bucket exatos, a Snowflake sugere o uso de curingas e a listagem de todas as regiões possíveis para uma determinada localização.
AWS Secret Manager¶
Os seguintes domínios são utilizados pelo conector AWS Secret Manager.
secretsmanager.us-west-2.amazonaws.comsts.us-west-2.amazonaws.comaws.amazon.comamazonaws.com
Box¶
Os seguintes domínios são utilizados pelo conector Box.
api.box.com
box.com
Confluence¶
Os seguintes domínios são utilizados pelo conector Confluence.
Nome de domínio específico do cliente, como
https://company-name.atlassian.net/.Para OAuth, https://atlassian.company-name.com/
Microsoft Dataverse¶
Os seguintes domínios são utilizados pelo conector Dataverse.
Nome de domínio específico do cliente, como
org12345467.crm.dynamics.comPara OAuth,
login.microsoftonline.com
Google Ads¶
Os seguintes domínios são utilizados pelo conector Google Ads.
googleads.googleapis.com
Google Drive¶
Os seguintes domínios são utilizados pelo conector Google Drive:
drive.google.comwww.googleapis.comoauth2.googleapis.comwww.googleapis.com
Google Sheets¶
Os seguintes domínios são utilizados pelo conector Google Sheets.
sheets.googleapis.com
Hubspot¶
Os seguintes domínios são utilizados pelo conector HubSpot.
api.hubapi.com
Jira Cloud¶
Os seguintes domínios são utilizados pelo conector Jira Cloud.
Nome de domínio específico do cliente, por exemplo,
company-name.atlassian.netapi.atlassian.com
Kafka¶
Os seguintes domínios são utilizados pelo conector Kafka.
Servidores bootstrap do Kafka do cliente e todos os brokers do Kafka
Kinesis¶
Os seguintes domínios são utilizados pelo conector Kinesis.
Depende da região da AWS. Por exemplo:
para us-west-2:
kinesis.us-west-2.amazonaws.comkinesis-fips.us-west-2.api.awskinesis-fips.us-west-2.amazonaws.comkinesis.us-west-2.api.aws*.control-kinesis.us-west-2.amazonaws.com*.control-kinesis.us-west-2.api.aws*.data-kinesis.us-west-2.amazonaws.com*.data-kinesis.us-west-2.api.awsdynamodb.us-west-2.amazonaws.commonitoring.us-west-2.amazonaws.com:80monitoring.us-west-2.amazonaws.com:443monitoring-fips.us-west-2.amazonaws.com:80monitoring-fips.us-west-2.amazonaws.com:443monitoring.us-west-2.api.aws:80monitoring.us-west-2.api.aws:443
LinkedIn Ads¶
Os seguintes domínios são utilizados pelo conector LinkedIn Ads.
www.linkedin.comapi.linkedin.com
Meta Ads¶
Os seguintes domínios são utilizados pelo conector de Meta Ads.
graph.facebook.com
MySQL¶
Os seguintes domínios são utilizados pelo conector MySQL.
Combinação de porta e domínio específica do cliente.
PostgreSQL¶
Os seguintes domínios são utilizados pelo conector PostgreSQL.
Combinação de porta e domínio específica do cliente.
Slack¶
Os seguintes domínios são utilizados pelo conector Slack.
slack.comeapi.slack.com
SQL Server¶
Os seguintes domínios são utilizados pelo conector SQL Server.
Combinação de porta e domínio específica do cliente.
Workday¶
Os seguintes domínios são utilizados pelo conector Workday.
Customer-specific domain and port combination. For example,
company-domain.tenant.myworkday.com.Para obter o domínio, você pode usar o URL do relatório (o URL base é sempre o mesmo).