Netzwerkrichtlinien

Netzwerkrichtlinien bieten Optionen für die Verwaltung von Netzwerkkonfigurationen für den Snowflake-Service.

Derzeit erlauben Netzwerkrichtlinien die Beschränkung des Zugriffs auf Ihr Konto basierend auf der IP-Adresse des Benutzers. Eine Netzwerkrichtlinie ermöglich die Erstellung einer IP-Whitelist und bei Bedarf auch einer IP-Blacklist.

Die gesamte Verwaltung der Netzwerkrichtlinien kann entweder über die Weboberfläche oder über SQL erfolgen.

Die Verwaltung von Netzwerkrichtlinien auf Benutzerebene kann mit SQL erfolgen.

Wenn ein Benutzer sowohl einer Netzwerkrichtlinie auf Kontoebene als auch auf Benutzerebene zugeordnet ist, hat die Richtlinie auf Benutzerebene Vorrang.

Bemerkung

Nur Kontoadministratoren und Sicherheitsadministratoren (d. h. Benutzer mit der Rolle ACCOUNTADMIN oder SECURITYADMIN) können Netzwerkrichtlinien erstellen, ändern oder löschen.

Unter diesem Thema:

Übersicht

Standardmäßig erlaubt Snowflake Benutzern, sich von jeder Computer- oder Geräte-IP-Adresse aus mit dem Service zu verbinden. Ein Sicherheitsadministrator (oder höher) kann eine Netzwerkrichtlinie erstellen, um den Zugriff auf eine einzelne IP-Adresse oder eine Liste von Adressen zu erlauben oder zu verweigern. Netzwerkrichtlinien unterstützen derzeit nur IPv4 (Internet Protocol Version 4)-Adressen.

Wichtig

Beim Erstellen oder Bearbeiten von Netzwerkrichtlinien über die Weboberfläche ist es nicht erforderlich, Netzwerkrichtlinieneigenschaften in einfache Anführungszeichen zu setzen. Bei Verwendung von SQL müssen die Netzwerkrichtlinieneigenschaften jedoch in einfache Anführungszeichen gesetzt werden.

Weitere Informationen dazu finden Sie unter CREATE NETWORK POLICY, ALTER NETWORK POLICY, ALTER ACCOUNT und ALTER USER.

Eigenschaften von Netzwerkrichtlinien

Eine Netzwerkrichtlinie besteht aus den folgenden Eigenschaften:

Erlaubte IPs

(Erforderlich)

Eine Liste von IPv4-Adressen (mit optionalen Subnetzen), die Zugriffsberechtigung auf das Snowflake-Konto haben.

Gesperrte IPs

(Optional)

Eine Liste von IPv4-Adressen (mit optionalen Subnetzen), denen der Zugriff auf das Snowflake-Konto verweigert wird. Beachten Sie, dass diese Liste nicht erforderlich ist, da alle Adressen, die nicht in der Liste der zulässigen IP-Adressen enthalten sind, automatisch gesperrt werden. Die Liste blockierter IP-Adressen wird in erster Linie verwendet, um bestimmte Adressen innerhalb eines Adressbereichs in der Liste der zulässigen IP-Adressen zu sperren.

Beide Adresslisten werden als kommagetrennte Zeichenfolge der folgenden Form ausgedrückt:

IP-Adresse[/Subnetz] , IP-Adresse[/Subnetz] , ...

Weitere Details zu den Eigenschaften, die für eine Netzwerkrichtlinie angegeben werden können, finden Sie unter CREATE NETWORK POLICY.

CIDR-Notation

Snowflake unterstützt die Angabe von IP-Adressbereichen in CIDR (Classless Inter-Domain Routing)-Notation. In CIDR-Notation wird das optionale Subnetz als Dezimalzahl ausgedrückt, welche die Präfixlänge darstellt:

IP-Adresse[/Präfixlänge]

So stellt beispielsweise 192.168.1.0/24 alle IP-Adressen im Bereich 192.168.1.0 bis 192.168.1.255 dar.

