IP-Adresseinschränkung für Snowflake Servicekonten
Datensicherheit ist das A und O. Ihre Institution kann bestimmten IP-Adressen den Zugriff auf Snowflake Servicekonten gewähren oder dies einschränken. Dadurch wird das Risiko eines unbefugten Zugriffs auf sensible Daten reduziert.
Sie können eine bestimmte IP-Adresse oder einen IP-Adressbereich zulassen oder einschränken.
Mit einer eingeschränkten IP-Adresse können Benutzer nicht auf ein Snowflake Servicekonto zugreifen oder das Kennwort eines Snowflake Servicekontos ändern.
Auf dieser Hilfeseite finden Sie die folgenden Themen:
- Was ist ein Snowflake Servicekonto?
- Konfigurieren einer IP-Adresseinschränkung
- Überprüfen der Konfiguration Ihrer IP-Adresseinschränkung
- Ändern des Kennworts eines Snowflake Servicekontos, wenn eine IP-Adresseinschränkung vorliegt
Was ist ein Snowflake Servicekonto?
Es gibt zwei Möglichkeiten, sich bei Snowflake anzumelden.
- Mit Benutzername und Kennwort anmelden: Diese werden als Illuminate-Servicekonten bezeichnet und sind für M2M-Verbindungen (Maschine zu Maschine) nützlich. Einschränkungen für IP-Adressen gelten nur für Servicekonten. Derzeit ist in Illuminate nur 1 Servicekonto mit dem Namen SVC_BLACKBOARD_DATA verfügbar.
- Mit SSO anmelden: Snowflake übernimmt Ihre Illuminate-Anmeldedaten, um sich anzumelden. Um eine IP-Einschränkung zu konfigurieren, müssen Sie sich über SSO anmelden und über die Rolle BBDATA_USER_ROLE verfügen. Die IP-Adresseinschränkung gilt nicht für Benutzer, die sich mit SSO anmelden.
Konfigurieren einer IP-Adresseinschränkung
So konfigurieren Sie eine IP-Adresseinschränkung:
- Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an.
- Öffnen Sie den Seitenbereich und wählen Sie die Option Developer aus.
- Wählen Sie Snowflake starten aus.
- Wählen Sie Mit SSO anmelden aus.
- Beachten Sie, dass Sie sich über SSO anmelden müssen, um eine IP-Einschränkung zu konfigurieren. Wenn Sie mit einem Servicekonto auf Snowflake zugreifen, können keine IP-Einschränkungen angewendet werden.
- Ihr Snowflake Benutzer muss über die Rolle BBDATA_USER_ROLE verfügen.
- Öffnen Sie den Seitenbereich in Snowflake und wählen Sie Arbeitsblätter aus.
- Wählen Sie Neues Arbeitsblatt erstellen.
- Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt.
- Sie können diese Abfrage als Basis verwenden. Diese Beispielabfrage lässt eine bestimmte IP-Adresse (1.1.1.1) zu und schränkt einen Bereich von IP-Adressen (von 192.168.1.0 bis 192.168.1.255) für ein Servicekonto mit dem Namen SVC_BLACKBOARD_DATA ein.
USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
Erläuterung des Befehls
- USER ROLE: Die Rolle, die über die Berechtigung zum Ändern der Netzwerkrichtlinie für die IP-Beschränkung verfügt.
- BBDATA_USER_ROLE ist die einzige Rolle, die IP-Adresseinschränkungen ändern kann.
- ALTER NETWORK POLICY: Der Befehl, mit dem eine bereits vorhandene Netzwerkrichtlinie aktualisiert wird. Diese Richtlinie wurde zuvor vom Illuminate-Team erstellt, um die Konfiguration der IP-Adresseinschränkung zu erleichtern.
- NP_ SVC_BLACKBOARD_DATA: Identifiziert die Netzwerkrichtlinie des Servicekontos, das über eine IP-Adresseinschränkung verfügt. Netzwerkrichtlinien beginnen immer mit dem Präfix „NP“, gefolgt vom Benutzernamen des Servicekontos. Das einzige verfügbare Servicekonto heißt SVC_BLACKBOARD_DATA.
