Skip to main content

IP-Adresseinschränkung für Snowflake Servicekonten

IP-Adresseinschränkung für Snowflake Servicekonten

Datensicherheit ist das A und O. Ihre Institution kann bestimmten IP-Adressen den Zugriff auf Snowflake Servicekonten gewähren oder dies einschränken. Dadurch wird das Risiko eines unbefugten Zugriffs auf sensible Daten reduziert.

Sie können eine bestimmte IP-Adresse oder einen IP-Adressbereich zulassen oder einschränken.

Mit einer eingeschränkten IP-Adresse können Benutzer nicht auf ein Snowflake Servicekonto zugreifen oder das Kennwort eines Snowflake Servicekontos ändern.

Auf dieser Hilfeseite finden Sie folgende Themen:

Melden Sie sich bei Snowflake an

Es gibt zwei Möglichkeiten, sich bei Snowflake anzumelden:

  • Melden Sie sich mit Benutzername und Passwort an: Illuminate-Dienstkonten sind nützlich für M2M-Verbindungen (Machine to Machine). IP-Adressbeschränkungen gelten nur für Servicekonten. SVC_BLACKBOARD_DATA

    Melden Sie sich auf dem Snowflake-Bildschirm an, wobei Benutzernamen und Passwortfelder hervorgehoben sind

  • Melden Sie sich mit SSO: Snowflake nimmt Ihre Illuminate-Zugangsdaten zum Einloggen. Um eine IP-Einschränkung zu konfigurieren, musst du dich über SSO anmelden und die BBDATA_USER_ROLE Rolle haben. Die IP-Adresseinschränkung gilt nicht für Benutzer, die sich mit SSO anmelden.

    Snowflake-Anmeldebildschirm mit Anmelden mit SSO hervorgehoben

Konfigurieren einer IP-Adresseinschränkung

Prozedur. Konfigurieren einer IP-Adresseinschränkung

  1. Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an.

  2. Öffnen Sie den Seitenbereich und wählen Sie die Option Developer aus.

  3. Wählen Sie Snowflake starten aus.

    Entwickler-Startseite mit Launch Snowflake unten links

  4. Wählen Sie Mit SSO anmelden aus.

    • Beachten Sie, dass Sie sich über SSO anmelden müssen, um eine IP-Einschränkung zu konfigurieren. Wenn du mit einem Service-Konto auf Snowflake zugreifst, können keine IP-Beschränkungen angewendet werden.

    • Ihr Snowflake Benutzer muss über die Rolle BBDATA_USER_ROLE verfügen.

    Snowflake-Anmeldebildschirm mit Anmelden mit SSO hervorgehoben

  5. Öffnen Sie das Seitenpanel in Snowflake und wählen Sie Arbeitsblätter.

  6. Wählen Sie Neues Arbeitsblatt erstellen.

  7. Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt.

    Beispiel für ein SQL-Arbeitsblatt in Snowflake

  8. Sie können diese Abfrage als Basis verwenden. Diese Beispielanfrage erlaubt eine spezifische IP-Adresse (1.1.1.1) und begrenzt einen Bereich von IP-Adressen (von 192.168.1.0 bis 192.168.1.255) für ein Servicekonto namens SVC_BLACKBOARD_DATA.

    USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
    Arbeitsblätter-Tab im Snowflake

Erklärung des Kommandos

  • BENUTZERROLLE: Die Rolle, die die Berechtigung hat, die IP-Beschränkungs-Netzwerkrichtlinie zu ändern.

    • BBDATA_USER_ROLE ist die einzige Rolle, die IP-Adressbeschränkungen ändern kann.

  • NETZWERKRICHTLINIE ÄNDERN: Der Befehl, der eine bereits bestehende Netzwerkrichtlinie aktualisiert. Diese Richtlinie wurde zuvor vom Illuminate-Team entwickelt, um die Konfiguration der IP-Adressbeschränkung zu erleichtern.