Beispiele für Liste der zulässigen/blockierten Adressen

Im folgenden Beispiel wird die CIDR-Notation verwendet, um alle IP-Adressen im Bereich 192.168.1.0 bis 192.168.1.255 zuzulassen, mit Ausnahme von 192.168.1.99, die explizit gesperrt ist. Zusätzlich werden alle anderen IP-Adressen blockiert:

- Allowed IP Addresses: 192.168.1.0/24
- Blocked IP Addresses: 192.168.1.99

Im folgenden Beispiel werden nur die IP-Adressen 192.168.1.0 und 192.168.1.100 für den Zugriff auf Ihr Konto zugelassen:

- Allowed IP Addresses: 192.168.1.0,192.168.1.100
- Blocked IP Addresses: N/A

Aktivierung der Netzwerkrichtlinie

Um eine Netzwerkrichtlinie auf Kontoebene zu aktivieren, legen Sie mit ALTER ACCOUNT den Parameter NETWORK_POLICY für Ihr Konto fest.

Um eine Netzwerkrichtlinie für einen einzelnen Benutzer zu aktivieren, legen Sie mit ALTER USER den Parameter NETWORK_POLICY für den Benutzer fest.

Umgehen einer Netzwerkrichtlinie

Sie können eine Netzwerkrichtlinie vorübergehend für eine festgelegte Anzahl von Minuten umgehen, indem Sie die Benutzerobjekteigenschaft MINS_TO_BYPASS_NETWORK_POLICY konfigurieren, die durch Ausführen von DESCRIBE USER angezeigt werden kann. Nur Snowflake kann den Wert für diese Objekteigenschaft festlegen. Wenden Sie sich an den Snowflake-Support, um einen Wert für diese Eigenschaft festzulegen.

Verwalten von Netzwerkrichtlinien auf Kontoebene

Netzwerkrichtlinie auf Kontoebene erstellen

Sie können eine Netzwerkrichtlinie entweder über die Weboberfläche oder über SQL erstellen:

Weboberfläche

Klicken Sie auf Account Account tab » Policies.

SQL

Führen Sie eine CREATE NETWORK POLICY-Anweisung aus.

Über die Weboberfläche:

  1. Die Seite Policies wird angezeigt.

    Snowflake Policies page
  2. Klicken Sie auf die Schaltfläche Create. Das Dialogfenster Create Network Policy wird geöffnet.

    Snowflake Create Network Policy dialog
  3. Geben Sie im Feld Name einen Namen für die Netzwerkrichtlinie ein.

  4. Geben Sie im Feld Allowed IP Addresses eine oder mehrere IPv4-Adressen getrennt durch Komma ein, die eine Zugriffsberechtigung auf dieses Snowflake-Konto haben.

    Bemerkung

    Um alle IP-Adressen, außer einen Satz spezifizierter Adressen zu blockieren, müssen Sie nur eine Liste zulässiger IP-Adressen definieren. Snowflake blockiert automatisch alle IP-Adressen, die nicht in der Zulassungsliste enthalten sind.

  5. Geben Sie im Feld Blocked IP Addresses eine oder mehrere durch Kommas getrennte IPv4-Adressen ein, die keine Zugriffsberechtigung auf dieses Snowflake-Konto haben. Beachten Sie, dass dieses Feld nicht erforderlich ist und in erster Linie dazu verwendet wird, bestimmte Adressen eines Adressbereichs in der Liste zulässiger Adressen zu sperren.

    Vorsicht

    • Wenn eine Netzwerkrichtlinie Werte sowohl in der Liste zulässiger als auch blockierter IP-Adressen enthält, wendet Snowflake zuerst die Liste der blockierten IP-Adressen an.

    • Fügen Sie 0.0.0.0/0 nicht zur Liste blockierter IP-Adressen hinzu. 0.0.0.0/0 wird interpretiert als „alle IPv4-Adressen auf dem lokalen Computer“. Da Snowflake diese Liste zuerst auflöst, würde dies Ihren eigenen Zugriff blockieren. Beachten Sie auch, dass es nicht notwendig ist, diese IP-Adresse in die Liste zulässiger IP-Adressen aufzunehmen.

  6. Geben Sie bei Bedarf weitere Informationen zu der Netzwerkrichtlinie ein, und klicken Sie auf Finish. Snowflake zeigt eine Erfolgsmeldung an.

Nachdem Sie eine Netzwerkrichtlinie erstellt haben, müssen Sie diese erst aktivieren, bevor Snowflake die Richtlinie durchsetzt. Weitere Details dazu finden Sie unter Netzwerkrichtlinie auf Kontoebene aktivieren (unter diesem Thema).

