ALTER NETWORK POLICY

Ändert die Eigenschaften einer bestehenden Netzwerkrichtlinie. Derzeit werden nur die folgenden Aktionen unterstützt: Ändern der IP-Adressen, die erlaubt oder verweigert sind, und Hinzufügen, Überschreiben und Entfernen eines Kommentars für eine Netzwerkrichtlinie.

Bemerkung

Nur der Eigentümer der Netzwerkrichtlinie (d. h. die Rolle mit der Berechtigung OWNERSHIP für die Netzwerkrichtlinie) oder höher kann eine Netzwerkrichtlinie ändern.

Siehe auch:

CREATE NETWORK POLICY, DESCRIBE NETWORK POLICY, DROP NETWORK POLICY, SHOW NETWORK POLICIES

Syntax

ALTER NETWORK POLICY [ IF EXISTS ] <name> SET {
    [ ALLOWED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
    [ BLOCKED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
    [ ALLOWED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
    [ BLOCKED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
    [ COMMENT = '<string_literal>' ] }

ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT

ALTER NETWORK POLICY <name> ADD { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }

ALTER NETWORK POLICY <name> REMOVE { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }

ALTER NETWORK POLICY <name>  RENAME TO <new_name>

ALTER NETWORK POLICY <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]

ALTER NETWORK POLICY <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
Copy

Parameter

name

Gibt den Bezeichner für die zu ändernde Netzwerkrichtlinie an. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

SET ...

Gibt den Parameter an, der für die Netzwerkrichtlinie festgelegt werden soll:

ALLOWED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )

Gibt eine Liste von Netzwerkregeln an, die die Netzwerkbezeichner enthalten, denen der Zugriff auf Snowflake erlaubt wird. Die Anzahl der Netzwerkregeln in der Liste ist nicht begrenzt.

Ersetzt vorhandene Netzwerkregeln in der Zulassungsliste. Um Netzwerkregeln hinzuzufügen, ohne bestehende Regeln zu ersetzen, verwenden Sie den Befehl ALTER NETWORK POLICY ... ADD.

BLOCKED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )

Gibt eine Liste von Netzwerkregeln an, die die Netzwerkbezeichner enthalten, denen der Zugriff auf Snowflake verweigert wird. Die Anzahl der Netzwerkregeln in der Liste ist nicht begrenzt.

Ersetzt bestehende Netzwerkregeln in der Sperrliste. Um Netzwerkregeln hinzuzufügen, ohne bestehende Regeln zu ersetzen, verwenden Sie den Befehl ALTER NETWORK POLICY ... ADD.

ALLOWED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )

Gibt eine Liste von IPv4-Adressen an, die Zugriff auf Ihr Snowflake-Konto haben. Dies wird als Zulassungsliste bezeichnet.

Snowflake empfiehlt, Netzwerkregeln in Verbindung mit Netzwerkrichtlinien zu verwenden, anstatt diese Eigenschaft zu nutzen. Verwenden Sie die Eigenschaft ALLOWED_NETWORK_RULE_LIST, um Netzwerkregeln anzugeben, die IPv4-Adressen enthalten.

Wenn Sie noch keine Netzwerkregeln verwenden, geben Sie mindestens eine IPv4-Adresse oder einen CIDR-Blockbereich an, um den Zugriff auf Ihr Snowflake Konto zu ermöglichen. Wenn Sie keine Netzwerkregeln verwenden und diese Eigenschaft mit einer leeren Liste angegeben ist, können außerdem keine IPv4-Adressen auf Ihr Snowflake-Konto zugreifen.

BLOCKED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )

Gibt eine Liste von IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto verweigert wird. Dies wird als Sperrliste bezeichnet. Um diesen Parameter zu deaktivieren, geben Sie einen anderen CIDR-Blockbereich, eine Reihe von IPv4-Adressen oder eine einzelne IPv4-Adresse an.

Snowflake empfiehlt, Netzwerkregeln in Verbindung mit Netzwerkrichtlinien zu verwenden, anstatt diesen Parameter zu benutzen. Verwenden Sie die Eigenschaft BLOCKED_NETWORK_RULE_LIST, um Netzwerkregeln anzugeben, die IPv4-Adressen enthalten.

Um den öffentlichen Zugang zu sperren, verwenden Sie eine Netzwerkregel und fügen die Netzwerkregel der Eigenschaft BLOCKED_NETWORK_RULE_LIST hinzu. Das hat zur Folge, dass nur IP-Adressen, die eine private Konnektivität nutzen, wie AWS PrivateLink, auf Ihr Snowflake-Konto zugreifen können.

Voreinstellung: Kein Wert; keine IP-Adressen in der Eigenschaft ALLOWED_IP_LIST werden blockiert.

COMMENT = 'string_literal'

Fügt einen Kommentar hinzu oder überschreibt einen vorhandenen Kommentar für die Netzwerkrichtlinie.

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

Gibt den Namen des Tags und den Wert der Tag-Zeichenfolge an.

Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann.

Weitere Informationen zur Angabe von Tags in einer Anweisung finden Sie unter Tag-Kontingente für Objekte und Spalten.

UNSET ...

