ALTER NETWORK POLICY¶
Ändert die Eigenschaften einer bestehenden Netzwerkrichtlinie. Derzeit werden nur die folgenden Aktionen unterstützt: Ändern der IP-Adressen, die erlaubt oder verweigert sind, und Hinzufügen, Überschreiben und Entfernen eines Kommentars für eine Netzwerkrichtlinie.
Bemerkung
Nur der Eigentümer der Netzwerkrichtlinie (d. h. die Rolle mit der Berechtigung OWNERSHIP für die Netzwerkrichtlinie) oder höher kann eine Netzwerkrichtlinie ändern.
- Siehe auch:
CREATE NETWORK POLICY, DESCRIBE NETWORK POLICY, DROP NETWORK POLICY, SHOW NETWORK POLICIES
Syntax¶
ALTER NETWORK POLICY [ IF EXISTS ] <name> SET {
[ ALLOWED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
[ BLOCKED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
[ ALLOWED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
[ BLOCKED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
[ COMMENT = '<string_literal>' ] }
ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT
ALTER NETWORK POLICY <name> ADD { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }
ALTER NETWORK POLICY <name> REMOVE { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }
ALTER NETWORK POLICY <name> RENAME TO <new_name>
ALTER NETWORK POLICY <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]
ALTER NETWORK POLICY <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
Parameter¶
name
Gibt den Bezeichner für die zu ändernde Netzwerkrichtlinie an. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.
SET ...
Gibt den Parameter an, der für die Netzwerkrichtlinie festgelegt werden soll:
ALLOWED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )
Gibt eine Liste von Netzwerkregeln an, die die Netzwerkbezeichner enthalten, denen der Zugriff auf Snowflake erlaubt wird. Die Anzahl der Netzwerkregeln in der Liste ist nicht begrenzt.
Ersetzt vorhandene Netzwerkregeln in der Zulassungsliste. Um Netzwerkregeln hinzuzufügen, ohne bestehende Regeln zu ersetzen, verwenden Sie den Befehl
ALTER NETWORK POLICY ... ADD
.BLOCKED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )
Gibt eine Liste von Netzwerkregeln an, die die Netzwerkbezeichner enthalten, denen der Zugriff auf Snowflake verweigert wird. Die Anzahl der Netzwerkregeln in der Liste ist nicht begrenzt.
Ersetzt bestehende Netzwerkregeln in der Sperrliste. Um Netzwerkregeln hinzuzufügen, ohne bestehende Regeln zu ersetzen, verwenden Sie den Befehl
ALTER NETWORK POLICY ... ADD
.ALLOWED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )
Snowflake empfiehlt die Verwendung von Netzwerkregeln zusammen mit Netzwerkrichtlinien, anstatt diesen Parameter zu verwenden. Verwenden Sie den Parameter ALLOWED_NETWORK_RULE_LIST, um Netzwerkregeln anzugeben, die IPv4-Adressen enthalten.
Gibt eine Liste von IPv4-Adressen an, die Zugriff auf Ihr Snowflake-Konto haben. Dies wird als Zulassungsliste bezeichnet. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.
Wenn der Parameter mit einer leeren Liste angegeben wird, erlaubt die Netzwerkrichtlinie keiner IPv4-Adresse den Zugriff auf Snowflake.
BLOCKED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )
Snowflake empfiehlt die Verwendung von Netzwerkregeln zusammen mit Netzwerkrichtlinien, anstatt diesen Parameter zu verwenden. Verwenden Sie den Parameter BLOCKED_NETWORK_RULE_LIST, um Netzwerkregeln anzugeben, die IPv4-Adressen enthalten.
Gibt eine Liste von IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto verweigert wird. Dies wird als Sperrliste bezeichnet.
Legen Sie diesen Parameter nur fest, wenn Sie den Zugriff auf einen Bereich von IP-Adressen erlauben (angegeben in
ALLOWED_IP_LIST
), aber den Zugriff auf eine oder mehrere IP-Adressen innerhalb des Bereichs verweigern möchten.Um diesen Parameter zu deaktivieren, geben Sie eine leere Liste an.
COMMENT = 'string_literal'
Fügt einen Kommentar hinzu oder überschreibt einen vorhandenen Kommentar für die Netzwerkrichtlinie.
TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]
Gibt den Namen des Tags und den Wert der Tag-Zeichenfolge an.
Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann.
Weitere Informationen zur Angabe von Tags in einer Anweisung finden Sie unter Tag-Kontingente für Objekte und Spalten.
UNSET ...
Gibt die Eigenschaften an, die für die Netzwerkrichtlinie deaktiviert werden sollen, wodurch sie auf die Standardwerte zurückgesetzt werden:
COMMENT
entfernt den Kommentar zur Netzwerkrichtlinie, falls vorhanden.TAG tag_name [ , tag_name ... ]
ADD { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }
Fügt eine Netzwerkregel zur Zulassungs- oder Sperrliste der Netzwerkrichtlinie hinzu, ohne bestehende Regeln zu entfernen.
REMOVE { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }
Entfernt eine Netzwerkregel aus der Zulassungs- oder Sperrliste der Netzwerkrichtlinie.
RENAME TO ...
Gibt einen neuen Namen für die vorhandene Netzwerkrichtlinie an.
Nutzungshinweise¶
Die
SET
-Aktion für die Zulassungs-/Sperrliste ist nicht additiv (d. h. sie entfernt alle IP-Adressen in den vorhandenen Listen für die Netzwerkrichtlinie und ersetzt sie durch die angegebenen Listen).Um Ergänzungen zu den bestehenden Listen vorzunehmen, müssen Sie daher die neuen IP-Adressen und die bestehenden Listen replizieren.
Jede
ip_address
kann einen Bereich von Adressen mit der Schreibweise Classless Inter-Domain Routing (CIDR) abdecken:ip_address[/optional_prefix_length]
Beispiel:
192.168.1.0/24
Wenn eine Netzwerkrichtlinie Werte für
ALLOWED_IP_LIST
undBLOCKED_IP_LIST
enthält, wendet Snowflake zuerst die Sperrliste an.Fügen Sie
0.0.0.0/0
nicht zurBLOCKED_IP_LIST
hinzu. Da Snowflake zuerst die Sperrliste anwendet, würde dies Ihren eigenen Zugriff blockieren. Um alle IP-Adressen außer einer Auswahlliste zu blockieren, müssen Sie außerdem nur IP-Adressen zurALLOWED_IP_LIST
hinzufügen. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.Metadaten:
Achtung
Kunden müssen sicherstellen, dass bei der Nutzung des Snowflake-Dienstes keine personenbezogenen Daten (außer für ein Objekt „Benutzer“), sensible Daten, exportkontrollierte Daten oder andere regulierte Daten als Metadaten eingegeben werden. Weitere Informationen dazu finden Sie unter Metadatenfelder in Snowflake.
Beispiel¶
Ändern Sie eine Netzwerkrichtlinie mit dem Namen mypolicy1
wie folgt:
Behalten Sie die bestehende Zulassungsliste (alle IP-Adressen im Bereich von
192.168.1.0/24
) und die Sperrliste (192.168.1.99
) für die Richtlinie, wie in den CREATE NETWORK POLICY-Beispielen definiert.Fügen Sie die IP-Adresse
192.168.255.100
zur Zulassungsliste hinzu.Lehnen Sie alle anderen IP-Adressen ab.
DESC NETWORK POLICY mypolicy1;
+-----------------+----------------+
| name | value |
|-----------------+----------------|
| ALLOWED_IP_LIST | 192.168.1.0/24 |
| BLOCKED_IP_LIST | 192.168.1.99 |
+-----------------+----------------+
ALTER NETWORK POLICY mypolicy1 SET ALLOWED_IP_LIST=('192.168.1.0/24','192.168.255.100')
BLOCKED_IP_LIST=('192.168.1.99');
DESC NETWORK POLICY mypolicy1;
+-----------------+--------------------------------+
| name | value |
|-----------------+--------------------------------|
| ALLOWED_IP_LIST | 192.168.1.0/24,192.168.255.100 |
| BLOCKED_IP_LIST | 192.168.1.99 |
+-----------------+--------------------------------+
Bemerkung
Um die bestehenden Zulassungs- und Sperrlisten beizubehalten, müssen Sie alle IP-Adressen aus den vorherigen Listen aufnehmen.