Restrição de endereço IP para as contas de serviço do Snowflake 

A segurança dos dados é fundamental. A instituição pode conceder ou restringir o acesso às contas de serviço do Snowflake para endereços IP específicos. O objetivo é reduzir o risco do acesso não autorizado aos dados confidenciais.

Você pode permitir e restringir um endereço IP específico ou um intervalo de endereços IP.

Com um endereço IP restrito, os usuários não poderão acessar uma conta de serviço do Snowflake nem alterar a senha de uma conta de serviço do Snowflake.

Nesta página de ajuda você pode encontrar os seguintes tópicos: 

O que é uma conta de serviço do Snowflake?

Há duas maneiras de fazer login no Snowflake. 

  • Fazer o login com o nome de usuário e senha: elas são chamadas de contas de serviço do Illuminate e são úteis para as conexões M2M (máquina a máquina). As restrições do endereço IP se aplicam apenas às contas de serviço. Atualmente, há apenas 1 conta de serviço disponível no Illuminate, chamada SVC_BLACKBOARD_DATA.
Sign in to Snowflake screen with user name and password fields highlighted
  • Fazer o login com o logon único: O Snowflake usará suas credenciais do Illuminate para fazer login. Para configurar uma restrição do IP, você precisa fazer login via logon único e ter a função BBDATA_USER_ROLE. A restrição do endereço IP não se aplica aos usuários que fizeram login com logon único.
Snowflake sign in screen with Sign in using SSO highlighted

Configure uma restrição do endereço IP

Para configurar uma restrição do endereço IP: 

  • Faça login no Illuminate como um usuário com a função desenvolvedor. 
  • Abra o painel lateral e selecione a opção Desenvolvedor
  • Selecione Iniciar Snowflake.
Developer homepage, with Launch Snowflake in the bottom left
  • Selecione Fazer login usando logon único.
    • Observe que, para configurar uma restrição do IP, você precisa fazer login via logon único. Se você acessar o Snowflake com uma conta de serviço, as restrições do IP não poderão ser aplicadas. 
    • O usuário do Snowflake precisa ter uma BBDATA_USER_ROLE.
Snowflake sign in screen with Sign in using SSO highlighted
  • Abra o painel lateral no Snowflake e selecione Planilhas
  • Selecione Criar uma nova planilha
  • Você pode escolher entre planilhas do SQL e do Python. No exemplo, selecionamos uma Planilha do SQL.
Example SQL worksheet in Snowflake
  • Você pode usar a consulta como base. A consulta do exemplo permite um endereço IP específico (1.1.1.1) e restringe um intervalo de 192.168.1.0 a 192.168.1.255 para uma conta de serviço chamada SVC_BLACKBOARD_DATA.

USE ROLE BBDATA_USER_ROLE;

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');

ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');

Worksheets tab in Snowflake

Explicação do comando 

  • FUNÇÃO DO USUÁRIO. A função que detém a permissão para alterar a política de rede da restrição do IP. 
    • BBDATA_USER_ROLE é a única função que pode alterar as restrições do endereço IP. 
  • ALTER NETWORK POLICY. O comando que atualiza uma política de rede existente. A política foi criada pela equipe do Illuminate para facilitar a configuração da restrição do endereço IP. 
    • NP_ SVC_BLACKBOARD_DATA. Identifica a política da rede da conta de serviço que terá uma restrição do endereço IP. As políticas de rede sempre começam com o prefixo “NP” seguido pelo nome de usuário da conta de serviço. A única conta de serviço disponível é chamada SVC_BLACKBOARD_DATA. 
  • SET_ALLOWED_ID_LIST. Comando que especifica a lista de endereços IP permitidos ao locatário do Snowflake que está usando uma conta de serviço. 
  • SET_BLOCKED_ID_LIST. Comando que especifica a lista de endereços IP restritos ao locatário do Snowflake que está usando uma conta de serviço. 

Siga a notação para incluir os endereços IP necessários:

  •  Um único endereço IP: escreva o endereço IP entre parênteses e entre os sinais '. ('1.1.1.1')
  • Vários endereços IP: escreva todos os endereços IP dentro de um parêntese. Escreva cada endereço IP entre os sinais ' e separe cada endereço IP com uma vírgula. ('1.1.1.1','2.2.2.2','3.3.3.3') 
  • Intervalo de endereços IP: use o sinal / no fim de um endereço IP para representar o intervalo. No exemplo, permitimos todos os endereços IP no intervalo de 192.168.1.0 a 192.168.1.255. ('192.168.1.0/24')

Verifique a configuração de restrição do endereço IP 

Se você quiser verificar a configuração da restrição do endereço IP, use os seguintes comandos: 

  • Como antes, abra o painel lateral no Snowflake e selecione Planilhas
  • Selecione Criar uma nova planilha. Você pode escolher entre planilhas do SQL e do Python. No exemplo, selecionamos uma Planilha do SQL
  • Execute a consulta a seguir.

DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA; 

  • Na seção Resultados , você pode encontrar a lista de endereços IP permitidos e bloqueados.
List of allowed and blocked IP addresses
  • Você também pode executar a consulta a seguir. 

SHOW NETWORK POLICIES; 

  • Na seção Resultados , você pode encontrar as políticas de rede disponíveis e o número de entradas na lista de IP permitidos e na lista de IP bloqueados.
SQL worksheet example of a query

Altere a senha de uma conta de serviço do Snowflake quando houver uma restrição do endereço IP

A senha de uma conta de serviço pode ser alterada apenas em uma máquina que não tenha um endereço IP restrito ou esteja na lista de endereços IP permitidos. 

O motivo é que as redefinições de senha da conta de serviço são feitas no Snowflake, ao qual as restrições do endereço IP se aplicam. 

  • Para permitir que um usuário do Illuminate altere a senha de uma conta de serviço do Snowflake, a lista de endereços IP pode ser temporariamente alterada para incluir o endereço IP da máquina do usuário na lista de endereços IP permitidos. 
  • Depois que o usuário do Illuminate alterar a senha da conta de serviço, o endereço IP da máquina do usuário pode ser removido de novo da lista permitida.

Siga estas etapas para alterar a senha de uma conta de serviço do Snowflake:

  • Faça login no Illuminate como um usuário com a função desenvolvedor. 
  • Abra o painel lateral e selecione Desenvolvedor
  • Selecione Configurações
  • Na guia Configurações da conta do Snowflake
  • Na lista Contas de serviço, localize a conta de serviço SVC_BLACKBOARD_DATA. É a única conta de serviço do Snowflake disponível no Illuminate. 
  • Selecione Alterar senha
  • Redefina a senha no menu do Snowflake.
Illuminate Settings screen with Change Password highlighted in the bottom right