Skip to main content

IP-adresbeperking voor Snowflake-accounts

IP-adresbeperking voor Snowflake-accounts

Gegevensbeveiliging is essentieel. Je instelling kan Snowflake-serviceaccounts toegang verlenen of beperken tot specifieke IP-adressen. Dit vermindert het risico van onbevoegde toegang tot gevoelige gegevens.

Je kunt een bepaald IP-adres of een bereik van IP-adressen toestaan en beperken.

Met een beperkt IP-adres hebben gebruikers geen toegang tot een Snowflake-serviceaccount en kunnen ze het wachtwoord van een Snowflake serviceaccount niet wijzigen.

Op deze helppagina vindt u de volgende onderwerpen:

Log in bij Snowflake

Er zijn twee manieren om in te loggen bij Snowflake:

  • Log in met gebruikersnaam en wachtwoord: Illuminate-serviceaccounts zijn handig voor M2M (machine-to-machine) verbindingen. IP-adresbeperkingen gelden alleen voor serviceaccounts. SVC_BLACKBOARD_DATA

    Log in op het Snowflake-scherm met de velden voor gebruikersnaam en wachtwoord gemarkeerd

  • Log in met Eenmalige aanmelding: Snowflake neemt je Illuminate-gegevens mee om in te loggen. Om een IP-beperking te configureren, moet je inloggen via Eenmalige aanmelding en de BBDATA_USER_ROLE rol hebben. IP-adresbeperking geldt niet voor gebruikers die met eenmalige aanmelding inloggen.

    Snowflake inlogscherm met inloggen via eenmalige aanmelding gemarkeerd

Configureer een IP-adresbeperking

procedure. Configureer een IP-adresbeperking

  1. Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol.

  2. Open het zijpaneel en selecteer de optie Ontwikkelaar.

  3. Selecteer Snowflake starten.

    Developer homepage, met Launch Snowflake linksonder

  4. Selecteer Aanmelden met SSO.

    • Als je een IP-beperking wilt configureren, moet je je aanmelden via SSO. Als je Snowflake opent met een serviceaccount, kunnen IP-beperkingen niet worden toegepast.

    • Je Snowflake-gebruiker moet beschikken over een BBDATA_USER_ROLE.

    Snowflake inlogscherm met inloggen via eenmalige aanmelding gemarkeerd

  5. Open het zijpaneel in Snowflake en selecteer Werkbladen.

  6. Selecteer Een nieuw werkblad maken.

  7. Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd.

    Voorbeeld SQL-werkblad in Snowflake

  8. Je kunt deze query als basis gebruiken. Met deze voorbeeldquery is een specifiek IP-adres toegestaan (1.1.1.1) en wordt een bereik van IP-adressen beperkt (van 192.168.1.0 tot 192.168.1.255) voor een serviceaccount met de naam SVC_BLACKBOARD_DATA.

    USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
    Werkbladen in Snowflake

Commando-uitleg

  • GEBRUIKER ROL: De rol die de toestemming geeft om het IP-beperkingsnetwerkbeleid te wijzigen.

    • BBDATA_USER_ROLE is de enige rol die IP-adresbeperkingen kan wijzigen.

  • WIJZIGEN NETWERKBELEID: Het commando dat een bestaand netwerkbeleid bijwerkt. Dit beleid is eerder ontwikkeld door het Illuminate-team om de configuratie van IP-adresbeperkingen te vergemakkelijken.

    • NP_ SVC_BLACKBOARD_DATA identificeert het netwerkbeleid van de serviceaccount dat een IP-adresbeperking zal hebben. Netwerkbeleid begint altijd met het voorvoegsel 'NP', gevolgd door de gebruikersnaam van het serviceaccount. Het enige beschikbare serviceaccount heet SVC_BLACKBOARD_DATA.

  • SET_ALLOWED_ID_LIST: Commando dat de lijst specificeert met IP-adressen die je Snowflake-tenant mag gebruiken met een serviceaccount.

  • SET_BLOCKED_ID_LIST: Opdracht waarmee de lijst met IP-adressen wordt opgegeven die zijn beperkt voor je Snowflake-tenant via een serviceaccount. 

Volg deze notatie om de gewenste IP-adressen op te nemen:

  • Eén IP-adres: schrijf het IP-adres tussen haakjes en tussen enkele aanhalingstekens. ('1.1.1.1')

  • Meerdere IP-adressen: schrijf alle IP-adressen tussen één set haakjes. Schrijf elk IP-adres tussen '-tekens en scheid elk IP-adres met een komma. ( '1.1.1.1','2.2.2.2','3.3.3.3')

  • Bereik van IP-adressen: gebruik het /-teken aan het einde van een IP-adres om het bereik aan te geven. In dit voorbeeld zijn alle IP-adressen binnen het bereik van 192.168.1.0 tot 192.168.1.255. ('192.168.1.0/24') toegestaan

Controleer de configuratie van je IP-adresbeperking

procedure. Controleer de configuratie van je IP-adres

  1. Open het zijpaneel in Snowflake en selecteer Werkbladen.

  2. Selecteer Een nieuw werkblad maken. Je kunt kiezen tussen SQL- en Python-werkbladen. In dit voorbeeld hebben we SQL-werkblad geselecteerd.

  3. Om een lijst van toegestane en geblokkeerde IP-adressen te tonen, voer je de volgende zoekopdracht uit:

    DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
    Lijst van toegestane en geblokkeerde IP-adressen

  4. Om de beschikbare netwerkbeleidsregels en het aantal vermeldingen in de lijst met toegestane IP's en geblokkeerde IP's te vinden.

    SHOW NETWORK POLICIES;
    Voorbeeld van een SQL-werkblad van een query

Verander het wachtwoord van een Snowflake-serviceaccount wanneer er een IP-adresbeperking is

Een wachtwoord van een serviceaccount kan alleen worden gewijzigd op een machine die geen beperkt IP-adres heeft of is opgenomen in de lijst met toegestane IP-adressen.

Dit komt doordat het resetten van service-accounts wordt uitgevoerd in Snowflake, waar IP-adresbeperkingen gelden.

  • Om een Illuminate-gebruiker toe te staan het wachtwoord van een Snowflake-serviceaccount te wijzigen, kan de IP-adreslijst tijdelijk worden aangepast om het IP-adres van de gebruikersmachine op te nemen in de toegestane IP-adreslijst.

  • Nadat de Illuminate-gebruiker het wachtwoord van het serviceaccount heeft gewijzigd, kan het IP-adres van de gebruikerscomputer weer van de toegestane lijst worden verwijderd.

procedure. Verander het wachtwoord van een Snowflake-serviceaccount

  1. Meld je aan bij Illuminate als gebruiker met de ontwikkelaarsrol.

  2. Open het zijpaneel en selecteer Ontwikkelaar.

  3. Selecteer Instellingen.

  4. Selecteer het tabblad Snowflake Account Settings.

  5. Zoek onder de lijst Dienstaccount naar het SVC_BLACKBOARD_DATA dienstaccount. Dat is het enige Snowflake-serviceaccount dat beschikbaar is in Illuminate.

  6. Selecteer Wachtwoord wijzigen.

    Illuminate Instellingen-scherm met Wachtwoord wijzigen rechtsonder gemarkeerd

  7. Reset het wachtwoord in het Snowflake-menu.