Bemerkung

Um eine Netzwerkrichtlinie zu aktivieren, muss Ihre aktuelle IP-Adresse in die Liste Allowed IP Addresses aufgenommen werden. Andernfalls wird beim Klicken auf die Schaltfläche Activate ein Fehler ausgegeben. Außerdem kann Ihre aktuelle IP-Adresse nicht in die Liste Blocked IP Addresses aufgenommen werden.

Netzwerkrichtlinie auf Kontoebene aktivieren

Nachdem Sie eine Netzwerkrichtlinie erstellt haben, müssen Sie diese aktivieren, indem Sie sie Ihrem Konto zuordnen, bevor Snowflake die Richtlinie durchsetzt.

Sobald die Richtlinie mit Ihrem Konto verknüpft ist, beschränkt Snowflake den Zugriff auf Ihr Konto auf Basis der Liste zulässiger IP-Adressen und der Liste blockierter IP-Adressen. Jedem Benutzer, der versucht, sich von einer durch die Regeln eingeschränkten IP-Adresse aus anzumelden, wird der Zugriff verweigert. Wenn Ihrem Konto eine Netzwerkrichtlinie zugeordnet ist, werden außerdem alle eingeschränkten Benutzer, die bereits bei Snowflake angemeldet sind, daran gehindert, weitere Abfragen auszuführen.

Ein Sicherheitsadministrator (oder höher) kann mehrere Netzwerkrichtlinien erstellen, jedoch kann jeweils nur eine Netzwerkrichtlinie einem Konto zugeordnet werden. Wenn Sie Ihrem Konto eine Netzwerkrichtlinie zuordnen, wird die aktuell zugeordnete Netzwerkrichtlinie (falls vorhanden) automatisch entfernt.

Sie können Ihrem Konto eine Netzwerkrichtlinie zuordnen, indem Sie entweder die Weboberfläche oder SQLverwenden:

Weboberfläche

Klicken Sie auf Account Account tab » Policies.

SQL

Führen Sie eine ALTER ACCOUNT-Anweisung aus, die die Netzwerkrichtlinie mithilfe des Kontoparameters NETWORK_POLICY festlegt.

Über die Weboberfläche:

  1. Klicken Sie auf eine Richtlinie, um sie auszuwählen, und füllen Sie das Seitenfenster auf der rechten Seite aus:

    Snowflake Policies page
  2. Klicken Sie im rechten Fensterbereich auf die Schaltfläche Activate. Snowflake zeigt eine Erfolgsmeldung an.

Netzwerkrichtlinie auf Kontoebene ändern

Netzwerkrichtlinien können über die Weboberfläche oder mit SQL geändert werden, insbesondere um der Liste der zulässigen und blockierten Adressen IP-Adressen hinzuzufügen oder sie aus dieser zu entfernen:

Weboberfläche

Klicken Sie auf Account Account tab » Policies.

SQL

Führen Sie eine ALTER NETWORK POLICY-Anweisung aus.

Über die Weboberfläche:

  1. Klicken Sie auf eine Richtlinie, um sie auszuwählen, und füllen Sie das Seitenfenster auf der rechten Seite aus:

    Snowflake Policies page
  2. Klicken Sie im rechten Fensterbereich auf die Schaltfläche Edit:

    Snowflake network policy edit panel
  3. Ändern Sie die Felder nach Bedarf:

    • Um eine IP-Adresse aus der Liste der Allowed IP Addresses oder der Blocked IP Addresses zu entfernen, klicken Sie neben dem Eintrag auf das x.

    • Um eine IP-Adresse zu einer der beiden Listen hinzuzufügen, geben Sie eine oder mehrere durch Kommas getrennte IPv4-Adressen in das entsprechende Feld ein, und klicken Sie auf die Schaltfläche Add.

  4. Klicken Sie auf Save. Snowflake zeigt eine Erfolgsmeldung an.

Netzwerkrichtlinien auf Kontoebene anzeigen

Sie können Informationen zu den Netzwerkrichtlinien Ihres Kontos über die Weboberfläche oder mit SQL anzeigen:

Weboberfläche

Klicken Sie auf Account Account tab » Policies » <Richtlinienname>.

SQL

Führen Sie eine der folgenden Anweisungen aus:

Rollen Netzwerkrichtlinienberechtigungen auf Kontoebenen erteilen

Sie können einer Rolle die folgenden Netzwerkrichtlinienberechtigungen erteilen.

