Netzwerkrichtlinien¶
Netzwerkrichtlinien bieten Optionen zur Verwaltung von Netzwerkkonfigurationen für den Snowflake-Dienst.
Netzwerkrichtlinien erlauben die Beschränkung des Zugriffs auf Ihr Konto basierend auf der IP-Adresse des Benutzers. Eine Netzwerkrichtlinie ermöglich die Erstellung einer IP-Zulassungsliste und bei Bedarf auch einer IP-Sperrliste.
Unter diesem Thema:
Übersicht¶
Standardmäßig erlaubt Snowflake Benutzern, sich von jeder Computer- oder Geräte-IP-Adresse aus mit dem Service zu verbinden. Ein Sicherheitsadministrator (oder höher) kann eine Netzwerkrichtlinie erstellen, um den Zugriff auf eine einzelne IP-Adresse oder eine Liste von Adressen zu erlauben oder zu verweigern. Derzeit unterstützen Netzwerkrichtlinien nur IPv4-Adressen (Internet Protocol Version 4).
Ein Administrator mit den erforderlichen Berechtigungen kann eine beliebige Anzahl von Netzwerkrichtlinien erstellen. Eine Netzwerkrichtlinie wird erst aktiviert, wenn sie auf der Ebene des Kontos oder des einzelnen Benutzers aktiviert wird. Um eine Netzwerkrichtlinie zu aktivieren, ändern Sie die Konto- oder Benutzereigenschaften und weisen dem Objekt die Netzwerkrichtlinie zu. Dem Konto oder einem bestimmten Benutzer kann jeweils nur eine einzige Netzwerkrichtlinie zugewiesen sein.
CIDR-Notation¶
Snowflake unterstützt die Angabe von IP-Adressbereichen in CIDR-Notation (Classless Inter-Domain Routing). In CIDR-Notation wird das optionale Subnetz als Dezimalzahl ausgedrückt, welche die Präfixlänge darstellt:
ip_address[/prefix_length]
So stellt beispielsweise 192.168.1.0/24
alle IP-Adressen im Bereich 192.168.1.0
bis 192.168.1.255
dar.
Beispiele für Listen von zulässigen/blockierten Adressen¶
Snowflake unterstützt keine Netzwerkrichtlinie, die Ihre aktuelle IP-Adresse blockiert. Wenn Sie versuchen, eine Netzwerkrichtlinie zu erstellen, die die aktuelle IP-Adresse blockiert, wird eine Fehlermeldung angezeigt.
Im Folgenden finden Sie repräsentative Beispiele für die Definition von zugelassenen und gesperrten IP-Adressbereichen unter Verwendung einer Snowflake-Netzwerkrichtlinie.
Lassen Sie alle IP-Adressen im Bereich 192.168.1.0
bis 192.168.1.255
zu, mit Ausnahme von 192.168.1.99
, das explizit gesperrt ist. Zudem werden alle anderen IP-Adressen blockiert:
- Allowed IP Addresses: 192.168.1.0/24 - Blocked IP Addresses: 192.168.1.99
Lassen Sie für den Zugriff auf Ihr Konto nur den IP-Adressen 192.168.1.0
und 192.168.1.100
zu:
- Allowed IP Addresses: 192.168.1.0,192.168.1.100 - Blocked IP Addresses: N/A
Umgehen einer Netzwerkrichtlinie¶
Sie können eine Netzwerkrichtlinie vorübergehend für eine festgelegte Anzahl von Minuten umgehen, indem Sie die Benutzerobjekteigenschaft MINS_TO_BYPASS_NETWORK_POLICY
konfigurieren, die durch Ausführen von DESCRIBE USER angezeigt werden kann. Nur Snowflake kann den Wert für diese Objekteigenschaft festlegen. Wenden Sie sich an den Snowflake-Support, um einen Wert für diese Eigenschaft festzulegen.
Erstellen von Netzwerkrichtlinien¶
Bemerkung
Nur Sicherheitsadministratoren (d. h. Benutzer mit der Rolle SECURITYADMIN) oder höher oder eine Rolle mit der globalen Berechtigung CREATE NETWORK POLICY kann Netzwerkrichtlinien erstellen. Die Eigentümerschaft an einer Netzwerkrichtlinie kann auf eine andere Rolle übertragen werden.
