Restricción de direcciones IP para cuentas de servicio Snowflake
La seguridad de los datos es fundamental. Su institución puede otorgar o restringir el acceso a cuentas de servicio Snowflake a direcciones IP específicas. Esto reduce el riesgo de acceso no autorizado a datos confidenciales.
Puede permitir y restringir una dirección IP específica o un intervalo de direcciones IP
Con una dirección IP restringida, los usuarios no podrán acceder a una cuenta de servicio Snowflake ni cambiar la contraseña de dicha cuenta.
En esta página de ayuda encontrará los siguientes temas:
- ¿Qué es una cuenta de servicio Snowflake?
- Configurar una restricción de dirección IP
- Comprobar la configuración de restricción de dirección IP
- Cambiar la contraseña de una cuenta de servicio Snowflake cuando haya una restricción de dirección IP
¿Qué es una cuenta de servicio Snowflake?
Existen dos formas de iniciar sesión en Snowflake.
- Iniciar sesión con nombre de usuario y contraseña: se denominan cuentas de servicio de Illuminate y son útiles para conexiones M2M (máquina a máquina). Las restricciones de dirección IP solo se aplican a las cuentas de servicio. Por el momento, solo hay 1 cuenta de servicio disponible en Illuminate llamada SVC_BLACKBOARD_DATA.
- Iniciar sesión con SSO: Snowflake usará sus credenciales de Illuminate para iniciar sesión. Para configurar una restricción de IP, debe iniciar sesión a través de SSO y tener el rol BBDATA_USER_ROLE. La restricción de dirección IP no se aplica a los usuarios que inician sesión con SSO.
Configurar una restricción de dirección IP
Para configurar una restricción de dirección IP:
- Inicie sesión en Illuminate como un usuario con el rol de desarrollador.
- Abra el panel lateral y seleccione la opción Desarrollador.
- Seleccione Iniciar Snowflake.
- Seleccione Iniciar sesión con SSO.
- Tenga en cuenta que para configurar una restricción de IP, debe iniciar sesión a través de SSO. Si accede a Snowflake con una cuenta de servicio, no se pueden aplicar restricciones de IP.
- El usuario Snowflake debe tener un rol BBDATA_USER_ROLE.
- Abra el panel lateral en Snowflake y seleccione Hojas de trabajo.
- Seleccione Crear una nueva hoja de trabajo.
- Puede elegir entre hojas de trabajo SQL y Python. En este ejemplo, seleccionamos hoja de trabajo SQL.
- Puede usar esta consulta como base. Esta consulta de ejemplo permite una dirección IP específica (1.1.1.1) y restringe un intervalo de direcciones IP (de 192.168.1.0 a 192.168.1.255) para una cuenta de servicio denominada SVC_BLACKBOARD_DATA.
UTILIZAR ROL BBDATA_USER_ROLE;
MODIFICAR LA POLÍTICA DE RED NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
MODIFICAR LA POLÍTICA DE RED NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
Explicación del comando
- ROL DE USUARIO. El rol que tiene permiso para modificar la política de red de restricción de IP.
- BBDATA_USER_ROLE es el único rol que puede alterar las restricciones de dirección IP.
- MODIFICAR LA POLÍTICA DE RED. El comando que actualiza una política de red preexistente. Esta política fue creada previamente por el equipo de Illuminate para facilitar la configuración de restricción de direcciones IP.
- NP_ SVC_BLACKBOARD_DATA. Identifica la política de red de la cuenta de servicio que tendrá una restricción de dirección IP. Las políticas de red siempre comienzan con el prefijo "NP" seguido del nombre de usuario de la cuenta de servicio. La única cuenta de servicio disponible se llama SVC_BLACKBOARD_DATA.
- SET_ALLOWED_ID_LIST. Comando que especifica la lista de direcciones IP permitidas a su inquilino Snowflake mediante una cuenta de servicio.
- SET_BLOCKED_ID_LIST. Comando que especifica la lista de direcciones IP restringidas a su inquilino Snowflake mediante una cuenta de servicio.
Siga esta anotación para incluir las direcciones IP que necesita:
- Una sola dirección IP: escriba la dirección IP entre paréntesis y entre los signos '. ('1.1.1.1')
- Múltiples direcciones IP: escriba todas las direcciones IP en un solo paréntesis. Escriba cada dirección IP entre los signos ' y separe cada dirección IP con una coma ( '1.1.1.1','2.2.2.2','3.3.3.3').
- Rango de direcciones IP: use el signo / al final de una dirección IP para representar el rango. En este ejemplo, permitimos todas las direcciones IP en el rango de 192.168.1.0 a 192.168.1.255 ('192.168.1.0/24').
Verifique la configuración de restricción de su dirección IP
Si desea verificar su configuración de restricción de dirección IP, puede usar los siguientes comandos:
- Al igual que antes, abra el panel lateral en Snowflake y seleccione Hojas de trabajo.
- Seleccione Crear una nueva hoja de trabajo. Puede elegir entre hojas de trabajo SQL y Python. En este ejemplo, seleccionamos hoja de trabajo SQL.
- Ejecute la siguiente consulta.
DESCRIBIR LAS POLÍTICAS DE RED DE NP_SVC_BLACKBOARD_DATA
- En la sección Resultados , encontrará la lista de direcciones IP permitidas y bloqueadas.
- También puede ejecutar la siguiente consulta.
MOSTRAR POLÍTICAS DE RED
- En la sección Resultados , encontrará las políticas de red disponibles y la cantidad de entradas en la lista de IP permitidas y la lista de IP bloqueadas.
Cambiar la contraseña de una cuenta de servicio Snowflake cuando haya una restricción de dirección IP
La contraseña de una cuenta de servicio solo se puede cambiar en una máquina que no tenga una dirección IP restringida o que esté incluida en la lista de direcciones IP permitidas.
Esto se debe a que el restablecimiento de la contraseña de la cuenta de servicio se realiza en Snowflake, donde se aplican restricciones en direcciones IP.
- Para permitir que un usuario de Illuminate pueda cambiar la contraseña de una cuenta de servicio Snowflake, la lista de direcciones IP se puede modificar temporalmente para incluir la dirección IP de la máquina del usuario en la lista de direcciones IP permitidas.
- Después de que el usuario de Illuminate cambie la contraseña de la cuenta de servicio, su dirección IP de la máquina de usuario se puede eliminar nuevamente de la lista de direcciones IP permitidas.
Puede cambiar la contraseña de una cuenta de servicio de Snowflake siguiendo estos pasos:
- Inicie sesión en Illuminate como un usuario con el rol de Desarrollador.
- Abra el panel lateral y seleccione Desarrollador.
- Seleccione Configuración.
- Seleccione la pestaña Configuración de la cuenta Snowflake
- En la lista Cuenta de servicio , busque la cuenta de servicio SVC_BLACKBOARD_DATA. Esa es la única cuenta de servicio Snowflake disponible en Illuminate.
- Seleccione Cambiar contraseña.
- Restablezca la contraseña en el menú Snowflake.