Snowflake hizmet hesapları için IP adresi kısıtlaması
Veri güvenliği çok önemlidir. Kurumunuz, belirli IP adreslerinin Snowflake hizmeti hesaplarına erişimine izin verebilir ve erişimlerini kısıtlayabilir. Bu, hassas verilere yetkisiz erişim riskini azaltır.
Belirli bir IP adresine veya IP adresi aralığına izin verebilir ve izinlerini kısıtlayabilirsiniz
Kısıtlanmış bir IP adresine sahip olan kullanıcılar Snowflake hizmet hesabına erişemez veya Snowflake hesabı parolasını değiştiremez.
Bu yardım sayfasında aşağıdaki konuları bulabilirsiniz:
- Snowflake hizmet hesabı nedir?
- IP adresi kısıtlamasını yapılandırma
- IP adresi kısıtlaması yapılandırmanızı kontrol etme
- IP adresi kısıtlaması olduğunda Snowflake hizmet hesabı parolasını değiştirme
Snowflake hizmet hesabı nedir?
Snowflake'te oturum açmanın iki yolu vardır.
- Kullanıcı adı ve parola ile oturum açma: Bunlara Illuminate hizmet hesapları denir ve M2M (makineden makineye) bağlantılar için faydalı hesaplardır. IP adresi kısıtlamaları, yalnızca hizmet hesapları için geçerlidir. Şu anda, Illuminate'te SVC_BLACKBOARD_DATA adlı yalnızca 1 hizmet hesabı bulunmaktadır.
- SSO ile oturum açma: Snowflake, oturum açmak için Illuminate kimlik bilgilerinizi alacaktır. IP kısıtlamasını yapılandırmak için SSO aracılığıyla oturum açmanız ve BBDATA_USER_ROLE rolüne sahip olmanız gerekir. IP adresi kısıtlaması, SSO ile oturum açan kullanıcılar için geçerli değildir.
IP adresi kısıtlamasını yapılandırma
IP adresi kısıtlamasını yapılandırmak için:
- Geliştirici rolüne sahip bir kullanıcı olarak Illuminate'te oturum açın.
- Yan paneli açın ve Geliştirici seçeneğini seçin.
- Snowflake'i Başlat'ı seçin.
- SSO'yu kullanarak oturum aç ögesini seçin.
- IP kısıtlamasını yapılandırmak için SSO aracılığıyla oturum açmanız gerektiğini unutmayın. Snowflake'e bir hizmet hesabıyla erişirseniz IP kısıtlamaları uygulanamaz.
- Snowflake kullanıcınızın BBDATA_USER_ROLE rolüne sahip olması gerekir.
- Snowflake'te yan paneli açın ve Çalışma Sayfaları'nı seçin.
- Yeni çalışma sayfası oluştur ögesini seçin.
- SQL ve Python çalışma sayfaları arasından seçim yapabilirsiniz. Bu örnekte, SQL Çalışma Sayfası'nı seçtik.
- Bu sorguyu temel olarak kullanabilirsiniz. Bu örnek sorgu, belirli bir IP adresine (1.1.1.1) izin verir ve SVC_BLACKBOARD_DATA adlı bir hizmet hesabı için bir IP adresi aralığını (192.168.1.0 ile 192.168.1.255 arası) kısıtlar.
USE ROLE BBDATA_USER_ROLE;
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET ALLOWED_IP_LIST = ('1.1.1.1');
ALTER NETWORK POLICY NP_SVC_BLACKBOARD_DATA SET BLOCKED_IP_LIST = ('192.168.1.0/24');
Komut açıklaması
- USER ROLE. IP kısıtlaması ağ ilkesini değiştirme iznine sahip olan rol.
- BBDATA_USER_ROLE, IP adresi kısıtlamalarını değiştirebilecek tek roldür.
- ALTER NETWORK POLICY. Önceden var olan bir ağ ilkesini güncelleştiren komut. Bu ilke, IP adresi kısıtlaması yapılandırmasını kolaylaştırmak için önceden Illuminate ekibi tarafından oluşturulmuştur.