Sie können eine Netzwerkrichtlinie über Snowsight, die klassische Weboberfläche oder mit SQL erstellen:
- Snowsight
Klicken Sie auf Admin » Security » Network Policies.
Klicken Sie in der rechten oberen Ecke der Seite auf die Schaltfläche + Network Policy. Das Dialogfenster New network policy wird geöffnet.
Geben Sie die folgenden Eigenschaften an:
Eigenschaft
Beschreibung
Policy Name
Bezeichner für die Netzwerkrichtlinie. Dieser muss für Ihr Konto eindeutig sein.
Der Bezeichner muss mit einem alphabetischen Zeichen beginnen und darf keine Leer- oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen gesetzt (z. B.
"My object"
).Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß-/Kleinschreibung zu beachten.
Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.
Allowed IP Addresses
Durch Kommas getrennte Liste von IPv4-Adressen, denen der Zugriff auf Ihr Snowflake-Konto gestattet ist. Diese Liste wird als Zulassungsliste bezeichnet. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.
Jede IP-Adresse kann mithilfe der CIDR-Notation (Classless Inter-Domain Routing) einen Bereich von Adressen abdecken.
Weitere Informationen dazu finden Sie unter CIDR-Notation (unter diesem Thema).
Beispiele finden Sie unter Beispiele für Listen von zulässigen/blockierten Adressen (unter diesem Thema).
Blocked IP Addresses
Durch Kommas getrennte Liste von IPv4-Adressen, denen der Zugriff auf Ihr Snowflake-Konto verweigert wird. Diese Liste wird als Sperrliste bezeichnet.
Legen Sie diesen Parameter nur fest, wenn Sie den Zugriff auf einen Bereich von IP-Adressen in Allowed IP Addresses erlauben, aber den Zugriff auf eine oder mehrere IP-Adressen innerhalb des Bereichs verweigern möchten.
Jede IP-Adresse kann mithilfe der CIDR-Notation (Classless Inter-Domain Routing) einen Bereich von Adressen abdecken.
Weitere Informationen dazu finden Sie unter CIDR-Notation (unter diesem Thema).
Beispiele finden Sie unter Beispiele für Listen von zulässigen/blockierten Adressen (unter diesem Thema).
Kommentar
Gibt einen Kommentar für die Netzwerkrichtlinie an.
Klicken Sie auf die Schaltfläche Create network policy.
- Classic Console
Klicken Sie auf Account
» Policies. Die Seite Policies wird angezeigt.
Klicken Sie auf die Schaltfläche Create. Das Dialogfenster Create Network Policy wird geöffnet.
Geben Sie im Feld Name einen Namen für die Netzwerkrichtlinie ein.
Geben Sie im Feld Allowed IP Addresses eine oder mehrere IPv4-Adressen getrennt durch Komma ein, die eine Zugriffsberechtigung auf dieses Snowflake-Konto haben.
Bemerkung
Um alle IP-Adressen, außer einen Satz spezifizierter Adressen zu blockieren, müssen Sie nur eine Liste zulässiger IP-Adressen definieren. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.
Geben Sie im Feld Blocked IP Addresses eine oder mehrere durch Kommas getrennte IPv4-Adressen ein, die keine Zugriffsberechtigung auf dieses Snowflake-Konto haben. Beachten Sie, dass dieses Feld nicht erforderlich ist und in erster Linie dazu verwendet wird, bestimmte Adressen eines Adressbereichs in der Liste zulässiger Adressen zu sperren.
Vorsicht
Wenn eine Netzwerkrichtlinie Werte sowohl in der Liste zulässiger als auch blockierter IP-Adressen enthält, wendet Snowflake zuerst die Liste der blockierten IP-Adressen an.
Fügen Sie
0.0.0.0/0
nicht zur Liste blockierter IP-Adressen hinzu.0.0.0.0/0
wird interpretiert als „alle IPv4-Adressen auf dem lokalen Computer“. Da Snowflake diese Liste zuerst auflöst, würde dies Ihren eigenen Zugriff blockieren. Beachten Sie auch, dass es nicht notwendig ist, diese IP-Adresse in die Liste zulässiger IP-Adressen aufzunehmen.
