IP-Adresseinschränkung für Snowflake Servicekonten 

Datensicherheit ist das A und O. Ihre Institution kann bestimmten IP-Adressen den Zugriff auf Snowflake Servicekonten gewähren oder dies einschränken. Dadurch wird das Risiko eines unbefugten Zugriffs auf sensible Daten reduziert.

Sie können eine bestimmte IP-Adresse oder einen IP-Adressbereich zulassen oder einschränken.

Mit einer eingeschränkten IP-Adresse können Benutzer nicht auf ein Snowflake Servicekonto zugreifen oder das Kennwort eines Snowflake Servicekontos ändern.

Auf dieser Hilfeseite finden Sie die folgenden Themen: 

Was ist ein Snowflake Servicekonto?

Es gibt zwei Möglichkeiten, sich bei Snowflake anzumelden.

  • Mit Benutzername und Kennwort anmelden: Diese werden als Illuminate-Servicekonten bezeichnet und sind für M2M-Verbindungen (Maschine zu Maschine) nützlich. Einschränkungen für IP-Adressen gelten nur für Servicekonten. Derzeit ist in Illuminate nur 1 Servicekonto mit dem Namen SVC_BLACKBOARD_DATA verfügbar.
Sign in to Snowflake screen with user name and password fields highlighted
  • Mit SSO anmelden: Snowflake übernimmt Ihre Illuminate-Anmeldedaten, um sich anzumelden. Um eine IP-Einschränkung zu konfigurieren, müssen Sie sich über SSO anmelden und über die Rolle BBDATA_USER_ROLE verfügen. Die IP-Adresseinschränkung gilt nicht für Benutzer, die sich mit SSO anmelden.
Snowflake sign in screen with Sign in using SSO highlighted

Konfigurieren einer IP-Adresseinschränkung

So konfigurieren Sie eine IP-Adresseinschränkung: 

  • Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an. 
  • Öffnen Sie den Seitenbereich und wählen Sie die Option Developer aus.
  • Wählen Sie Snowflake starten aus.
Developer homepage, with Launch Snowflake in the bottom left
  • Wählen Sie Mit SSO anmelden aus.
    • Beachten Sie, dass Sie sich über SSO anmelden müssen, um eine IP-Einschränkung zu konfigurieren. Wenn Sie mit einem Servicekonto auf Snowflake zugreifen, können keine IP-Einschränkungen angewendet werden.
    • Ihr Snowflake Benutzer muss über die Rolle BBDATA_USER_ROLE verfügen.
Snowflake sign in screen with Sign in using SSO highlighted
  • Öffnen Sie den Seitenbereich in Snowflake und wählen Sie Arbeitsblätter aus.
  • Wählen Sie Neues Arbeitsblatt erstellen
  • Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt.
Example SQL worksheet in Snowflake
  • Sie können diese Abfrage als Basis verwenden. Diese Beispielabfrage lässt eine bestimmte IP-Adresse (1.1.1.1) zu und schränkt einen Bereich von IP-Adressen (von 192.168.1.0 bis 192.168.1.255) für ein Servicekonto mit dem Namen SVC_BLACKBOARD_DATA ein.

USE ROLE BBDATA_USER_ROLE;

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');

Worksheets tab in Snowflake

Erläuterung des Befehls 

  • USER ROLE: Die Rolle, die über die Berechtigung zum Ändern der Netzwerkrichtlinie für die IP-Beschränkung verfügt. 
    • BBDATA_USER_ROLE ist die einzige Rolle, die IP-Adresseinschränkungen ändern kann. 
  • ALTER NETWORK POLICY: Der Befehl, mit dem eine bereits vorhandene Netzwerkrichtlinie aktualisiert wird. Diese Richtlinie wurde zuvor vom Illuminate-Team erstellt, um die Konfiguration der IP-Adresseinschränkung zu erleichtern. 
    • NP_ SVC_BLACKBOARD_DATA: Identifiziert die Netzwerkrichtlinie des Servicekontos, das über eine IP-Adresseinschränkung verfügt. Netzwerkrichtlinien beginnen immer mit dem Präfix „NP“, gefolgt vom Benutzernamen des Servicekontos. Das einzige verfügbare Servicekonto heißt SVC_BLACKBOARD_DATA. 
  • SET_ALLOWED_ID_LIST: Befehl, der mithilfe eines Servicekontos die Liste der IP-Adressen angibt, die für Ihren Snowflake Mandanten zulässig sind. 
  • SET_BLOCKED_ID_LIST: Befehl, der mithilfe eines Servicekontos die Liste der IP-Adressen angibt, die für Ihren Snowflake Mandanten eingeschränkt sind. 

