Kategorien:

DDL für Benutzer und Sicherheit (Netzwerkrichtlinien)

ALTER NETWORK POLICY

Ändert die Eigenschaften einer bestehenden Netzwerkrichtlinie. Derzeit werden nur die folgenden Aktionen unterstützt: Ändern der IP-Adressen, die erlaubt oder verweigert sind, und Hinzufügen, Überschreiben und Entfernen eines Kommentars für eine Netzwerkrichtlinie.

Bemerkung

Nur Benutzer mit der Rolle SECURITYADMIN (oder höher) können Netzwerkrichtlinien ändern.

Siehe auch:

CREATE NETWORK POLICY, DESCRIBE NETWORK POLICY, DROP NETWORK POLICY, SHOW NETWORK POLICIES

Syntax

ALTER NETWORK POLICY [ IF EXISTS ] <name> SET { [ ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
                                                [ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
                                                [ COMMENT = '<string_literal>' ] }

ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT

Parameter

Name

Gibt den Bezeichner für die zu ändernde Netzwerkrichtlinie an. Wenn der Bezeichner Leerzeichen oder Sonderzeichen enthält, muss die gesamte Zeichenfolge in doppelte Anführungszeichen gesetzt werden. Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

SET ...

ALLOWED_IP_LIST = ( IP-Adresse [ , IP-Adresse , ... ] )

Gibt eine oder mehrere IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto gestattet ist. Dies wird als Zulassungsliste bezeichnet. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

BLOCKED_IP_LIST = ( IP-Adresse [ , IP-Adresse , ... ] )

Gibt eine oder mehrere IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto verweigert wird. Dies wird als Sperrliste bezeichnet.

Legen Sie diesen Parameter nur fest, wenn Sie den Zugriff auf einen Bereich von IP-Adressen erlauben (angegeben in ALLOWED_IP_LIST), aber den Zugriff auf eine oder mehrere IP-Adressen innerhalb des Bereichs verweigern möchten.

COMMENT = 'Zeichenfolgenliteral'

Fügt einen Kommentar hinzu oder überschreibt einen vorhandenen Kommentar für die Netzwerkrichtlinie.

UNSET ...

Gibt die Eigenschaften an, die für die Netzwerkrichtlinie deaktiviert werden sollen, wodurch sie auf die Standardwerte zurückgesetzt werden.

Derzeit können Sie nur die Eigenschaft COMMENT deaktivieren, die den Kommentar, falls vorhanden, für die Netzwerkrichtlinie entfernt.

Nutzungshinweise

  • Die SET-Aktion für die Zulassungs-/Sperrliste ist nicht additiv (d. h. sie entfernt alle IP-Adressen in den vorhandenen Listen für die Netzwerkrichtlinie und ersetzt sie durch die angegebenen Listen).

    Um Ergänzungen zu den bestehenden Listen vorzunehmen, müssen Sie daher die neuen IP-Adressen und die bestehenden Listen replizieren.

  • Jede IP-Adresse kann einen Bereich von Adressen mit der Schreibweise Classless Inter-Domain Routing (CIDR) abdecken:

    IP-Adresse[/optionale_Präfixlänge]

    Beispiel:

    192.168.1.0/24

  • Wenn eine Netzwerkrichtlinie Werte für ALLOWED_IP_LIST und BLOCKED_IP_LIST enthält, wendet Snowflake zuerst die Sperrliste an.

  • Fügen Sie 0.0.0.0/0 nicht zur BLOCKED_IP_LIST hinzu. Da Snowflake zuerst die Sperrliste anwendet, würde dies Ihren eigenen Zugriff blockieren. Um alle IP-Adressen außer einer Auswahlliste zu blockieren, müssen Sie außerdem nur IP-Adressen zur ALLOWED_IP_LIST hinzufügen. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

Beispiel

Ändern Sie eine Netzwerkrichtlinie mit dem Namen mypolicy1 wie folgt:

  • Behalten Sie die bestehende Zulassungsliste (alle IP-Adressen im Bereich von 192.168.1.0/24) und die Sperrliste (192.168.1.99) für die Richtlinie, wie in den CREATE NETWORK POLICY-Beispielen definiert.

  • Fügen Sie die IP-Adresse 192.168.255.100 zur Zulassungsliste hinzu.

  • Lehnen Sie alle anderen IP-Adressen ab.

DESC NETWORK POLICY mypolicy1;

+-----------------+----------------+
| name            | value          |
|-----------------+----------------|
| ALLOWED_IP_LIST | 192.168.1.0/24 |
| BLOCKED_IP_LIST | 192.168.1.99   |
+-----------------+----------------+

ALTER NETWORK POLICY mypolicy1 SET ALLOWED_IP_LIST=('192.168.1.0/24','192.168.255.100')
                                   BLOCKED_IP_LIST=('192.168.1.99');

DESC NETWORK POLICY mypolicy1;

+-----------------+--------------------------------+
| name            | value                          |
|-----------------+--------------------------------|
| ALLOWED_IP_LIST | 192.168.1.0/24,192.168.255.100 |
| BLOCKED_IP_LIST | 192.168.1.99                   |
+-----------------+--------------------------------+

Bemerkung

Um die bestehenden Zulassungs- und Sperrlisten beizubehalten, müssen Sie alle IP-Adressen aus den vorherigen Listen aufnehmen.