- SET_ALLOWED_ID_LIST: Befehl, der mithilfe eines Servicekontos die Liste der IP-Adressen angibt, die für Ihren Snowflake Mandanten zulässig sind.
- SET_BLOCKED_ID_LIST: Befehl, der mithilfe eines Servicekontos die Liste der IP-Adressen angibt, die für Ihren Snowflake Mandanten eingeschränkt sind.
Befolgen Sie diese Notation, um die IP-Adressen anzugeben, die Sie benötigen:
- Eine einzelne IP-Adresse: Schreiben Sie die IP-Adresse in Klammern und zwischen '-Zeichen. ('1.1.1.1')
- Mehrere IP-Adressen: Schreiben Sie alle IP-Adressen in eine Klammer. Schreiben Sie jede IP-Adresse zwischen '-Zeichen und trennen Sie jede IP-Adresse durch ein Komma. ( '1.1.1.1','2.2.2.2','3.3.3.3')
- IP-Adressbereich: Verwenden Sie das /-Zeichen am Ende einer IP-Adresse, um den Bereich darzustellen. In diesem Beispiel haben wir alle IP-Adressen im Bereich von 192.168.1.0 bis 192.168.1.255 zugelassen. ('192.168.1.0/24')
Überprüfen Sie die Konfiguration Ihrer IP-Adresseinschränkung
Wenn Sie die Konfiguration Ihrer IP-Adresseinschränkung überprüfen möchten, können Sie die folgenden Befehle verwenden:
- Öffnen Sie wie zuvor den Seitenbereich in Snowflake und wählen Sie Arbeitsblätter aus.
- Wählen Sie Neues Arbeitsblatt erstellen. Sie können zwischen SQL- und Python-Arbeitsblättern wählen. In diesem Beispiel haben wir SQL-Arbeitsblatt ausgewählt.
- Führen Sie die folgende Abfrage aus.
DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
- Im Abschnitt Ergebnisse finden Sie die Liste der zulässigen und blockierten IP-Adressen.
- Sie können auch die folgende Abfrage ausführen.
SHOW NETWORK POLICIES;
- Im Abschnitt Ergebnisse finden Sie die verfügbaren Netzwerkrichtlinien und die Anzahl der Einträge in der Liste der zulässigen und blockierten IP-Adressen.
Ändern des Kennworts eines Snowflake Servicekontos, wenn eine IP-Adresseinschränkung vorliegt
Das Kennwort eines Servicekontos kann nur auf einem Computer geändert werden, der keine eingeschränkte IP-Adresse hat oder in der Liste der zulässigen IP-Adressen enthalten ist.
Dies liegt daran, dass das Zurücksetzen des Kennworts von Servicekonten in Snowflake erfolgt, wo IP-Adresseinschränkungen gelten.
- Damit ein Illuminate-Benutzer das Kennwort eines Snowflake Servicekontos ändern kann, kann die IP-Adressliste vorübergehend geändert werden, um die IP-Adresse des Benutzercomputers in die Liste der zulässigen IP-Adressen aufzunehmen.
- Nachdem der Illuminate-Benutzer das Kennwort des Servicekontos geändert hat, kann die IP-Adresse des Benutzercomputers erneut aus der Liste der zulässigen Benutzer entfernt werden.
Sie können das Kennwort eines Snowflake Servicekontos wie folgt ändern:
- Melden Sie sich bei Illuminate als Benutzer mit der Entwicklerrolle „Developer“ an.
- Öffnen Sie den Seitenbereich und wählen Sie Developer aus.
- Wählen Sie Einstellungen aus.
- Wählen Sie die Registerkarte Snowflake Account Settings (Snowflake Kontoeinstellungen) aus.
- Suchen Sie in der Liste Service Account nach dem Servicekonto SVC_BLACKBOARD_DATA. Dies ist das einzige Snowflake Servicekonto, das in Illuminate verfügbar ist.
- Wählen Sie Change Password.
- Wählen Sie Reset the password (Kennwort zurücksetzen) im Snowflake Menü.