Skip to main content

Restriction d'adresse IP pour les comptes de service Snowflake

Restriction d'adresse IP pour les comptes de service Snowflake

La sécurité des données est essentielle. Votre établissement peut accorder ou restreindre l'accès aux comptes de service Snowflake à des adresses IP spécifiques. Cela réduit le risque d'accès non autorisé à des données sensibles.

Vous pouvez autoriser et restreindre une adresse IP spécifique ou une plage d'adresses IP.

Avec une adresse IP restreinte, les utilisateurs ne pourront pas accéder à un compte de service Snowflake ni modifier un mot de passe de compte de service Snowflake.

Dans cette page d'aide, vous trouverez les rubriques suivantes :

Se connecter à Snowflake

Il existe deux façons de se connecter à Snowflake :

  • Connectez-vous avec un nom d'utilisateur et un mot de passe : les comptes de service Illuminate sont utiles pour les connexions M2M (machine à machine). Les restrictions d'adresse IP s'appliquent uniquement aux comptes de service.SVC_BLACKBOARD_DATA

    Connectez-vous à l'écran Snowflake avec les champs de nom d'utilisateur et de mot de passe surlignés

  • Connectez-vous avec l'authentification unique : Snowflake prendra vos informations d'identification Illuminate pour se connecter. Pour configurer une restriction IP, vous devez vous connecter via authentification unique et avoir le rôle BBDATA_user_rôle . La restriction d'adresse IP ne s'applique pas aux utilisateurs qui se connectent avec l'authentification unique.

    Écran de connexion Snowflake avec Se connecter en utilisant l'authentification unique en surbrillance

Configurer une restriction d'adresse IP

Procédure. Configurer une restriction d'adresse IP

  1. Connectez-vous à Illuminate en tant qu'utilisateur avec le rôle de développeur.

  2. Ouvrez le panneau latéral et sélectionnez l'option Développeur .

  3. Sélectionnez Lancer Snowflake.

    Page d'accueil du développeur, avec Launch Snowflake en bas à gauche

  4. Sélectionnez Se connecter à l'aide de l'authentification unique.

    • Notez que, pour configurer une restriction IP, vous devez vous connecter via authentification unique. Si vous accédez à Snowflake avec un compte de service, les restrictions IP ne peuvent pas être appliquées.

    • Votre utilisateur Snowflake doit disposer d'un BBDATA_USER_ROLE.

    Écran de connexion Snowflake avec Se connecter en utilisant l'authentification unique en surbrillance

  5. Ouvrez le panneau latéral dans Snowflake et sélectionnez Feuilles de calcul .

  6. Sélectionnez Créer une nouvelle feuille de calcul.

  7. Vous pouvez choisir entre les feuilles de calcul SQL et Python. Dans cet exemple, nous avons sélectionné Feuille de calcul SQL.

    Exemple de feuille de calcul SQL dans Snowflake

  8. Vous pouvez utiliser cette requête comme base. Cet exemple de requête autorise une adresse IP spécifique (1.1.1.1) et restreint une plage d'adresses IP (de 192.168.1.0 à 192.168.1.255), pour un compte de service appelé SVC_BLACKBOARD_DATA .

    USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
    Onglet Feuilles de travail dans Snowflake

Explication de la commande

  • USER ROLE : rôle titulaire de l'autorisation de modifier la stratégie réseau de restriction IP.

    • BBDATA_USER_ROLE : est le seul rôle qui peut modifier les restrictions d'adresse IP.

  • ALTER NETWORK POLICY : commande qui met à jour une politique réseau préexistante. Cette politique a été précédemment créée par l'équipe Illuminate pour faciliter la configuration des restrictions d'adresses IP.

    • NP_ SVC_BLACKBOARD_DATA : identifie la politique réseau du compte de service qui aura une restriction d'adresse IP. Les politiques réseau commencent toujours par le préfixe « NP » suivi du nom d'utilisateur du compte de service. Le seul compte de service disponible s'appelle SVC_BLACKBOARD_DATA.

  • SET_ALLOWED_ID_LIST : commande qui spécifie la liste des adresses IP autorisées pour votre client Snowflake à l'aide d'un compte de service.

  • SET_BLOCKED_ID_LIST : commande qui spécifie la liste des adresses IP restreintes à votre client Snowflake à l'aide d'un compte de service. 

Suivez cette notation pour inclure les adresses IP dont vous avez besoin :

  • Une seule adresse IP : écrivez l'adresse IP entre parenthèses et entre les signes '. ('1.1.1.1')

  • Adresses IP multiples : écrivez toutes les adresses IP entre parenthèses. Écrivez chaque adresse IP entre les signes ' et séparez chaque adresse IP par une virgule. ( '1.1.1.1','2.2.2.2','3.3.3.3')

  • Plage d'adresses IP : utilisez le signe / à la fin d'une adresse IP pour représenter la plage. Dans cet exemple, nous avons autorisé toutes les adresses IP comprises entre 192.168.1.0 et 192.168.1.255. ('192.168.1.0/24')

Vérifier la configuration de votre restriction d'adresse IP

Procédure. Vérifiez la configuration de votre adresse IP

  1. Ouvrez le panneau latéral dans Snowflake et sélectionnez Feuilles de calcul .

  2. Sélectionnez Créer une nouvelle feuille de calcul. Vous pouvez choisir entre les feuilles de calcul SQL et Python. Dans cet exemple, nous avons sélectionné Feuille de calcul SQL.

  3. Pour afficher la liste des adresses IP autorisées et bloquées, exécutez la requête suivante :

    DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
    Liste des adresses IP autorisées et bloquées

  4. Pour trouver les stratégies réseau disponibles et le nombre d'entrées dans la liste IP autorisée et la liste IP bloquée.

    SHOW NETWORK POLICIES;
    Exemple de feuille de calcul SQL d'une requête

Modifier le mot de passe d'un compte de service Snowflake en cas de restriction d'adresse IP

Un mot de passe de compte de service ne peut être modifié que sur une machine qui n'a pas d'adresse IP restreinte ou qui figure dans la liste des adresses IP autorisées.

En effet, les réinitialisations de mot de passe du compte de service sont effectuées dans Snowflake, où des restrictions d'adresse IP s'appliquent.

  • Pour permettre à un utilisateur Illuminate de modifier le mot de passe d'un compte de service Snowflake, la liste d'adresses IP peut être temporairement modifiée pour inclure l'adresse IP de la machine de l'utilisateur dans la liste d'adresses IP autorisées.

  • Une fois que l'utilisateur Illuminate a modifié le mot de passe du compte de service, l'adresse IP de son ordinateur utilisateur peut être à nouveau supprimée de la liste autorisée.

Procédure. Modifier le mot de passe d'un compte de service Snowflake

  1. Connectez-vous à Illuminate en tant qu'utilisateur avec le rôle de développeur.

  2. Ouvrez le panneau latéral et sélectionnez Développpeur.

  3. Sélectionnez Paramètres.

  4. Sélectionnez l'onglet Paramètres du compte Snowflake.

  5. Dans la liste Compte de service, recherchez le compte de service SVC_BLACKBOARD_DATA. C'est le seul compte de service Snowflake disponible dans Illuminate.

  6. Sélectionnez Changer de mot de passe .

    Éclairer l'écran Paramètres avec Modifier le mot de passe mis en surbrillance en bas à droite

  7. Réinitialiser le mot de passe dans le menu Flocon de neige.