Restriction d'adresse IP pour les comptes de service Snowflake

La sécurité des données est essentielle. Votre établissement peut accorder ou restreindre l'accès aux comptes de service Snowflake à des adresses IP spécifiques. Cela réduit le risque d'accès non autorisé à des données sensibles.

Vous pouvez autoriser et restreindre une adresse IP spécifique ou une plage d'adresses IP.

Avec une adresse IP restreinte, les utilisateurs ne pourront pas accéder à un compte de service Snowflake ni modifier un mot de passe de compte de service Snowflake.

Cette page d'aide vous permet de trouver les rubriques suivantes :

Qu'est-ce qu'un compte de service Snowflake ?

Il existe deux façons de se connecter à Snowflake.

  • Se connecter avec un nom d'utilisateur et un mot de passe : ils sont appelés comptes de service Illuminate et sont utiles pour les connexions M2M (machine à machine). Les restrictions d'adresse IP s'appliquent uniquement aux comptes de service. Actuellement, il n'y a qu'un seul compte de service disponible dans Illuminate appelé SVC_BLACKBOARD_DATA.
Sign in to Snowflake screen with user name and password fields highlighted
  • Se connecter avec l'authentification unique : Snowflake utilisera vos identifiants Illuminate pour vous connecter. Pour configurer une restriction d'adresse IP, vous devez vous connecter via l'authentification unique et disposer du rôle BBDATA_USER_ROLE. La restriction d'adresse IP ne s'applique pas aux utilisateurs qui se connectent avec l'authentification unique.
Snowflake sign in screen with Sign in using SSO highlighted

Configurer une restriction d'adresse IP

Pour configurer une restriction d'adresse IP :

  • Connectez-vous à Illuminate en tant qu'utilisateur avec le rôle de développeur. 
  • Ouvrez le panneau latéral et sélectionnez l'option Développeur
  • Sélectionnez Lancer Snowflake.
Developer homepage, with Launch Snowflake in the bottom left
  • Sélectionnez Se connecter à l'aide de l'authentification unique.
    • Notez que, pour configurer une restriction IP, vous devez vous connecter via authentification unique. Si vous accédez à Snowflake avec un compte de service, les restrictions d'adresse IP. 
    • Votre utilisateur Snowflake doit disposer d'un BBDATA_USER_ROLE.
Snowflake sign in screen with Sign in using SSO highlighted
  • Ouvrez le panneau latéral dans Snowflake et sélectionnez Feuilles de calcul
  • Sélectionnez Créer une nouvelle feuille de calcul
  • Vous pouvez choisir entre les feuilles de calcul SQL et Python. Dans cet exemple, nous avons sélectionné Feuille de calcul SQL.
Example SQL worksheet in Snowflake
  • Vous pouvez utiliser cette requête comme base. Cet exemple de requête autorise une adresse IP spécifique (1.1.1.1) et restreint une plage d'adresses IP (de 192.168.1.0 à 192.168.1.255), pour un compte de service appelé SVC_BLACKBOARD_DATA.

USE ROLE BBDATA_USER_ROLE;

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');

Worksheets tab in Snowflake

Explication de la commande 

  • USER ROLE. Rôle titulaire de l'autorisation de modifier la stratégie réseau de restriction IP. 
    • BBDATA_USER_ROLE est le seul rôle qui peut modifier les restrictions d'adresse IP. 
  • ALTER NETWORK POLICY. Commande qui met à jour une politique réseau préexistante. Cette politique a été précédemment créée par l'équipe Illuminate pour faciliter la configuration des restrictions d'adresses IP. 
    • NP_ SVC_BLACKBOARD_DATA. Identifie la politique réseau du compte de service qui aura une restriction d'adresse IP. Les politiques réseau commencent toujours par le préfixe « NP » suivi du nom d'utilisateur du compte de service. Le seul compte de service disponible s'appelle SVC_BLACKBOARD_DATA. 
  • SET_ALLOWED_ID_LIST. Commande qui spécifie la liste des adresses IP autorisées pour votre client Snowflake à l'aide d'un compte de service.&nbsp ;
  • SET_BLOCKED_ID_LIST. Commande qui spécifie la liste des adresses IP restreintes à votre client Snowflake à l'aide d'un compte de service. 

Suivez cette notation pour inclure les adresses IP dont vous avez besoin :

  •  Une seule adresse IP : écrivez l'adresse IP entre parenthèses et entre les signes '. ('1.1.1.1')
  • Adresses IP multiples : écrivez toutes les adresses IP entre parenthèses. Écrivez chaque adresse IP entre les signes ' et séparez chaque adresse IP par une virgule. ( '1.1.1.1','2.2.2.2','3.3.3.3') 
  • Plage d'adresses IP : utilisez le signe / à la fin d'une adresse IP pour représenter la plage. Dans cet exemple, nous avons autorisé toutes les adresses IP comprises entre 192.168.1.0 et 192.168.1.255. ('192.168.1.0/24')

Vérifier la configuration de restriction d'adresse IP 

Si vous souhaitez vérifier votre configuration de restriction d'adresse IP, vous pouvez utiliser les commandes suivantes : 

  • Comme précédemment, ouvrez le panneau latéral dans Snowflake et sélectionnez Feuilles de calcul
  • Sélectionnez Créer une nouvelle feuille de calcul. Vous pouvez choisir entre les feuilles de calcul SQL et Python. Dans cet exemple, nous avons sélectionné Feuille de calcul SQL
  • Exécutez la requête suivante.

DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA; 

  • Dans la section Résultats, vous pouvez trouver la liste des adresses IP autorisées et bloquées.
List of allowed and blocked IP addresses
  • Vous pouvez également exécuter la requête suivante. 

SHOW NETWORK POLICIES; 

  • Dans la section Résultats, vous pouvez trouver les politiques réseau disponibles et le nombre d'entrées dans la liste des adresses IP autorisées et la liste des adresses IP bloquées.
SQL worksheet example of a query

Modifier le mot de passe d'un compte de service Snowflake en cas de restriction d'adresse IP

Un mot de passe de compte de service ne peut être modifié que sur une machine qui n'a pas d'adresse IP restreinte ou qui figure dans la liste des adresses IP autorisées. 

En effet, les réinitialisations de mot de passe du compte de service sont effectuées dans Snowflake, où des restrictions d'adresse IP s'appliquent. 

  • Pour permettre à un utilisateur Illuminate de modifier le mot de passe d'un compte de service Snowflake, la liste d'adresses IP peut être temporairement modifiée pour inclure l'adresse IP de la machine de l'utilisateur dans la liste d'adresses IP autorisées. 
  • Une fois que l'utilisateur Illuminate a modifié le mot de passe du compte de service, l'adresse IP de son ordinateur utilisateur peut être à nouveau supprimée de la liste autorisée.

Vous pouvez modifier le mot de passe d'un compte de service Snowflake en procédant comme suit :

  • Connectez-vous à Illuminate en tant qu'utilisateur avec le rôle de développeur. 
  • Ouvrez le panneau latéral et sélectionnez Développpeur
  • Sélectionnez Paramètres
  • Sélectionnez l'onglet Paramètres du compte Snowflake
  • Dans la liste Compte de service , recherchez le compte de service SVC_BLACKBOARD_DATA. C'est le seul compte de service Snowflake disponible dans Illuminate. 
  • Sélectionnez Changer de mot de passe
  • Réinitialisez le mot de passe dans le menu Snowflake.
Illuminate Settings screen with Change Password highlighted in the bottom right