Limitazione dell'indirizzo IP per gli account di servizio Snowflake 

La sicurezza dei dati è fondamentale. L'istituto può concedere o limitare l'accesso agli account di servizio Snowflake a indirizzi IP specifici. Questo permette di ridurre il rischio di accessi non autorizzati ai dati sensibili.

È possibile consentire e limitare un indirizzo IP specifico o un intervallo di indirizzi IP.

Con un indirizzo IP limitato, gli utenti non saranno in grado di accedere a un account di servizio Snowflake o modificare una password dell'account di servizio Snowflake.

In questa pagina della Guida troverai i seguenti argomenti: 

Che cos'è un account di servizio Snowflake?

Ci sono due modi per accedere a Snowflake. 

  • Accesso con nome utente e password: questi sono chiamati account di servizio di Illuminate e sono utili per le connessioni M2M (machine to machine). Le restrizioni relative agli indirizzi IP si applicano solo agli account di servizio. Attualmente, esiste solo un account di servizio disponibile in Illuminate chiamato SVC_BLACKBOARD_DATA.
Sign in to Snowflake screen with user name and password fields highlighted
  • Accesso con SSO: Snowflake prenderà le tue credenziali di Illuminate per accedere. Per configurare una restrizione IP, è necessario accedere tramite SSO e disporre del ruolo BBDATA_USER_ROLE. La restrizione dell'indirizzo IP non si applica agli utenti che accedono con SSO.
Snowflake sign in screen with Sign in using SSO highlighted

Configurare una restrizione dell'indirizzo IP

Per configurare una restrizione dell'indirizzo IP: 

  • Accedi a Illuminate come utente con il ruolo di sviluppatore. 
  • Apri il pannello laterale e seleziona l'opzione Sviluppatore
  • Seleziona Avvia Snowflake.
Developer homepage, with Launch Snowflake in the bottom left
  • Seleziona Accesso con SSO.
    • Ricorda che per configurare una restrizione IP dovrai accedere tramite SSO. Se accedi a Snowflake con un account di servizio, non potrai applicare restrizioni IP. 
    • L'utente Snowflake deve disporre di un BBDATA_USER_ROLE.
Snowflake sign in screen with Sign in using SSO highlighted
  • Apri il pannello laterale in Snowflake e seleziona Fogli di lavoro
  • Seleziona Crea un nuovo foglio di lavoro
  • Potrai scegliere tra fogli di lavoro SQL e Python. In questo esempio, abbiamo selezionato un foglio di lavoro SQL.
Example SQL worksheet in Snowflake
  • Puoi utilizzare questa query come base. Questa query di esempio consente un indirizzo IP specifico (1.1.1.1) e limita un intervallo di indirizzi IP (da 192.168.1.0 a 192.168.1.255), per un account di servizio denominato SVC_BLACKBOARD_DATA.

USE ROLE BBDATA_USER_ROLE;

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');

Worksheets tab in Snowflake

Spiegazione dei comandi 

  • USER ROLE Il ruolo che detiene l'autorizzazione per modificare i criteri di rete di restrizione IP. 
    • BBDATA_USER_ROLE è l'unico ruolo in grado di modificare le restrizioni relative agli indirizzi IP. 
  • ALTER NETWORK POLICY Comando che aggiorna un criterio di rete preesistente. Questa politica è stata precedentemente creata dal team di Illuminate per facilitare la configurazione della restrizione dell'indirizzo IP. 
    • NP_ SVC_BLACKBOARD_DATA. Identifica i criteri di rete dell'account del servizio che avrà una restrizione dell'indirizzo IP. I criteri di rete iniziano sempre con il prefisso "NP" seguito dal nome utente dell'account di servizio. L'unico account di servizio disponibile si chiama SVC_BLACKBOARD_DATA. 
  • SET_ALLOWED_ID_LIST. Comando che specifica l'elenco di indirizzi IP consentiti al tenant Snowflake usando un account di servizio. 
  • SET_BLOCKED_ID_LIST. Comando che specifica l'elenco di indirizzi IP limitati al tenant Snowflake usando un account di servizio. 

Segui annotazione per includere gli indirizzi IP necessari:

  •  Un singolo indirizzo IP: scrivi l'indirizzo IP tra parentesi e tra i simboli '. ('1.1.1.1')
  • Più indirizzi IP: scrivi tutti gli indirizzi IP in una singola parentesi. Scrivi ogni indirizzo IP tra i simboli ' e separa ogni indirizzo IP con una virgola. ( '1.1.1.1','2.2.2.2','3.3.3.3') 
  • Intervallo di indirizzi IP: utilizza il simbolo / alla fine di un indirizzo IP per rappresentare l'intervallo. In questo esempio, sono stati consentiti tutti gli indirizzi IP nell'intervallo compreso tra 192.168.1.0 e 192.168.1.255. ('192.168.1.0/24')

Controllare la configurazione della restrizione dell'indirizzo IP 

Se desideri verificare la configurazione della restrizione dell'indirizzo IP, puoi utilizzare i comandi indicati di seguito: 

  • Come hai fatto prima, apri il pannello laterale in Snowflake e seleziona Fogli di lavoro
  • Seleziona Crea nuovo foglio di lavoro. Potrai scegliere tra fogli di lavoro SQL e Python. In questo esempio, abbiamo selezionato un foglio di lavoro SQL
  • Esegui la query indicata a continuazione.

DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA; 

  • Nella sezione Risultati puoi consultare l'elenco degli indirizzi IP consentiti e bloccati.
List of allowed and blocked IP addresses
  • È anche possibile eseguire la seguente query. 

SHOW NETWORK POLICIES; 

  • Nella sezione Risultati puoi trovare i criteri di rete disponibili e il numero di voci nell'elenco degli indirizzi IP consentiti e nell'elenco degli IP bloccati.
SQL worksheet example of a query

Modificare la password di un account di servizio Snowflake in presenza di una restrizione dell'indirizzo IP

La password di un account di servizio può essere modificata solo in un dispositivo che non presenti un indirizzo IP limitato o che sia incluso nell'elenco degli indirizzi IP consentiti;

Ciò è dovuto al fatto che la reimpostazione della password dell'account di servizio viene eseguita su Snowflake, dove si applicano restrizioni sugli indirizzi IP. 

  • Per consentire a un utente di Illuminate di modificare la password di un account di servizio Snowflake, l'elenco degli indirizzi IP può essere temporaneamente modificato per includere l'indirizzo IP del dispositivo dell'utente nell'elenco degli indirizzi IP consentiti.
  • Dopo che l'utente Illuminate ha modificato la password dell'account di servizio, l'indirizzo IP del computer dell'utente può essere nuovamente rimosso dall'elenco dei dispositivi consentiti.

Puoi modificare la password di un account di servizio Snowflake seguendo la procedura descritta a continuazione:

  • Accedi a Illuminate come utente con il ruolo di sviluppatore. 
  • Apri il pannello laterale e seleziona Sviluppatore
  • Seleziona Impostazioni
  • Seleziona la scheda Impostazioni account Snowflake
  • Nell'elenco Account di servizio , trova l'account di servizio SVC_BLACKBOARD_DATA. Questo è l'unico account di servizio Snowflake disponibile su Illuminate. 
  • Seleziona Modifica password
  • Reimposta la password nel menu Snowflake.
Illuminate Settings screen with Change Password highlighted in the bottom right