Snowflake 서비스 계정에 대한 IP 주소 제한 

데이터 보안이 핵심입니다. 교육기관에서는 Snowflake 서비스 계정에 대한 접근 권한을 특정 IP 주소에 부여하거나 제한할 수 있습니다. 이렇게 하면 민감한 데이터에 대한 무단 접근의 위험을 줄일 수 있습니다.

특정 IP 주소 또는 IP 주소 범위를 허용하고 제한할 수 있습니다.

제한된 IP 주소를 사용하는 경우 사용자가 Snowflake 서비스 계정에 접근하거나 Snowflake 서비스 계정 비밀번호를 변경할 수 없습니다.

이 도움말 페이지에서 다음 항목을 찾을 수 있습니다. 

Snowflake 서비스 계정이란 무엇입니까?

Snowflake에 로그인하는 방법에는 두 가지가 있습니다. 

  • 사용자 ID와 비밀번호로 로그인: 이는 Illuminate 서비스 계정이라고 하며 M2M(Machine to Machine) 연결에 유용합니다. IP 주소 제한은 서비스 계정에만 적용됩니다. 현재 Illuminate에서는 SVC_BLACKBOARD_DATA라는 서비스 계정 1개만 사용할 수 있습니다.
Sign in to Snowflake screen with user name and password fields highlighted
  • SSO를 사용하여 로그인: Snowflake에서는 로그인하는 데 Illuminate 자격 증명을 사용합니다. IP 제한을 구성하려면 SSO를 통해 로그인하고 BBDATA_USER_ROLE 역할이 있어야 합니다. IP 주소 제한은 SSO를 사용하여 로그인하는 사용자에게 적용되지 않습니다.
Snowflake sign in screen with Sign in using SSO highlighted

IP 주소 제한 구성하기

IP 주소 제한을 구성하려면 다음을 수행합니다. 

  • 개발자 역할이 있는 사용자로 Illuminate에 로그인합니다. 
  • 측면 패널을 열고 개발자 옵션을 선택합니다. 
  • Snowflake 시작을 선택합니다.
Developer homepage, with Launch Snowflake in the bottom left
  • SSO를 사용하여 로그인을 선택합니다.
    • IP 제한을 구성하려면 SSO를 통해 로그인해야 합니다. 서비스 계정으로 Snowflake에 접근하면 IP 제한을 적용할 수 없습니다. 
    • Snowflake 사용자에게 BBDATA_USER_ROLE이 있어야 합니다.
Snowflake sign in screen with Sign in using SSO highlighted
  • Snowflake에서 측면 패널을 열고 워크시트를 선택합니다. 
  • 새 워크시트 만들기를 선택합니다. 
  • SQL 워크시트와 Python 워크시트 중에서 선택할 수 있습니다. 이 예에서는 SQL 워크시트를 선택했습니다.
Example SQL worksheet in Snowflake
  • 이 쿼리를 기본으로 사용할 수 있습니다. 이 예제 쿼리는 SVC_BLACKBOARD_DATA라는 서비스 계정에 대해 특정 IP 주소(1.1.1.1)를 허용하고 IP 주소 범위(192.168.1.0~192.168.1.255)를 제한합니다.

USE ROLE BBDATA_USER_ROLE;

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');

Worksheets tab in Snowflake

명령 설명 

  • USER ROLE. IP 제한 네트워크 정책을 변경할 수 있는 권한을 보유하는 역할입니다. 
    • BBDATA_USER_ROLE이 IP 주소 제한을 변경할 수 있는 유일한 역할입니다. 
  • ALTER NETWORK POLICY. 기존 네트워크 정책을 업데이트하는 명령입니다. 이 정책은 IP 주소 제한 구성을 용이하게 하기 위해 이전에 Illuminate 팀에서 만들었습니다. 
    • NP_ SVC_BLACKBOARD_DATA. IP 주소 제한이 있는 서비스 계정의 네트워크 정책을 식별합니다. 네트워크 정책은 항상 'NP' 접두사로 시작하고 그 뒤에 서비스 계정 사용자 ID가 옵니다. 사용할 수 있는 유일한 서비스 계정은 SVC_BLACKBOARD_DATA라는 계정입니다. 
  • SET_ALLOWED_ID_LIST. 서비스 계정을 사용하여 Snowflake 테넌트에 허용되는 IP 주소 목록을 지정하는 명령입니다. 
  • SET_BLOCKED_ID_LIST. 서비스 계정을 사용하여 Snowflake 테넌트로 제한된 IP 주소 목록을 지정하는 명령입니다. 

