IP-adressebegrensning for Snowflake-tjenestekontoer
Datasikkerhet er nøkkelen. Din institusjon kan gi eller begrense tilgang til Snowflake-tjenestekontoer til spesifikke IP-adresser. Dette reduserer risikoen for uautorisert tilgang til sensitive data.
Du kan tillate og begrense en spesifikk IP-adresse eller en rekke IP-adresser.
Med en begrenset IP-adresse kan ikke brukere få tilgang til en Snowflake-tjenestekonto eller endre passordet for en Snowflake-tjenestekonto.
På denne hjelpesiden finner du følgende emner:
- Hva er en Snowflake-tjenestekonto?
- Konfigurer en IP-adressebegrensning
- Kontroller konfigurasjonen av IP-adressebegrensningen
- Endre et passord for Snowflake-tjenestekonto når det er en IP-adressebegrensning
Hva er en Snowflake-tjenestekonto?
Du kan logge på Snowflake på to måter.
- Logg på med brukernavn og passord: disse kalles Illuminate -tjenestekontoer og er nyttige for M2M-tilkoblinger (maskin til maskin). Begrensninger for IP-adresser gjelder kun for tjenestekontoer. For øyeblikket er bare 1 tjenestekonto tilgjengelig i Illuminate kalt SVC_BLACKBOARD_DATA.
- Logg på med Enkel pålogging: Snowflake tar med deg påloggingsinformasjonen din for å logge på. For å konfigurere en IP-begrensning må du logge på via Enkel pålogging og ha rollen BBDATA_USER_ROLE. Begrensning av IP-adresser gjelder ikke for brukere som logger på med Enkel pålogging.
Konfigurer en IP-adressebegrensning
Slik konfigurerer du en IP-adressebegrensning:
- Logg på Illuminate som en bruker med utviklerrollen.
- Åpne sidepanelet og velg alternativet Utvikler .
- Velg Start Snowflake.
- Velg Logg på med Enkel pålogging.
- Merk at for å konfigurere en IP-begrensning, må du logge på via Enkel pålogging. Hvis du får tilgang til Snowflake med en tjenestekonto, kan ikke IP-begrensninger brukes.
- Snowflake brukeren din må ha en BBDATA_USER_ROLE.
- Åpne sidepanelet i Snowflake, og velg Regneark.
- Velg Opprett et nytt regneark.
- Du kan velge mellom SQL- og Python-regneark. I dette eksemplet valgte vi SQL-regneark.
- Du kan bruke denne spørringen som et grunnlag. Denne eksempelspørringen tillater en spesifikk IP-adresse (1.1.1.1) og begrenser et område med IP-adresser (fra 192.168.1.0 til 192.168.1.255) for en tjenestekonto kalt SVC_BLACKBOARD_DATA.
BRUK ROLLE BBDATA_USER_ROLE;
ENDRE NETTVERKSRETNINGSLINJER NP_SVC_BLACKBOARD_DATA ANGI ALLOWED_IP_LIST = ('1.1.1.1');
ENDRE NETTVERKSRETNINGSLINJER NP_SVC_BLACKBOARD_DATA ANGI BLOCKED_IP_LIST = ('192.168.1.0/24');
Kommandoforklaring
- BRUKERROLLE. Rollen som har tillatelse til å endre nettverksretningslinjene for IP-begrensning.
- BBDATA_USER_ROLE er den eneste rollen som kan endre begrensninger for IP-adresser.
- ENDRE NETTVERKSRETNINGSLINJER. Kommandoen som oppdaterer allerede eksisterende nettverksretningslinjer. Disse retningslinjene ble tidligere opprettet av Illuminate-teamet for å forenkle konfigurasjonen av IP-adressebegrensning.
- NP_ SVC_BLACKBOARD_DATA. Identifiserer nettverksretningslinjene for tjenestekontoen som skal ha en IP-adressebegrensning. Nettverksretningslinjer starter alltid med prefikset "NP" etterfulgt av brukernavnet for tjenestekontoen. Den eneste tilgjengelige tjenestekontoen heter SVC_BLACKBOARD_DATA.
- SET_ALLOWED_ID_LIST. Kommando som angir listen over IP-adresser som er tillatt for Snowflake-leietakeren ved hjelp av en tjenestekonto.
- SET_BLOCKED_ID_LIST. Kommando som spesifiserer listen over IP-adresser som er begrenset til Snowflake-leietakeren ved hjelp av en tjenestekonto.
Følg denne betegnelsen for å inkludere IP-adressene du trenger:
- En enkelt IP-adresse: skriv IP-adressen i parenteser og mellom ' tegn. ('1.1.1.1')
- Flere IP-adresser: skriv alle IP-adresser i en enkelt parentes. Skriv hver IP-adresse mellom ' tegn og skill hver IP-adresse med komma. ( '1.1.1.1','2.2.2.2','3.3.3.3')
- IP-adresser: bruk /-tegnet på slutten av en IP-adresse for å representere området. I dette eksemplet tillot vi alle IP-adresser i området 192.168.1.0 til 192.168.1.255. ('192.168.1.0/24')
Kontroller konfigurasjonen av IP-adressebegrensning
Hvis du vil verifisere konfigurasjonen for IP-adressebegrensning, kan du bruke følgende kommandoer:
- Som før, åpne sidepanelet i Snowflake, og velg Regneark.
- Velg Opprett et nytt regneark. Du kan velge mellom SQL- og Python-regneark. I dette eksemplet valgte vi SQL-regneark.
- Kjør følgende spørring.
BESKRIV NETTVERKSRETNINGSLINJER NP_SVC_BLACKBOARD_DATA;
- I Resultater -delen finner du listen over tillatte og blokkerte IP-adresser.
- Du kan også kjøre følgende spørring.
VIS NETTVERKSRETNINGSLINJER;
- I Resultater -delen finner du nettverksretningslinjene som er tilgjengelige og antall oppføringer i den tillatte IP-listen og blokkerte IP-listen.
Endre et passord for Snowflake-tjenestekonto når det er en IP-adressebegrensning
Et passord for en tjenestekonto kan kun endres i en maskin som ikke har en begrenset IP-adresse eller er inkludert i listen over tillatte IP-adresser.
Dette skyldes at tilbakestilling av passord for tjenestekonto foretas i Snowflake, der begrensninger for IP-adresse gjelder.
- For å la en Belkin-bruker å endre et Snowflake-tjenestekontopassord kan IP-adresselisten midlertidig endres for å inkludere brukerens IP-adresse i listen over tillatte IP-adresser.
- Etter at Illuminate-brukeren har endret tjenestekontopassordet, kan brukerens maskins IP-adresse fjernes igjen fra den tillatte listen.
Du kan endre passordet for en Snowflake-tjenestekonto ved å følge disse trinnene:
- Logg på Illuminate som en bruker med Utvikler-rollen.
- Åpne sidepanelet og velg Utvikler.
- Velg Innstillinger.
- Velg fanen Snowflake-kontoinnstillinger.
- Under Tjenestekonto -listen, finn for SVC_BLACKBOARD_DATA-tjenestekontoen. Det er den eneste Snowflake-tjenestekontoen som er tilgjengelig i Illuminate.
- Velg Endre passord.
- Tilbakestill passordet i Snowflake-menyen.