Befolgen Sie diese Notation, um die IP-Adressen anzugeben, die Sie benötigen:

  •   Eine einzelne IP-Adresse: Schreiben Sie die IP-Adresse in Klammern und zwischen '-Zeichen. ('1.1.1.1')
  • Mehrere IP-Adressen: Schreiben Sie alle IP-Adressen in eine Klammer. Schreiben Sie jede IP-Adresse zwischen '-Zeichen und trennen Sie jede IP-Adresse durch ein Komma. ( '1.1.1.1','2.2.2.2','3.3.3.3') 
  • IP-Adressbereich: Verwenden Sie das /-Zeichen am Ende einer IP-Adresse, um den Bereich darzustellen. In diesem Beispiel haben wir alle IP-Adressen im Bereich von 192.168.1.0 bis 192.168.1.255 zugelassen. ('192.168.1.0/24')

Überprüfen Sie die Konfiguration Ihrer IP-Adresseinschränkung 

Wenn Sie die Konfiguration Ihrer IP-Adresseinschränkung überprüfen möchten, können Sie die folgenden Befehle verwenden: 

  • Öffnen Sie wie zuvor den Seitenbereich in Snowflake und wählen Sie Arbeitsblätter aus.
  • Wählen Sie Neues Arbeitsblatt erstellen. Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt. 
  • Führen Sie die folgende Abfrage aus.

DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA; 

  • Im Abschnitt Ergebnisse finden Sie die Liste der zulässigen und blockierten IP-Adressen.
List of allowed and blocked IP addresses
  • Sie können auch die folgende Abfrage ausführen. 

SHOW NETWORK POLICIES; 

  • Im Abschnitt Ergebnisse finden Sie die verfügbaren Netzwerkrichtlinien und die Anzahl der Einträge in der Liste der zulässigen und blockierten IP-Adressen.
SQL worksheet example of a query

Ändern des Kennworts eines Snowflake Servicekontos, wenn eine IP-Adresseinschränkung vorliegt

Das Kennwort eines Servicekontos kann nur auf einem Computer geändert werden, der keine eingeschränkte IP-Adresse hat oder in der Liste der zulässigen IP-Adressen enthalten ist. 

Dies liegt daran, dass das Zurücksetzen des Kennworts von Servicekonten in Snowflake erfolgt, wo IP-Adresseinschränkungen gelten. 

  • Damit ein Illuminate-Benutzer das Kennwort eines Snowflake Servicekontos ändern kann, kann die IP-Adressliste vorübergehend geändert werden, um die IP-Adresse des Benutzercomputers in die Liste der zulässigen IP-Adressen aufzunehmen.
  • Nachdem der Illuminate-Benutzer das Kennwort des Servicekontos geändert hat, kann die IP-Adresse des Benutzercomputers erneut aus der Liste der zulässigen Benutzer entfernt werden.

Sie können das Kennwort eines Snowflake Servicekontos wie folgt ändern:

  • Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an. 
  • Öffnen Sie den Seitenbereich und wählen Sie Developer aus. 
  • Wählen Sie Einstellungen aus. 
  • Wählen Sie die Registerkarte Snowflake Account Settings (Snowflake Kontoeinstellungen) aus.
  • Suchen Sie in der Liste Service Account nach dem Servicekonto SVC_BLACKBOARD_DATA. Dies ist das einzige Snowflake Servicekonto, das in Illuminate verfügbar ist.
  • Wählen Sie Change Password
  • Wählen Sie Reset the password (Kennwort zurücksetzen) im Snowflake Menü.
Illuminate Settings screen with Change Password highlighted in the bottom right