Snowflake 서비스 계정에 대한 IP 주소 제한
데이터 보안이 핵심입니다. 교육기관에서는 Snowflake 서비스 계정에 대한 접근 권한을 특정 IP 주소에 부여하거나 제한할 수 있습니다. 이렇게 하면 민감한 데이터에 대한 무단 접근의 위험을 줄일 수 있습니다.
특정 IP 주소 또는 IP 주소 범위를 허용하고 제한할 수 있습니다.
제한된 IP 주소를 사용하는 경우 사용자가 Snowflake 서비스 계정에 접근하거나 Snowflake 서비스 계정 비밀번호를 변경할 수 없습니다.
이 도움말 페이지에서 다음 항목을 찾을 수 있습니다.
Snowflake 서비스 계정이란 무엇입니까?
Snowflake에 로그인하는 방법에는 두 가지가 있습니다.
- 사용자 ID와 비밀번호로 로그인: 이는 Illuminate 서비스 계정이라고 하며 M2M(Machine to Machine) 연결에 유용합니다. IP 주소 제한은 서비스 계정에만 적용됩니다. 현재 Illuminate에서는 SVC_BLACKBOARD_DATA라는 서비스 계정 1개만 사용할 수 있습니다.
- SSO를 사용하여 로그인: Snowflake에서는 로그인하는 데 Illuminate 자격 증명을 사용합니다. IP 제한을 구성하려면 SSO를 통해 로그인하고 BBDATA_USER_ROLE 역할이 있어야 합니다. IP 주소 제한은 SSO를 사용하여 로그인하는 사용자에게 적용되지 않습니다.
IP 주소 제한 구성하기
IP 주소 제한을 구성하려면 다음을 수행합니다.
- 개발자 역할이 있는 사용자로 Illuminate에 로그인합니다.
- 측면 패널을 열고 개발자 옵션을 선택합니다.
- Snowflake 시작을 선택합니다.
- SSO를 사용하여 로그인을 선택합니다.
- IP 제한을 구성하려면 SSO를 통해 로그인해야 합니다. 서비스 계정으로 Snowflake에 접근하면 IP 제한을 적용할 수 없습니다.
- Snowflake 사용자에게 BBDATA_USER_ROLE이 있어야 합니다.
- Snowflake에서 측면 패널을 열고 워크시트를 선택합니다.
- 새 워크시트 만들기를 선택합니다.
- SQL 워크시트와 Python 워크시트 중에서 선택할 수 있습니다. 이 예에서는 SQL 워크시트를 선택했습니다.
- 이 쿼리를 기본으로 사용할 수 있습니다. 이 예제 쿼리는 SVC_BLACKBOARD_DATA라는 서비스 계정에 대해 특정 IP 주소(1.1.1.1)를 허용하고 IP 주소 범위(192.168.1.0~192.168.1.255)를 제한합니다.
USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
명령 설명
- USER ROLE. IP 제한 네트워크 정책을 변경할 수 있는 권한을 보유하는 역할입니다.
- BBDATA_USER_ROLE이 IP 주소 제한을 변경할 수 있는 유일한 역할입니다.
- ALTER NETWORK POLICY. 기존 네트워크 정책을 업데이트하는 명령입니다. 이 정책은 IP 주소 제한 구성을 용이하게 하기 위해 이전에 Illuminate 팀에서 만들었습니다.
- NP_ SVC_BLACKBOARD_DATA. IP 주소 제한이 있는 서비스 계정의 네트워크 정책을 식별합니다. 네트워크 정책은 항상 'NP' 접두사로 시작하고 그 뒤에 서비스 계정 사용자 ID가 옵니다. 사용할 수 있는 유일한 서비스 계정은 SVC_BLACKBOARD_DATA라는 계정입니다.
- SET_ALLOWED_ID_LIST. 서비스 계정을 사용하여 Snowflake 테넌트에 허용되는 IP 주소 목록을 지정하는 명령입니다.
- SET_BLOCKED_ID_LIST. 서비스 계정을 사용하여 Snowflake 테넌트로 제한된 IP 주소 목록을 지정하는 명령입니다.
다음 표기법에 따라 필요한 IP 주소를 포함합니다.
- 단일 IP 주소: 괄호와 ' 기호 사이에 IP 주소를 씁니다('1.1.1.1').
- 여러 IP 주소: 모든 IP 주소를 하나의 괄호 안에 씁니다. 각 IP 주소를 ' 기호 사이에 쓰고 각 IP 주소를 쉼표로 구분합니다( '1.1.1.1','2.2.2.2','3.3.3.3').
- IP 주소 범위: IP 주소 끝에 / 기호를 사용하여 범위를 나타냅니다. 이 예에서는 192.168.1.0에서 192.168.1.255 사이의 모든 IP 주소를 허용했습니다('192.168.1.0/24').
IP 주소 제한 구성 확인하기
IP 주소 제한 구성을 확인하려면 다음 명령을 사용할 수 있습니다.
- 이전과 마찬가지로 Snowflake에서 측면 패널을 열고 워크시트를 선택합니다.
- 새 워크시트 만들기를 선택합니다. SQL 워크시트와 Python 워크시트 중에서 선택할 수 있습니다. 이 예에서는 SQL 워크시트를 선택했습니다.
- 다음 쿼리를 실행합니다.
DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
- 결과 섹션에서 허용된 IP 주소 및 차단된 IP 주소 목록을 찾을 수 있습니다.
- 다음 쿼리를 실행할 수도 있습니다.
SHOW NETWORK POLICIES;
- 결과 섹션에서 사용 가능한 네트워크 정책과 허용된 IP 목록 및 차단된 IP 목록의 항목 수를 찾을 수 있습니다.
IP 주소 제한이 있는 경우 Snowflake 서비스 계정 비밀번호 변경하기
서비스 계정 비밀번호는 제한된 IP 주소가 없는 기기나 허용된 IP 주소 목록에 포함된 기기에서만 변경할 수 있습니다.
서비스 계정 비밀번호 재설정이 IP 주소 제한이 적용되는 Snowflake에서 수행되기 때문입니다.
- Illuminate 사용자가 Snowflake 서비스 계정 비밀번호를 변경할 수 있도록 허용하려면 IP 주소 목록을 일시적으로 변경하여 허용된 IP 주소 목록에 사용자 기기 IP 주소를 포함할 수 있습니다.
- Illuminate 사용자가 서비스 계정 비밀번호를 변경한 후 허용 목록에서 다시 사용자 컴퓨터 IP 주소를 제거할 수 있습니다.
다음 단계에 따라 Snowflake 서비스 계정 비밀번호를 변경할 수 있습니다.
- 개발자 역할이 있는 사용자로 Illuminate에 로그인합니다.
- 측면 패널을 열고 개발자를 선택합니다.
- 설정을 선택합니다.
- Snowflake 계정 설정 탭을 선택합니다.
- 서비스 계정 목록에서 SVC_BLACKBOARD_DATA 서비스 계정을 찾습니다. 이것이 Illuminate에서 사용할 수 있는 유일한 Snowflake 서비스 계정입니다.
- 비밀번호 변경을 선택합니다.
- Snowflake 메뉴에서 비밀번호를 재설정합니다.