Kategorien:

DDL für Benutzer und Sicherheit (Netzwerkrichtlinien)

CREATE NETWORK POLICY

Erstellt eine Netzwerkrichtlinie.

Bemerkung

Nur Sicherheitsadministratoren (d. h. Benutzer mit der Rolle SECURITYADMIN oder höher) können andere Benutzer erstellen, ändern oder löschen.

Siehe auch:

ALTER NETWORK POLICY , DESCRIBE NETWORK POLICY , DROP NETWORK POLICY , SHOW NETWORK POLICIES

ALTER ACCOUNT

Syntax

CREATE [ OR REPLACE ] NETWORK POLICY <name>
   ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] )
   [ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] ) ]
   [ COMMENT = '<string_literal>' ]

Erforderliche Parameter

Name

Bezeichner für die Netzwerkrichtlinie. Dieser muss für Ihr Konto eindeutig sein.

Der Bezeichnerwert muss mit einem alphabetischen Zeichen beginnen und darf keine Leerzeichen oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen eingeschlossen (z. B. "My object"). Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß- und Kleinschreibung zu beachten.

Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.

ALLOWED_IP_LIST = ('IP-Adresse' [ , 'IP-Adresse' , ... ] )

Gibt eine oder mehrere IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto gestattet ist. Dies wird als Zulassungsliste bezeichnet. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

Optionale Parameter

BLOCKED_IP_LIST = ('IP-Adresse' [ , 'IP-Adresse' , ... ] )

Gibt eine oder mehrere IPv4-Adressen an, denen der Zugriff auf Ihr Snowflake-Konto verweigert wird. Dies wird als Sperrliste bezeichnet.

Setzen Sie diesen Parameter nur, wenn Sie den Zugriff auf einen Bereich von IP-Adressen erlauben (angegeben in ALLOWED_IP_LIST), aber den Zugriff auf eine oder mehrere IP-Adressen innerhalb des Bereichs verweigern möchten.

Standard: Kein Wert (d. h. keine IP-Adresse in ALLOWED_IP_LIST ist gesperrt)

COMMENT = 'Zeichenfolgenliteral'

Gibt einen Kommentar für die Netzwerkrichtlinie an.

Standard: Kein Wert

Nutzungshinweise

  • Jede IP-Adresse kann einen Bereich von Adressen mit der Schreibweise Classless Inter-Domain Routing (CIDR) abdecken:

    IP-Adresse[/optionale_Präfixlänge]

    Beispiel:

    192.168.1.0/24

  • Wenn eine Netzwerkrichtlinie Werte für ALLOWED_IP_LIST und BLOCKED_IP_LIST enthält, wendet Snowflake zuerst die Sperrliste an.

  • Fügen Sie 0.0.0.0/0 nicht zur BLOCKED_IP_LIST hinzu. Da Snowflake zuerst die Sperrliste anwendet, würde dies Ihren eigenen Zugriff blockieren. Um alle IP-Adressen außer einer Auswahlliste zu blockieren, müssen Sie außerdem nur IP-Adressen zur ALLOWED_IP_LIST hinzufügen. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

  • Nachdem Sie eine Netzwerkrichtlinie erstellt haben, müssen Sie diese mit Ihrem Konto verknüpfen, bevor Snowflake die Richtlinie durchsetzt. Sie können Ihrem Konto über den Befehl ALTER ACCOUNT eine Richtlinie zuordnen, wobei der Befehl von einem Benutzer mit der Rolle SECURITYADMIN (oder höher) ausgeführt werden muss.

    Beispiel:

    USE ROLE SECURITYADMIN;
    
    ALTER ACCOUNT SET NETWORK_POLICY = <policy_name>;
    

    Weitere Details dazu finden Sie unter Parameterverwaltung. Beachten Sie, dass NETWORK_POLICY derzeit der einzige Kontoparameter ist, der von Benutzern mit der Rolle SECURITYADMIN festgelegt werden kann.

  • Bevor Sie Ihrem Konto eine Netzwerkrichtlinie zuweisen, muss Ihre aktuelle IP-Adresse in ALLOWED_IP_LIST enthalten sein; andernfalls gibt der Befehl ALTER ACCOUNT einen Fehler zurück. Darüber hinaus kann Ihre aktuelle IP-Adresse nicht in BLOCKED_IP_LIST enthalten sein.

Beispiele

Erstellen Sie eine Netzwerkrichtlinie namens mypolicy1 mit den folgenden Eigenschaften:

  • Erlauben Sie alle IP-Adressen im Bereich von 192.168.1.0 bis 192.168.1.255 (über CIDR-Notation 192.168.1.0/24), mit Ausnahme von 192.168.1.99, das explizit gesperrt ist.

  • Lehnen Sie alle anderen IP-Adressen ab.

CREATE NETWORK POLICY mypolicy1 ALLOWED_IP_LIST=('192.168.1.0/24')
                                BLOCKED_IP_LIST=('192.168.1.99');

DESC NETWORK POLICY mypolicy1;

+-----------------+----------------+
| name            | value          |
|-----------------+----------------|
| ALLOWED_IP_LIST | 192.168.1.0/24 |
| BLOCKED_IP_LIST | 192.168.1.99   |
+-----------------+----------------+

Erstellen Sie eine Netzwerkrichtlinie mit dem Namen mypolicy2, die nur die IP-Adressen 192.168.1.0 und 192.168.1.100 für den Zugriff auf Ihr Konto zulässt:

CREATE NETWORK POLICY mypolicy2 ALLOWED_IP_LIST=('192.168.1.0','192.168.1.100');

DESC NETWORK POLICY mypolicy2;

+-----------------+---------------------------+
| name            | value                     |
|-----------------+---------------------------|
| ALLOWED_IP_LIST | 192.168.1.0,192.168.1.100 |
+-----------------+---------------------------+