Restrição de endereço IP para as contas de serviço do Snowflake
A segurança dos dados é fundamental. A instituição pode conceder ou restringir o acesso às contas de serviço do Snowflake para endereços IP específicos. O objetivo é reduzir o risco do acesso não autorizado aos dados confidenciais.
Você pode permitir e restringir um endereço IP específico ou um intervalo de endereços IP.
Com um endereço IP restrito, os usuários não poderão acessar uma conta de serviço do Snowflake nem alterar a senha de uma conta de serviço do Snowflake.
Nesta página de ajuda você pode encontrar os seguintes tópicos:
- O que é uma conta de serviço do Snowflake?
- Configure uma restrição do endereço IP
- Verifique a configuração da restrição do endereço IP
- Altere a senha de uma conta de serviço do Snowflake quando houver uma restrição do endereço IP
O que é uma conta de serviço do Snowflake?
Há duas maneiras de fazer login no Snowflake.
- Fazer o login com o nome de usuário e senha: elas são chamadas de contas de serviço do Illuminate e são úteis para as conexões M2M (máquina a máquina). As restrições do endereço IP se aplicam apenas às contas de serviço. Atualmente, há apenas 1 conta de serviço disponível no Illuminate, chamada SVC_BLACKBOARD_DATA.
- Fazer o login com o logon único: O Snowflake usará suas credenciais do Illuminate para fazer login. Para configurar uma restrição do IP, você precisa fazer login via logon único e ter a função BBDATA_USER_ROLE. A restrição do endereço IP não se aplica aos usuários que fizeram login com logon único.
Configure uma restrição do endereço IP
Para configurar uma restrição do endereço IP:
- Faça login no Illuminate como um usuário com a função desenvolvedor.
- Abra o painel lateral e selecione a opção Desenvolvedor.
- Selecione Iniciar Snowflake.
- Selecione Fazer login usando logon único.
- Observe que, para configurar uma restrição do IP, você precisa fazer login via logon único. Se você acessar o Snowflake com uma conta de serviço, as restrições do IP não poderão ser aplicadas.
- O usuário do Snowflake precisa ter uma BBDATA_USER_ROLE.
- Abra o painel lateral no Snowflake e selecione Planilhas.
- Selecione Criar uma nova planilha.
- Você pode escolher entre planilhas do SQL e do Python. No exemplo, selecionamos uma Planilha do SQL.
- Você pode usar a consulta como base. A consulta do exemplo permite um endereço IP específico (1.1.1.1) e restringe um intervalo de 192.168.1.0 a 192.168.1.255 para uma conta de serviço chamada SVC_BLACKBOARD_DATA.
USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
Explicação do comando
- FUNÇÃO DO USUÁRIO. A função que detém a permissão para alterar a política de rede da restrição do IP.
- BBDATA_USER_ROLE é a única função que pode alterar as restrições do endereço IP.
- ALTER NETWORK POLICY. O comando que atualiza uma política de rede existente. A política foi criada pela equipe do Illuminate para facilitar a configuração da restrição do endereço IP.
- NP_ SVC_BLACKBOARD_DATA. Identifica a política da rede da conta de serviço que terá uma restrição do endereço IP. As políticas de rede sempre começam com o prefixo “NP” seguido pelo nome de usuário da conta de serviço. A única conta de serviço disponível é chamada SVC_BLACKBOARD_DATA.
- SET_ALLOWED_ID_LIST. Comando que especifica a lista de endereços IP permitidos ao locatário do Snowflake que está usando uma conta de serviço.
- SET_BLOCKED_ID_LIST. Comando que especifica a lista de endereços IP restritos ao locatário do Snowflake que está usando uma conta de serviço.
Siga a notação para incluir os endereços IP necessários:
- Um único endereço IP: escreva o endereço IP entre parênteses e entre os sinais '. ('1.1.1.1')
- Vários endereços IP: escreva todos os endereços IP dentro de um parêntese. Escreva cada endereço IP entre os sinais ' e separe cada endereço IP com uma vírgula. ('1.1.1.1','2.2.2.2','3.3.3.3')
- Intervalo de endereços IP: use o sinal / no fim de um endereço IP para representar o intervalo. No exemplo, permitimos todos os endereços IP no intervalo de 192.168.1.0 a 192.168.1.255. ('192.168.1.0/24')
Verifique a configuração de restrição do endereço IP
Se você quiser verificar a configuração da restrição do endereço IP, use os seguintes comandos:
- Como antes, abra o painel lateral no Snowflake e selecione Planilhas.
- Selecione Criar uma nova planilha. Você pode escolher entre planilhas do SQL e do Python. No exemplo, selecionamos uma Planilha do SQL.
- Execute a consulta a seguir.
DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
- Na seção Resultados , você pode encontrar a lista de endereços IP permitidos e bloqueados.
- Você também pode executar a consulta a seguir.
SHOW NETWORK POLICIES;
- Na seção Resultados , você pode encontrar as políticas de rede disponíveis e o número de entradas na lista de IP permitidos e na lista de IP bloqueados.
Altere a senha de uma conta de serviço do Snowflake quando houver uma restrição do endereço IP
A senha de uma conta de serviço pode ser alterada apenas em uma máquina que não tenha um endereço IP restrito ou esteja na lista de endereços IP permitidos.
O motivo é que as redefinições de senha da conta de serviço são feitas no Snowflake, ao qual as restrições do endereço IP se aplicam.
- Para permitir que um usuário do Illuminate altere a senha de uma conta de serviço do Snowflake, a lista de endereços IP pode ser temporariamente alterada para incluir o endereço IP da máquina do usuário na lista de endereços IP permitidos.
- Depois que o usuário do Illuminate alterar a senha da conta de serviço, o endereço IP da máquina do usuário pode ser removido de novo da lista permitida.
Siga estas etapas para alterar a senha de uma conta de serviço do Snowflake:
- Faça login no Illuminate como um usuário com a função desenvolvedor.
- Abra o painel lateral e selecione Desenvolvedor.
- Selecione Configurações.
- Na guia Configurações da conta do Snowflake.
- Na lista Contas de serviço, localize a conta de serviço SVC_BLACKBOARD_DATA. É a única conta de serviço do Snowflake disponível no Illuminate.
- Selecione Alterar senha.
- Redefina a senha no menu do Snowflake.