  • Netzwerkrichtlinie erstellen

  • Netzwerkrichtlinie löschen

  • Netzwerkrichtlinie ändern

Nach dem Erteilen der Netzwerkrichtlinienberechtigungen für eine Rolle kann der Rolleneigentümer administrative Aktionen für eine Netzwerkrichtlinie ausführen, z. B. das Einrichten einer neuen Netzwerkrichtlinie für die zukünftige Verwendung und das Veralten einer vorhandenen Netzwerkrichtlinie, die nicht mehr verwendet wird.

Führen Sie die folgende SQL-Anweisung über die Weboberfläche oder in SnowSQL aus, um einer Rolle Netzwerkrichtlinienberechtigungen zu erteilen.

grant create network policy on account to role my_role;

Verwalten von Netzwerkrichtlinien auf Benutzerebene

Netzwerkrichtlinien auf Benutzerebene haben Vorrang vor Netzwerkrichtlinien auf Kontoebene. Die Verwaltung von Netzwerkrichtlinien auf Benutzerebene erfolgt über SQL.

Netzwerkrichtlinie auf Benutzerebene erstellen

Sie können mit SQL eine Netzwerkrichtlinie auf Benutzerebene erstellen, indem Sie eine CREATE NETWORK POLICY-Anweisung ausführen.

Nachdem Sie eine Netzwerkrichtlinie erstellt haben, müssen Sie diese erst aktivieren, bevor Snowflake die Richtlinie durchsetzt. Weitere Details dazu finden Sie unter Netzwerkrichtlinie auf Benutzerebene aktivieren (unter diesem Thema).

Bemerkung

Um eine Netzwerkrichtlinie zu aktivieren, muss Ihre aktuelle IP-Adresse in die Liste Allowed IP Addresses aufgenommen werden. Außerdem kann Ihre aktuelle IP-Adresse nicht in die Liste Blocked IP Addresses aufgenommen werden.

Netzwerkrichtlinie auf Benutzerebene aktivieren

Nachdem Sie eine Netzwerkrichtlinie erstellt haben, müssen Sie diese aktivieren, indem Sie sie dem Benutzer zuordnen, bevor Snowflake die Richtlinie durchsetzt.

Sobald die Richtlinie mit dem Benutzer verknüpft ist, beschränkt Snowflake den Zugriff des Benutzers auf Basis der Liste zulässiger IP-Adressen und der Liste blockierter IP-Adressen. Wenn der Benutzer mit einer aktivierten Netzwerkrichtlinie auf Benutzerebene versucht, sich von einer durch die Regeln eingeschränkten IP-Adresse aus anzumelden, wird dem Benutzer der Zugriff auf Snowflake verweigert.

Wenn dem Benutzer eine Netzwerkrichtlinie auf Benutzerebene zugeordnet ist und der Benutzer bereits bei Snowflake angemeldet ist, aber die IP-Adresse des Benutzers nicht den Netzwerkrichtlinienregeln auf Benutzerebene entspricht, verhindert Snowflake die Ausführung weiterer Abfragen durch den Benutzer.

Ein Sicherheitsadministrator (oder höher) kann mehrere Netzwerkrichtlinien erstellen, jedoch kann einem Benutzer immer nur eine Netzwerkrichtlinie zugeordnet sein. Wenn Sie einem Benutzer eine Netzwerkrichtlinie zuordnen, wird die aktuell zugeordnete Netzwerkrichtlinie (falls vorhanden) automatisch entfernt.

Um eine Netzwerkrichtlinie für einen einzelnen Benutzer zu aktivieren, legen Sie mit ALTER USER den Parameter NETWORK_POLICY für den Benutzer fest.

Netzwerkrichtlinie auf Benutzerebene ändern

Netzwerkrichtlinien können mit SQL geändert werden, indem eine ALTER NETWORK POLICY-Anweisung ausgeführt wird.

Netzwerkrichtlinien auf Benutzerebene anzeigen

Sie können Informationen zu den Netzwerkrichtlinien eines Benutzers mit SQL anzeigen, indem Sie eine der folgenden Anweisungen ausführen:

Benutzern Netzwerkrichtlinienberechtigungen auf Benutzerebene erteilen

Benutzern können keine Netzwerkrichtlinienberechtigungen erteilt werden.