Geben Sie bei Bedarf weitere Informationen zu der Netzwerkrichtlinie ein, und klicken Sie auf Finish.
- SQL
Führen Sie eine CREATE NETWORK POLICY-Anweisung aus.
Anzeigen von Netzwerkrichtlinien¶
Informationen zu den Netzwerkrichtlinien können über Snowsight, die klassische Weboberfläche oder mit SQL angezeigt werden:
Bemerkung
Nur die Rolle mit OWNERSHIP-Berechtigung für die Netzwerkrichtlinie oder eine höhere Rolle kann Details zur Netzwerkrichtlinie anzeigen.
- Snowsight
Select Admin » Security » Network Policies » <Richtlinienname>.
- Classic Console
- SQL
Führen Sie eine der folgenden Anweisungen aus:
Aktivieren einer Netzwerkrichtlinie für Ihr Konto¶
Um eine Netzwerkrichtlinie für alle Benutzer in Ihrem Snowflake-Konto durchzusetzen, aktivieren Sie die Netzwerkrichtlinie für Ihr Konto.
Bemerkung
Wenn eine Netzwerkrichtlinie für einen einzelnen Benutzer aktiviert ist, hat die Netzwerkrichtlinie auf Benutzerebene Vorrang. Weitere Informationen zur Aktivierung von Netzwerkrichtlinien auf Benutzerebene finden Sie unter Aktivieren von Netzwerkrichtlinien für einzelne Benutzer (unter diesem Thema).
Bemerkung
Diese Aktion ist auf eine der folgenden Rollen beschränkt:
Sicherheitsadministratoren (d. h. Benutzer mit der Rolle SECURITYADMIN) oder eine höhere Rolle.
Eine Rolle, der die globale Berechtigung ATTACH POLICY erteilt wurde.
Sobald die Richtlinie mit Ihrem Konto verknüpft ist, beschränkt Snowflake den Zugriff auf Ihr Konto auf Basis der Liste zulässiger IP-Adressen und der Liste blockierter IP-Adressen. Jedem Benutzer, der versucht, sich von einer durch die Regeln eingeschränkten IP-Adresse aus anzumelden, wird der Zugriff verweigert. Wenn Ihrem Konto eine Netzwerkrichtlinie zugeordnet ist, werden außerdem alle eingeschränkten Benutzer, die bereits bei Snowflake angemeldet sind, daran gehindert, weitere Abfragen auszuführen.
Ein Sicherheitsadministrator (oder höher) kann mehrere Netzwerkrichtlinien erstellen, jedoch kann jeweils nur eine Netzwerkrichtlinie einem Konto zugeordnet werden. Wenn Sie Ihrem Konto eine Netzwerkrichtlinie zuordnen, wird die aktuell zugeordnete Netzwerkrichtlinie (falls vorhanden) automatisch entfernt.
Beachten Sie, dass Ihre aktuelle IP-Adresse in der Liste der erlaubten IP-Adressen in der Richtlinie enthalten sein muss. Andernfalls gibt Snowflake bei Aktivierung der Richtlinie einen Fehler zurück. Außerdem darf Ihre aktuelle IP-Adresse nicht in der Liste der blockierten IP-Adressen enthalten sein.
Sie können Ihrem Konto eine Netzwerkrichtlinie zuordnen, indem Sie entweder Snowsight, die klassische Weboberfläche oder SQLverwenden:
- Snowsight
Klicken Sie auf Admin » Security » Network Policies.
Klicken Sie rechts neben dem Namen der Richtlinie, die aktiviert werden soll, auf die Schaltfläche Activate Policy.
- Classic Console
- SQL
Führen Sie eine ALTER ACCOUNT-Anweisung aus, die die Netzwerkrichtlinie mithilfe des Kontoparameters NETWORK_POLICY festlegt.
Aktivieren von Netzwerkrichtlinien für einzelne Benutzer¶
Um eine Netzwerkrichtlinie für einen bestimmten Benutzer in Ihrem Snowflake-Konto durchzusetzen, aktivieren Sie die Netzwerkrichtlinie für den Benutzer. Für jeden Benutzer kann jeweils nur eine einzige Netzwerkrichtlinie aktiviert werden. Für eine präzisere Benutzersteuerung können jedoch verschiedene Netzwerkrichtlinien für verschiedene Benutzer aktiviert werden. Wenn Sie einem Benutzer eine Netzwerkrichtlinie zuordnen, wird die aktuell zugeordnete Netzwerkrichtlinie (falls vorhanden) automatisch entfernt.