    • NP_ SVC_BLACKBOARD_DATA identifiziert die Netzwerkrichtlinie des Servicekontos, die eine IP-Adressbeschränkung aufweist. Netzwerkrichtlinien beginnen immer mit dem Präfix „NP“, gefolgt vom Benutzernamen des Servicekontos. Das einzige verfügbare Servicekonto heißt SVC_BLACKBOARD_DATA.

  • SET_ALLOWED_ID_LIST: Befehl, der die Liste der IP-Adressen angibt, die Ihrem Snowflake-Tenant mit einem Service-Konto erlaubt sind.

  • SET_BLOCKED_ID_LIST: Befehl, der die Liste der IP-Adressen angibt, die auf Ihren Snowflake-Tenant mit einem Service-Konto beschränkt sind.

Befolgen Sie diese Notation, um die IP-Adressen anzugeben, die Sie benötigen:

  • Eine einzelne IP-Adresse: Schreibe die IP-Adresse in Klammern und zwischen '-Zeichen. ('1.1.1.1')

  • Mehrere IP-Adressen: Schreiben Sie alle IP-Adressen in eine Klammer. Schreiben Sie jede IP-Adresse zwischen '-Zeichen und trennen Sie jede IP-Adresse durch ein Komma. ( '1.1.1.1','2.2.2.2','3.3.3.3')

  • IP-Adressbereich: Verwenden Sie das /-Zeichen am Ende einer IP-Adresse, um den Bereich darzustellen. In diesem Beispiel haben wir alle IP-Adressen im Bereich von 192.168.1.0 bis 192.168.1.255 zugelassen. ('192.168.1.0/24')

Überprüfen der Konfiguration Ihrer IP-Adresseinschränkung

Prozedur. Verifiziere deine IP-Adresskonfiguration

  1. Öffnen Sie das Seitenpanel in Snowflake und wählen Sie Arbeitsblätter.

  2. Wählen Sie Neues Arbeitsblatt erstellen. Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt.

  3. Um eine Liste der erlaubten und blockierten IP-Adressen anzuzeigen, führen Sie folgende Abfrage aus:

    DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
    Liste erlaubter und blockierter IP-Adressen

  4. Um die verfügbaren Netzwerkrichtlinien und die Anzahl der Einträge in der erlaubten IP- und blockierten IP-Liste zu finden.

    SHOW NETWORK POLICIES;
    Beispiel eines SQL-Arbeitsblatts für eine Abfrage

Ändern des Kennworts eines Snowflake Servicekontos, wenn eine IP-Adresseinschränkung vorliegt

Das Kennwort eines Servicekontos kann nur auf einem Computer geändert werden, der keine eingeschränkte IP-Adresse hat oder in der Liste der zulässigen IP-Adressen enthalten ist.

Dies liegt daran, dass das Zurücksetzen des Kennworts von Servicekonten in Snowflake erfolgt, wo IP-Adresseinschränkungen gelten.

  • Damit ein Illuminate-Benutzer das Kennwort eines Snowflake Servicekontos ändern kann, kann die IP-Adressliste vorübergehend geändert werden, um die IP-Adresse des Benutzercomputers in die Liste der zulässigen IP-Adressen aufzunehmen.

  • Nachdem der Illuminate-Benutzer das Kennwort des Servicekontos geändert hat, kann die IP-Adresse des Benutzercomputers erneut aus der Liste der zulässigen Benutzer entfernt werden.

Prozedur. Ändern Sie das Passwort eines Snowflake-Service-Kontos

  1. Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an.

  2. Öffnen Sie das Seitenpanel und wählen Sie Entwickler.

  3. Wählen Sie Einstellungen aus.

  4. Wählen Sie den Reiter Snowflake-Kontoeinstellungen.

  5. Unter der Liste Service-Konto suchen Sie nach dem SVC_BLACKBOARD_DATA Service. Das ist das einzige Snowflake-Servicekonto, das in Illuminate verfügbar ist.

  6. Wählen Sie Passwort ändern.

    Illuminate-Einstellungsbildschirm mit Passwort ändern unten rechts hervorgehoben

  7. Setze das Passwort zurück im Snowflake-Menü.