Skip to main content

IP-adressbegränsning för Snowflake-tjänstkonton

IP-adressbegränsning för Snowflake-tjänstkonton

Datasäkerhet är avgörande. Din institution kan ge eller begränsa åtkomst till Snowflake-tjänstkonton för specifika IP-adresser. Detta minskar risken för obehörig åtkomst till känsliga data.

Du kan tillåta och begränsa en specifik IP-adress eller ett intervall med IP-adresser.

Med en begränsad IP-adress kan användarna inte komma åt ett Snowflake-tjänstkonto eller ändra lösenordet för ett Snowflake-tjänstkonto.

På denna hjälpsida hittar du följande ämnen:

Logga in på Snowflake

Det finns två sätt att logga in på Snowflake:

  • Logga in med användarnamn och lösenord: Illuminate-tjänstekonton är användbara för M2M (maskin-till-maskin) anslutningar. IP-adressbegränsningar gäller endast för tjänstekonton. SVC_BLACKBOARD_DATA

    Logga in på Snowflake-skärmen med användarnamn- och lösenordsfält markerade

  • Logga in med enkel inloggning: Snowflake tar dina Illuminate-uppgifter för att logga in. För att konfigurera en IP-begränsning måste du logga in via enkel inloggning och ha rollen BBDATA_USER_ROLE. IP-adressbegränsning gäller inte för användare som loggar in med enkel inloggning.

    Snöflinga-inloggningsskärm med inloggning med enkel inloggning markerad

Konfigurera en IP-adressbegränsning

Procedur. Konfigurera en IP-adressbegränsning

  1. Logga in på Illuminate som en användare med utvecklarrollen.

  2. Öppna sidopanelen och välj alternativet Utvecklare.

  3. Välj Starta Snowflake.

    Utvecklarens hemsida, med Launch Snowflake nere till vänster

  4. Välj Logga in med enkel inloggning.

    • Observera att om du vill konfigurera en IP-begränsning måste du logga in via enkel inloggning. Om du går åt Snowflake med ett tjänstekonto kan IP-begränsningar inte tillämpas.

    • Din Snowflake-användare måste ha en BBDATA_USER_ROLE.

    Snöflinga-inloggningsskärm med inloggning med enkel inloggning markerad

  5. Öppna sidopanelen i Snowflake och välj Arbetsblad.

  6. Välj Skapa ett nytt arbetsblad.

  7. Du kan välja mellan SQL- och Python-arbetsblad. I det här exemplet valde vi SQL-arbetsblad.

    Exempel på SQL-arbetsblad i Snowflake

  8. Du kan använda den här frågan som bas. Denna exempelfråga tillåter en specifik IP-adress (1.1.1.1) och begränsar ett intervall av IP-adresser (från 192.168.1.0 till 192.168.1.255), för ett tjänstekonto kallat SVC_BLACKBOARD_DATA.

    USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
    Fliken Arbetsblad i Snöflinga

Förklaring av kommandot

  • ANVÄNDARROLL: Rollen som har tillstånd att ändra IP-begränsningspolicyn för nätverket.

    • BBDATA_USER_ROLE är den enda rollen som kan ändra IP-adressbegränsningar.

  • ÄNDRA NÄTVERKSPOLICY: Kommandot som uppdaterar en redan existerande nätverkspolicy. Denna policy skapades tidigare av Illuminate-teamet för att underlätta konfigurationen av IP-adressbegränsningar.

    • NP_ SVC_BLACKBOARD_DATA identifierar nätverkspolicyn för det tjänstekonto som kommer att ha en IP-adressbegränsning. Nätverkspolicyer börjar alltid med prefixet "NP" följt av användarnamnet för tjänstkontot. Det enda tillgängliga tjänstekontot heter SVC_BLACKBOARD_DATA.

  • SET_ALLOWED_ID_LIST: Kommando som specificerar listan över IP-adresser som tillåts din Snowflake-hyresgäst med ett tjänstekonto.

  • SET_BLOCKED_ID_LIST: Kommando som specificerar listan över IP-adresser begränsade till din Snowflake-hyresgäst med ett tjänstekonto.

Följ den här noteringen för att inkludera de IP-adresser som du behöver:

  • En enda IP-adress: skriv IP-adressen inom parentes och mellan '-tecken. ('1.1.1.1')

  • Flera IP-adresser: skriv alla IP-adresser inom en enda parentes. Skriv varje IP-adress mellan '-tecken och separera varje IP-adress med ett kommatecken. ( '1.1.1.1','2.2.2.2','3.3.3.3')

  • Intervall av IP-adresser: använd tecknet / i slutet av en IP-adress för att representera intervallet. I det här exemplet tillät vi alla IP-adresser i intervallet 192.168.1.0 till 192.168.1.255. ('192.168.1.0/24')

Kontrollera konfigurationen för IP-adressbegränsning

Procedur. Verifiera din IP-adresskonfiguration

  1. Öppna sidopanelen i Snowflake och välj Arbetsblad.

  2. Välj Skapa ett nytt arbetsblad. Du kan välja mellan SQL- och Python-arbetsblad. I det här exemplet valde vi SQL-arbetsblad.

  3. För att visa en lista över tillåtna och blockerade IP-adresser, kör följande fråga:

    DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
    Lista över tillåtna och blockerade IP-adresser

  4. För att hitta de tillgängliga nätverkspolicyerna och antalet poster i listan över tillåtna IP-adresser och blockerade IP-adresser.

    SHOW NETWORK POLICIES;
    SQL-arbetsbladsexempel på en fråga

Ändra lösenordet för ett Snowflake-tjänstkonto när det finns en IP-adressbegränsning

Ett tjänstekontolösenord kan endast ändras på en maskin som inte har en begränsad IP-adress eller ingår i listan över tillåtna IP-adresser.

Detta beror på att återställning av lösenord till tjänstekontot görs i Snowflake, där IP-adressbegränsningar gäller.

  • För att tillåta en Illuminate-användare att ändra lösenordet till ett Snowflake-tjänstekonto kan IP-adresslistan tillfälligt ändras för att inkludera användarmaskinens IP-adress i den tillåtna IP-adresslistan.

  • När Illuminate-användaren ändrar lösenordet för tjänstkontot kan användarens IP-adress tas bort från listan över tillåtna användare.

Procedur. Byt lösenord till ett Snowflake-tjänstekonto

  1. Logga in på Illuminate som en användare med utvecklarrollen.

  2. Öppna sidopanelen och välj Utvecklare.

  3. Välj Inställningar.

  4. Välj fliken Snowflake Account Settings.

  5. Under listan Tjänstekonto, leta efter SVC_BLACKBOARD_DATA tjänstekonto. Det är det enda Snowflake-tjänstekontot som finns tillgängligt i Illuminate.

  6. Välj Byt lösenord.

    Illuminate Settings-skärmen med Byt lösenord markerat nere till höger

  7. Återställ lösenordet i Snowflake-menyn.