다음 표기법에 따라 필요한 IP 주소를 포함합니다.

  •  단일 IP 주소: 괄호와 ' 기호 사이에 IP 주소를 씁니다('1.1.1.1').
  • 여러 IP 주소: 모든 IP 주소를 하나의 괄호 안에 씁니다. 각 IP 주소를 ' 기호 사이에 쓰고 각 IP 주소를 쉼표로 구분합니다( '1.1.1.1','2.2.2.2','3.3.3.3'). 
  • IP 주소 범위: IP 주소 끝에 / 기호를 사용하여 범위를 나타냅니다. 이 예에서는 192.168.1.0에서 192.168.1.255 사이의 모든 IP 주소를 허용했습니다('192.168.1.0/24').

IP 주소 제한 구성 확인하기 

IP 주소 제한 구성을 확인하려면 다음 명령을 사용할 수 있습니다. 

  • 이전과 마찬가지로 Snowflake에서 측면 패널을 열고 워크시트를 선택합니다. 
  • 새 워크시트 만들기를 선택합니다. SQL 워크시트와 Python 워크시트 중에서 선택할 수 있습니다. 이 예에서는 SQL 워크시트를 선택했습니다. 
  • 다음 쿼리를 실행합니다.

DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA; 

  • 결과 섹션에서 허용된 IP 주소 및 차단된 IP 주소 목록을 찾을 수 있습니다.
List of allowed and blocked IP addresses
  • 다음 쿼리를 실행할 수도 있습니다. 

SHOW NETWORK POLICIES; 

  • 결과 섹션에서 사용 가능한 네트워크 정책과 허용된 IP 목록 및 차단된 IP 목록의 항목 수를 찾을 수 있습니다.
SQL worksheet example of a query

IP 주소 제한이 있는 경우 Snowflake 서비스 계정 비밀번호 변경하기

서비스 계정 비밀번호는 제한된 IP 주소가 없는 기기나 허용된 IP 주소 목록에 포함된 기기에서만 변경할 수 있습니다. 

서비스 계정 비밀번호 재설정이 IP 주소 제한이 적용되는 Snowflake에서 수행되기 때문입니다. 

  • Illuminate 사용자가 Snowflake 서비스 계정 비밀번호를 변경할 수 있도록 허용하려면 IP 주소 목록을 일시적으로 변경하여 허용된 IP 주소 목록에 사용자 기기 IP 주소를 포함할 수 있습니다. 
  • Illuminate 사용자가 서비스 계정 비밀번호를 변경한 후 허용 목록에서 다시 사용자 컴퓨터 IP 주소를 제거할 수 있습니다.

다음 단계에 따라 Snowflake 서비스 계정 비밀번호를 변경할 수 있습니다.

  • 개발자 역할이 있는 사용자로 Illuminate에 로그인합니다. 
  • 측면 패널을 열고 개발자를 선택합니다. 
  • 설정을 선택합니다. 
  • Snowflake 계정 설정 탭을 선택합니다. 
  • 서비스 계정 목록에서 SVC_BLACKBOARD_DATA 서비스 계정을 찾습니다. 이것이 Illuminate에서 사용할 수 있는 유일한 Snowflake 서비스 계정입니다. 
  • 비밀번호 변경을 선택합니다. 
  • Snowflake 메뉴에서 비밀번호를 재설정합니다.
Illuminate Settings screen with Change Password highlighted in the bottom right