Restrizione dell'indirizzo IP per gli Account di Servizio Snowflake
Restrizione dell'indirizzo IP per gli Account di Servizio Snowflake
La sicurezza dei dati è fondamentale. Il tuo istituto può concedere o limitare l'accesso agli account del servizio Snowflake a indirizzi IP specifici. Ciò riduce il rischio di accesso non autorizzato ai dati sensibili.
È possibile consentire e limitare un indirizzo IP specifico o un intervallo di indirizzi IP.
Con un indirizzo IP limitato, gli utenti non saranno in grado di accedere a un account di servizio Snowflake o di modificare la password di un account di servizio Snowflake.
In questa pagina di aiuto puoi trovare i seguenti argomenti:
Accedi a Snowflake
Ci sono due modi per accedere a Snowflake:
Accedi con nome utente e password: gli account di servizio Illuminate sono utili per le connessioni M2M (machine to machine). Le restrizioni relative agli indirizzi IP si applicano solo agli account del servizio. SVC_BLACKBOARD_DATA
Accedi con accesso SSO: Snowflake prenderà le tue credenziali Illuminate per accedere. Per configurare una restrizione IP, è necessario accedere tramite accesso SSO e disporre del ruolo BBDATA_USER_ROLE. La restrizione dell'indirizzo IP non si applica agli utenti che accedono con accesso SSO.
Configurare una restrizione dell'indirizzo IP
Accedi a Illuminate come utente con il ruolo di sviluppatore.
Apri il pannello laterale e seleziona l'opzione Sviluppatore.
Seleziona Avvia Snowflake.
Seleziona Accedi tramite accesso SSO.
Si noti che per configurare una restrizione IP, è necessario accedere tramite accesso SSO. Se accedi a Snowflake con un account di servizio, le restrizioni IP non possono essere applicate.
Il tuo utente Snowflake deve avere un BBDATA_USER_ROLE.
Apri il pannello laterale in Snowflake e seleziona Fogli di lavoro.
Seleziona Crea un nuovo foglio di lavoro.
È possibile scegliere tra fogli di lavoro SQL e Python. In questo esempio, abbiamo selezionato Foglio di lavoro SQL.
È possibile utilizzare questa query come base. Questa query di esempio consente un indirizzo IP specifico (1.1.1.1) e limita un intervallo di indirizzi IP (da 192.168.1.0 a 192.168.1.255) per un account di servizio denominato SVC_BLACKBOARD_DATA.
USE ROLE BBDATA_USER_ROLE; ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1'); ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
Spiegazione del comando
RUOLO UTENTE: Il ruolo che detiene l'autorizzazione per modificare la politica di rete di restrizione IP.
BBDATA_USER_ROLE è l'unico ruolo che può modificare le restrizioni degli indirizzi IP.
ALTER NETWORK POLICY: Il comando che aggiorna un policy di rete preesistente. Questa politica è stata precedentemente creata dal team di Illuminate per facilitare la configurazione delle restrizioni degli indirizzi IP.
NP_ SVC_BLACKBOARD_DATA identifica i criteri di rete dell'account del servizio che avrà una restrizione dell'indirizzo IP. I criteri di rete iniziano sempre con il prefisso "NP" seguito dal nome utente dell'account di servizio. L'unico account di servizio disponibile si chiama SVC_BLACKBOARD_DATA.
SET_ALLOWED_ID_LIST: Comando che specifica l'elenco di indirizzi IP consentiti al tenant Snowflake utilizzando un account di servizio.
SET_BLOCKED_ID_LIST: Comando che specifica l'elenco di indirizzi IP limitati al tenant Snowflake utilizzando un account di servizio.
Seguire questa notazione per includere gli indirizzi IP necessari:
Un singolo indirizzo IP: scrivere l'indirizzo IP tra parentesi e tra i segni '. ('1.1.1.1')
Indirizzi IP multipli: scrivere tutti gli indirizzi IP in un'unica parentesi. Scrivi ogni indirizzo IP tra i segni ' e separa ogni indirizzo IP con una virgola. ( '1.1.1.1','2.2.2.2','3.3.3.3')
Intervallo di indirizzi IP: utilizzare il segno / alla fine di un indirizzo IP per rappresentare l'intervallo. In questo esempio, sono consentiti tutti gli indirizzi IP compresi nell'intervallo compreso tra 192.168.1.0 e 192.168.1.255. ('192.168.1.0/24')
Controllare la configurazione della restrizione dell'indirizzo IP
Apri il pannello laterale in Snowflake e seleziona Fogli di lavoro.
Seleziona Crea un nuovo foglio di lavoro. È possibile scegliere tra fogli di lavoro SQL e Python. In questo esempio, abbiamo selezionato Foglio di lavoro SQL.
Per visualizzare un elenco di indirizzi IP consentiti e bloccati, eseguire la query seguente:
DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
Per trovare i criteri di rete disponibili e il numero di voci nell'elenco degli IP consentiti e nell'elenco degli IP bloccati.
SHOW NETWORK POLICIES;
Modificare la password di un account di servizio Snowflake quando è presente una restrizione dell'indirizzo IP
La password di un account di servizio può essere modificata solo in un computer che non dispone di un indirizzo IP limitato o che è incluso nell'elenco degli indirizzi IP consentiti.
Questo perché la reimpostazione della password dell'account di servizio viene eseguita in Snowflake, dove si applicano le restrizioni dell'indirizzo IP.
Per consentire a un utente Illuminate di modificare la password di un account di servizio Snowflake, l'elenco degli indirizzi IP può essere temporaneamente modificato per includere l'indirizzo IP della macchina dell'utente nell'elenco degli indirizzi IP consentiti.
Dopo che l'utente Illuminate ha modificato la password dell'account di servizio, l'indirizzo IP del computer dell'utente può essere nuovamente rimosso dall'elenco dei file consentiti.
Accedi a Illuminate come utente con il ruolo di sviluppatore.
Apri il pannello laterale e seleziona Sviluppatore.
Seleziona Impostazioni.
Seleziona la scheda Impostazioni account Snowflake.
Nell'elenco Account di servizio individuare l'account di servizio SVC_BLACKBOARD_DATA. Questo è l'unico account di servizio Snowflake disponibile in Illuminate.
Seleziona Cambia password.
Reimposta la password nel menu Snowflake.