- NP_ SVC_BLACKBOARD_DATA. IP adresi kısıtlaması uygulanacak hizmet hesabının ağ ilkesini tanımlar. Ağ ilkeleri her zaman "NP" ön ekiyle başlar ve ardından hizmet hesabı kullanıcı adı gelir. Kullanılabilir tek hizmet hesabının adı SVC_BLACKBOARD_DATA'dır.
- SET_ALLOWED_ID_LIST. Hizmet hesabı kullanarak Snowflake kiracınıza erişmesine izin verilen IP adreslerinin listesini belirten komut.
- SET_BLOCKED_ID_LIST. Hizmet hesabı kullanarak Snowflake kiracınıza erişmesine kısıtlama getirilen IP adreslerinin listesini belirten komut.
İhtiyaç duyduğunuz IP adreslerini eklemek için şu gösterimi uygulayın:
- Tek bir IP adresi: IP adresini parantez içinde ve ' işaretleri arasına yazın. ('1.1.1.1')
- Birden çok IP adresi: Tüm IP adreslerini tek bir parantez içinde yazın. Her IP adresini ' işaretleri arasına yazın ve her birini virgülle ayırın. ( '1.1.1.1','2.2.2.2','3.3.3.3')
- IP adresi aralığı: Aralığı temsil etmek için IP adresinin sonunda / işaretini kullanın. Bu örnekte, 192.168.1.0 ile 192.168.1.255 aralığındaki tüm IP adreslerine izin verdik. ('192.168.1.0/24')
IP adresi kısıtlaması yapılandırmanızı kontrol etme
IP adresi kısıtlaması yapılandırmanızı doğrulamak istiyorsanız, aşağıdaki komutları kullanabilirsiniz:
- Daha önce olduğu gibi, Snowflake'te yan paneli açın ve Çalışma Sayfaları'nı seçin.
- Yeni çalışma sayfası oluştur ögesini seçin. SQL ve Python çalışma sayfaları arasından seçim yapabilirsiniz. Bu örnekte SQL Çalışma Sayfası'nı seçtik.
- Aşağıdaki sorguyu çalıştırın.
DESCRIBE NETWORK POLICY NP_SVC_BLACKBOARD_DATA;
- Sonuçlar bölümünde, izin verilen ve engellenen IP adreslerinin listesini bulabilirsiniz.
- Aşağıdaki sorguyu da çalıştırabilirsiniz.
SHOW NETWORK POLICIES;
- Sonuçlar bölümünde, mevcut ağ ilkeleriyle birlikte izin verilen IP listesindeki ve engellenen IP listesindeki girişlerin sayılarını bulabilirsiniz.
IP adresi kısıtlaması olduğunda Snowflake hizmet hesabı parolasını değiştirme
Hizmet hesabı parolası, yalnızca kısıtlanmış bir IP adresine sahip olmayan veya izin verilen IP adresleri listesine dâhil edilmiş olan bir makinede değiştirilebilir.
Bunun nedeni, hizmet hesabı parolasına ait sıfırlama işlemlerinin Snowflake'te yapılması ve Snowflake'te IP adresi kısıtlamalarının geçerli olmasıdır.
- Bir Illuminate kullanıcısının Snowflake hizmet hesabı parolasını değiştirmesine izin vermek için, IP adresi listesi, kullanıcı makinesinin IP adresini izin verilen IP adresi listesine dâhil edecek şekilde geçici olarak değiştirilebilir.
- Illuminate kullanıcısı hizmet hesabı parolasını değiştirdikten sonra, kullanıcı makinesinin IP adresi izin verilenler listesinden yeniden kaldırılabilir.
Snowflake hizmet hesabı parolasını aşağıdaki adımları izleyerek değiştirebilirsiniz:
- Geliştirici rolüne sahip bir kullanıcı olarak Illuminate'te oturum açın.
- Yan paneli açın ve Geliştirici ögesini seçin.
- Ayarlar'ı seçin.
- Snowflake Hesabı Ayarları sekmesini seçin.
- Hizmet Hesabı listesinin altından SVC_BLACKBOARD_DATA hizmet hesabını bulun. Bu, Illuminate'te bulunan tek Snowflake hizmet hesabıdır.
- Parolayı Değiştir'i seçin.
- Snowflake menüsünde parolayı sıfırlayın.