Bemerkung
Nur die Rolle mit OWNERSHIP-Berechtigung für Benutzer- und Netzwerkrichtlinie oder eine höhere Rolle kann eine Netzwerkrichtlinie für einen einzelnen Benutzer aktivieren.
Sobald die Richtlinie dem Benutzer zugeordnet ist, beschränkt Snowflake den Zugriff des Benutzers auf Basis der Liste zulässiger IP-Adressen und der Liste blockierter IP-Adressen. Wenn der Benutzer mit einer aktivierten Netzwerkrichtlinie auf Benutzerebene versucht, sich von einer durch die Regeln eingeschränkten IP-Adresse aus anzumelden, wird dem Benutzer der Zugriff auf Snowflake verweigert.
Wenn dem Benutzer eine Netzwerkrichtlinie auf Benutzerebene zugeordnet ist und der Benutzer bereits bei Snowflake angemeldet ist, aber die IP-Adresse des Benutzers nicht den Netzwerkrichtlinienregeln auf Benutzerebene entspricht, verhindert Snowflake die Ausführung weiterer Abfragen durch den Benutzer.
Um eine Netzwerkrichtlinie für einen einzelnen Benutzer zu aktivieren, legen Sie mit ALTER USER den Parameter NETWORK_POLICY für den Benutzer fest.
Ändern von Netzwerkrichtlinien¶
Netzwerkrichtlinien können über Snowsight, die klassische Weboberfläche oder mit SQL geändert werden, insbesondere um der Liste der zulässigen und blockierten IP-Adressen weitere Adressen hinzuzufügen oder Adressen daraus zu entfernen.
Beschreibungen zu den Eigenschaften von Netzwerkrichtlinien finden Sie unter Erstellen von Netzwerkrichtlinien (unter diesem Thema).
- Snowsight
Klicken Sie auf Admin » Security » Network Policies.
Klicken Sie in der Zeile einer Netzwerkrichtlinie unter Edit Policy auf die Aktionsschaltfläche (…). Das Dialogfenster Edit Policy wird geöffnet.
Bearbeiten Sie die gewünschten Eigenschaften.
Klicken Sie auf die Schaltfläche Save changes.
- Classic Console
Klicken Sie auf eine Richtlinie, um sie auszuwählen, und füllen Sie den Bereich auf der rechten Seite aus.
Klicken Sie im rechten Fensterbereich auf die Schaltfläche Edit.
Ändern Sie die Felder nach Bedarf:
Um eine IP-Adresse aus der Liste der Allowed IP Addresses oder der Blocked IP Addresses zu entfernen, klicken Sie neben dem Eintrag auf das x.
Um eine IP-Adresse zu einer der beiden Listen hinzuzufügen, geben Sie eine oder mehrere durch Kommas getrennte IPv4-Adressen in das entsprechende Feld ein, und klicken Sie auf die Schaltfläche Add.
Klicken Sie auf Save.
- SQL
Führen Sie eine ALTER NETWORK POLICY-Anweisung aus.
Identifizieren einer Netzwerkrichtlinie, die auf Konto- oder Benutzerebene aktiviert wurde¶
Um festzustellen, ob eine Netzwerkrichtlinie für Ihr Konto oder für einen bestimmten Benutzer festgelegt ist, führen Sie den Befehl SHOW PARAMETERS aus.
- Konto
SHOW PARAMETERS LIKE 'network_policy' IN ACCOUNT;
- Benutzer
SHOW PARAMETERS LIKE 'network_policy' IN USER <username>;
Beispiel:
SHOW PARAMETERS LIKE 'network_policy' IN USER jsmith;
Verwenden der Replikation für Netzwerkrichtlinien¶
Snowflake unterstützt Replikation und Failover/Failback für Netzwerkrichtlinien und deren Zuweisungen von einem Quellkonto in ein Zielkonto.
Weitere Informationen dazu finden Sie unter Replikation von Sicherheitsintegrationen und Netzwerkrichtlinien über mehrere Konten hinweg.