设置 Openflow - Snowflake Deployment:为 Openflow 连接器配置允许的域¶
Openflow - Snowflake Deployments 访问外部域资源。Snowflake 使用 网络策略 控制对外部域的访问,以授予或拒绝对特定域的访问权限。
本主题介绍 创建网络策略 以授予对特定域的访问权限的过程。此外,还提供了 Openflow 连接器使用的已知域。
管理外部域名访问权限存在两种可行工作流程:
创建向一个或多个域授予访问权限的网络策略¶
要创建授予对一个或多个域/端口组合的访问权限的新网络策略,请执行类似于以下内容的 SQL 语句:
USE ROLE SECURITYADMIN;
CREATE NETWORK POLICY ALLOW_LIST_NETWORK_POLICY
ALLOWED_IP_LIST = ('<domain:port>', '<domain:port>');
例如,要允许 Snowflake 访问端口 443 上的 googleads.googleapis.com,请执行以下命令。
USE ROLE SECURITYADMIN;
CREATE NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
ALLOWED_IP_LIST = ('googleads.googleapis.com:443');
有关更多信息,请参阅 CREATE NETWORK POLICY。
更改授予一个或多个域访问权限的现有网络策略¶
要更改现有网络策略以授予对一个或多个域/端口组合的访问权限,请执行类似于以下内容的 SQL 语句:
USE ROLE SECURITYADMIN;
ALTER NETWORK POLICY GADS_ALLOW_LIST_NETWORK_POLICY
ALLOWED_IP_LIST = ('<existing domain:port>', <existing domain:port>,
'googleads.googleapis.com:443');
备注
使用 SHOW NETWORK POLICIES 列出现有的网络策略。使用 DESCRIBE NETWORK POLICY 描述特定网络策略的属性。
后续步骤¶
在运行时中部署连接器。有关 Openflow 中可用的连接器列表,请参阅 Openflow 连接器。
Openflow 连接器使用的域¶
以下域被 Openflow 连接器使用,需通过网络策略授予访问权限。
Amazon Ads¶
Amazon Ads 连接器使用以下域。
advertising-api.amazon.comadvertising-api-eu.amazon.comadvertising-api-fe.amazon.comapi.amazon.comapi.amazon.co.ukapi.amazon.co.jp报告位置。例如,
offline-report-storage-eu-west-1-prod.s3.eu-west-1.amazonaws.com用于下载报告。
创建报告前,报告 URL 的确切位置并非总是已知的。Snowflake 建议允许列出所有 s3 区域:
*.s3.eu-west-[1-3].amazonaws.com
*.s3.eu-central-[1-2].amazonaws.com
*.s3.eu-north-1.amazonaws.com
*.s3.eu-south-[1-2].amazonaws.com
*.s3.il-central-1.amazonaws.com
对于 advertising-api-fe.amazon.com(远东/APAC):
*.s3.ap-northeast-[1-3].amazonaws.com*.s3.ap-south-[1-2].amazonaws.com*.s3.ap-southeast-[1-7].amazonaws.com*.s3.ap-east-[1-2].amazonaws.com*.s3.me-south-1.amazonaws.com*.s3.me-central-1.amazonaws.com*.s3.af-south-1.amazonaws.com
最后一个域是在报告准备就绪可获取后,从报告 URL 返回的结果中获得的。这是存储报告的 Amazon S3 桶。客户需要指定自己的 AWS 区域。例如,us-east-1 或 eu-west-1 和特定的桶。由于可能无法知道确切的区域和存储分区,Snowflake 建议使用通配符并列出给定位置的所有可能区域。
AWS Secret Manager¶
AWS Secret Manager 连接器使用以下域。
secretsmanager.us-west-2.amazonaws.comsts.us-west-2.amazonaws.comaws.amazon.comamazonaws.com
Box¶
Box 连接器使用以下域。
api.box.com
box.com
Confluence¶
Confluence 连接器使用以下域。
客户专属域,例如
https://company-name.atlassian.net/。对于 OAuth,为 https://atlassian.company-name.com/ (https://atlassian.company-name.com/)
Microsoft Dataverse¶
Dataverse 连接器使用以下域。
客户专属域,例如
org12345467.crm.dynamics.com对于 OAuth,为
login.microsoftonline.com
Google Ads¶
Google Ads 连接器使用以下域。
googleads.googleapis.com:443
Google 云端硬盘¶
Google 云端硬盘连接器使用以下域:
drive.google.comwww.googleapis.comoauth2.googleapis.comwww.googleapis.com
Google 表格¶
Google 表格连接器使用以下域。
sheets.googleapis.com:443
Hubspot¶
HubSpot 连接器使用以下域。
api.hubapi.com
Jira Cloud¶
Jira Cloud 连接器使用以下域。
客户专属域,例如
company-name.atlassian.netapi.atlassian.com
Kafka¶
Kafka 连接器使用以下域。
客户 Kafka 启动服务器和所有 Kafka 代理
Kinesis¶
Kinesis 连接器使用以下域。
取决于 AWS 区域。 例如:
对于 us-west-2 来说:
kinesis.us-west-2.amazonaws.comkinesis-fips.us-west-2.api.awskinesis-fips.us-west-2.amazonaws.comkinesis.us-west-2.api.aws*.control-kinesis.us-west-2.amazonaws.com*.control-kinesis.us-west-2.api.aws*.data-kinesis.us-west-2.amazonaws.com*.data-kinesis.us-west-2.api.awsdynamodb.us-west-2.amazonaws.commonitoring.us-west-2.amazonaws.com:80monitoring.us-west-2.amazonaws.com:443monitoring-fips.us-west-2.amazonaws.com:80monitoring-fips.us-west-2.amazonaws.com:443monitoring.us-west-2.api.aws:80monitoring.us-west-2.api.aws:443
LinkedIn Ads¶
LinkedIn Ads 连接器使用以下域。
www.linkedin.com:443api.linkedin.com:443
Meta Ads¶
Meta Ads 连接器使用以下域。
graph.facebook.com
MySQL¶
MySQL 连接器使用以下域。
客户专属域和端口组合。
PostgreSQL¶
PostgreSQL 连接器使用以下域。
客户专属域和端口组合。
Slack¶
Slack 连接器使用以下域。
slack.com和api.slack.com
SQL Server¶
SQL Server 连接器使用以下域。
客户专属域和端口组合。
Workday¶
Workday 连接器使用以下域。
客户专属域和端口组合。例如
company-domain.tenant.myworkday.com:443。要获取域,您可以使用报告 URL(基本 URL 始终相同)。