IP-adressbegränsning för Snowflake-tjänstkonton

IP-adressbegränsning för Snowflake-tjänstkonton 

Datasäkerhet är avgörande. Din institution kan ge eller begränsa åtkomst till Snowflake-tjänstkonton för specifika IP-adresser. Detta minskar risken för obehörig åtkomst till känsliga data.

Du kan tillåta och begränsa en specifik IP-adress eller ett intervall med IP-adresser.

Med en begränsad IP-adress kan användarna inte komma åt ett Snowflake-tjänstkonto eller ändra lösenordet för ett Snowflake-tjänstkonto.

På den här hjälpsidan hittar du följande ämnen: 

• Vad är ett Snowflake-tjänstkonto?
• Konfigurera en IP-adressbegränsning
• Kontrollera konfigurationen för IP-adressbegränsning
• Ändra lösenordet för ett Snowflake-tjänstkonto när det finns en IP-adressbegränsning

Vad är ett Snowflake-tjänstkonto?

Det finns två sätt att logga in på Snowflake. 

• Logga in med användarnamn och lösenord: dessa kallas Illuminate-tjänstkonton och är användbara för M2M-anslutningar (maskin till maskin). IP-adressbegränsningar gäller endast för tjänstkonton. För närvarande finns det bara 1 tjänstkonto tillgängligt i Illuminate som heter SVC_BLACKBOARD_DATA.

• Logga in med enkel inloggning: Snowflake tar dina Illuminate-uppgifter för att logga in. Om du vill konfigurera en IP-begränsning måste du logga in via enkel inloggning och ha rollen BBDATA_USER_ROLE. IP-adressbegränsning gäller inte för användare som loggar in med enkel inloggning.

Konfigurera en IP-adressbegränsning

Så här konfigurerar du en IP-adressbegränsning: 

• Logga in på Illuminate som en användare med utvecklarrollen. 
• Öppna sidopanelen och välj alternativet Developer. 
• Välj Starta Snowflake.

• Välj Logga in med enkel inloggning.
  • Observera att om du vill konfigurera en IP-begränsning måste du logga in via enkel inloggning. Om du kommer åt Snowflake med ett tjänstkonto kan IP-begränsningar inte tillämpas. 
  • Din Snowflake-användare måste ha en BBDATA_USER_ROLE.

• Öppna sidopanelen i Snowflake och välj Arbetsblad. 
• Välj Skapa ett nytt arbetsblad. 
• Du kan välja mellan SQL- och Python-arbetsblad. I det här exemplet valde vi SQL-arbetsblad.

• Du kan använda den här frågan som bas. Den här exempelfrågan tillåter en specifik IP-adress (1.1.1.1) och begränsar ett intervall med IP-adresser (från 192.168.1.0 till 192.168.1.255) för ett tjänstkonto med namnet SVC_BLACKBOARD_DATA.

ANVÄND ROLLEN BBDATA_USER_ROLE;

ÄNDRA NÄTVERKSPOLICY NP_SVC_BLACKBOARD_DATA STÄLL IN ALLOWED_IP_LIST = ('1.1.1.1').

ÄNDRA NÄTVERKSPOLICY NP_SVC_BLACKBOARD_DATA STÄLL IN BLOCKED_IP_LIST = ('192.168.1.0/24');

Kommandoförklaring 

• ANVÄNDARROLL. Den roll som har behörighet att ändra nätverksprincipen för IP-begränsning. 
  • BBDATA_USER_ROLE är den enda roll som kan ändra IP-adressbegränsningar. 
• ÄNDRA NÄTVERKSPOLICY. Kommandot som uppdaterar en befintlig nätverkspolicy. Den här policyn skapades tidigare av Illuminate-teamet för att underlätta konfigurationen av IP-adressbegränsning. 
  • NP_ SVC_BLACKBOARD_DATA. Identifierar nätverkspolicyn för det tjänstkonto som ska ha en IP-adressbegränsning. Nätverkspolicyer börjar alltid med prefixet "NP" följt av användarnamnet för tjänstkontot. Det enda tillgängliga tjänstkontot heter SVC_BLACKBOARD_DATA. 
• SET_ALLOWED_ID_LIST. Kommando som anger listan över IP-adresser som tillåts till din Snowflake-klientorganisation med hjälp av ett tjänstkonto. 
• SET_BLOCKED_ID_LIST. Kommando som anger listan över IP-adresser som är begränsade till din Snowflake-klientorganisation med hjälp av ett tjänstkonto. 

Följ den här noteringen för att inkludera de IP-adresser som du behöver:

•  En enda IP-adress: skriv IP-adressen inom parentes och mellan ' tecken. ('1.1.1.1')
• Flera IP-adresser: skriv alla IP-adresser inom en enda parentes. Skriv varje IP-adress mellan tecknen ' och separera varje IP-adress med ett komma. ( '1.1.1.1','2.2.2.2','3.3.3.3') 
• Intervall av IP-adresser: använd tecknet / i slutet av en IP-adress för att representera intervallet. I det här exemplet tillät vi alla IP-adresser i intervallet 192.168.1.0 till 192.168.1.255. ('192.168.1.0/24')

Kontrollera konfigurationen för IP-adressbegränsning 

Om du vill verifiera konfigurationen av IP-adressbegränsningen kan du använda följande kommandon: 

• Som tidigare öppnar du sidopanelen i Snowflake och väljer Arbetsblad. 
• Välj Skapa ett nytt arbetsblad. Du kan välja mellan SQL- och Python-arbetsblad. I det här exemplet valde vi SQL-arbetsblad. 
• Kör följande fråga.

BESKRIV NÄTVERKSPOLICY NP_SVC_BLACKBOARD_DATA; 

• I avsnittet Resultat hittar du listan över tillåtna och blockerade IP-adresser.

• Du kan även köra följande fråga. 

VISA NÄTVERKSPOLICYER;  

• I avsnittet Resultat hittar du tillgängliga nätverkspolicyer och antal poster i listan över tillåtna IP-adresser och blockerade IP-adresser.

Ändra lösenordet för ett Snowflake-tjänstkonto när det finns en IP-adressbegränsning

Ett lösenord för ett tjänstkonto kan bara ändras på en dator som inte har en IP-adressbegränsning eller ingår i listan över tillåtna IP-adresser. 

Detta beror på att lösenordsåterställningar för tjänstkonton görs i Snowflake, där IP-adressbegränsningar gäller. 

• Om du vill tillåta en Illuminate-användare att ändra lösenordet för ett Snowflake-tjänstkonto kan IP-adresslistan tillfälligt ändras så att användarens dators IP-adress inkluderas i listan över tillåtna IP-adresser. 
• När Illuminate-användaren ändrar lösenordet för tjänstkontot kan användarens IP-adress tas bort från listan över tillåtna användare.

Du kan ändra lösenordet för ett Snowflake-tjänstkonto genom att följa dessa steg:

• Logga in på Illuminate som en användare med rollen Developer. 
• Öppna sidopanelen och välj Developer. 
• Välj Inställningar. 
• Välj fliken Kontoinställningar för Snowflake. 
• Under listan Tjänstkonto letar du upp tjänstkontot SVC_BLACKBOARD_DATA. Det är det enda Snowflake-tjänstkontot som finns tillgängligt i Illuminate. 
• Välj Ändra lösenord. 
• Återställ lösenordet i Snowflake-menyn.