Gibt die Eigenschaften an, die für die Netzwerkrichtlinie deaktiviert werden sollen, wodurch sie auf die Standardwerte zurückgesetzt werden:

  • COMMENT entfernt den Kommentar zur Netzwerkrichtlinie, falls vorhanden.

  • TAG tag_name [ , tag_name ... ]

ADD { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }

Fügt eine Netzwerkregel zur Zulassungs- oder Sperrliste der Netzwerkrichtlinie hinzu, ohne bestehende Regeln zu entfernen.

REMOVE { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }

Entfernt eine Netzwerkregel aus der Zulassungs- oder Sperrliste der Netzwerkrichtlinie.

RENAME TO ...

Gibt einen neuen Namen für die vorhandene Netzwerkrichtlinie an.

Nutzungshinweise

  • Ändern Sie eine Netzwerkrichtlinie nicht auf eine Weise, dass sie leere ALLOWED_IP_LIST- und BLOCKED_IP_LIST-Eigenschaften hat. Verwenden Sie Netzwerkregeln in Verbindung mit der Netzwerkrichtlinie, um den Zugriff auf Ihr Snowflake-Konto zu verwalten.

  • Die SET-Aktion für die Zulassungs-/Sperrliste ist nicht additiv (d. h. sie entfernt alle IP-Adressen in den vorhandenen Listen für die Netzwerkrichtlinie und ersetzt sie durch die angegebenen Listen).

    Um Ergänzungen zu den bestehenden Listen vorzunehmen, müssen Sie daher die neuen IP-Adressen und die bestehenden Listen replizieren.

  • Jede ip_address kann einen Bereich von Adressen mit der Schreibweise Classless Inter-Domain Routing (CIDR) abdecken:

    ip_address[/optional_prefix_length]

    Beispiel:

    192.168.1.0/24

  • Wenn eine Netzwerkrichtlinie Werte für ALLOWED_IP_LIST und BLOCKED_IP_LIST enthält, wendet Snowflake zuerst die Sperrliste an.

  • Fügen Sie 0.0.0.0/0 nicht zur BLOCKED_IP_LIST hinzu. Da Snowflake zuerst die Sperrliste anwendet, würde dies Ihren eigenen Zugriff blockieren. Um alle IP-Adressen außer einer Auswahlliste zu blockieren, müssen Sie außerdem nur IP-Adressen zur ALLOWED_IP_LIST hinzufügen. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

  • Metadaten:

    Achtung

    Kunden müssen sicherstellen, dass bei der Nutzung des Snowflake-Dienstes keine personenbezogenen Daten (außer für ein Objekt „Benutzer“), sensible Daten, exportkontrollierte Daten oder andere regulierte Daten als Metadaten eingegeben werden. Weitere Informationen dazu finden Sie unter Metadatenfelder in Snowflake.

Beispiel

Verwenden Sie beispielsweise ALTER NETWORK POLICY, um eine Netzwerkrichtlinie mit dem Namen allow_access_policy zu ändern, die den durch allow_access_rule definierten Datenverkehr zulässt, um auch den durch block_access_rule definierten Datenverkehr zu blockieren, in Übereinstimmung mit den in IP-Bereiche definierten Netzwerkregeln. Zeigen Sie zunächst die aktuelle Richtlinie an:

DESC NETWORK POLICY allow_access_policy;
Copy
+---------------------------+-------------------+
| name                      | value             |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | allow_access_rule |
+---------------------------+-------------------+

Ändern Sie als Nächstes allow_access_policy so, dass auch block_access_rule verwendet wird, und zeigen Sie dann die aktualisierte Richtlinie an:

ALTER NETWORK POLICY IF EXISTS allow_access_policy SET
  BLOCKED_NETWORK_RULE_LIST = 'block_access_rule';
DESC NETWORK POLICY allow_access_policy;
Copy
+---------------------------+-------------------+
| name                      | value             |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | ALLOW_ACCESS_RULE |
| BLOCKED_NETWORK_RULE_LIST | BLOCK_ACCESS_RULE |
+---------------------------+-------------------+

Benennen Sie dann die aktualisierte Richtlinie um, um die Verwendung beider Regeln zu beschreiben:

ALTER NETWORK POLICY allow_access_policy RENAME TO limit_access_policy;
Copy

Fügen Sie dann einen Kommentar hinzu, der beschreibt, dass limit_access_policy durch Netzwerkregeln definiert ist:

ALTER NETWORK POLICY limit_access_policy SET COMMENT = 'No_Lists_See_Rules';
SHOW NETWORK POLICIES;
Copy

Die Ausgabe von SHOW NETWORK POLICIES enthält den Namen der aktualisierten Richtlinie und den Kommentar, der in der geänderten (modifizierten) Netzwerkrichtlinie enthalten ist.

+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+
| created on                    | name                | comment            | entries_in_allowed_ip_list | entries_in_blocked_ip_list | entries_in_allowed_network_rules | entries_in_blocked_network_rules |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|...                            |                     |                    |                            |                            |                                  |                                  |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
| 2024-12-04 10:33:19.853 -0800 | LIMIT_ACCESS_POLICY | NO_LISTS_SEE_RULES |                           0|                           0|                                 1|                                 1|
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|...                            |                     |                    |                            |                            |                                  |                                  |
+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+