ALTER NETWORK POLICY¶
Modifie les propriétés d’une politique réseau existante. Actuellement, les seules actions prises en charge sont la modification des adresses IP autorisées ou non à accéder au compte, et l’ajout, l’écrasement/la suppression d’un commentaire pour une politique réseau.
Note
Seul le propriétaire de la politique réseau (c’est-à-dire le rôle ayant le privilège OWNERSHIP sur la politique réseau) ou un rôle supérieur peut modifier une politique réseau.
- Voir aussi :
CREATE NETWORK POLICY , DESCRIBE NETWORK POLICY , DROP NETWORK POLICY , SHOW NETWORK POLICIES
Syntaxe¶
ALTER NETWORK POLICY [ IF EXISTS ] <name> SET {
[ ALLOWED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
[ BLOCKED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
[ ALLOWED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
[ BLOCKED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
[ COMMENT = '<string_literal>' ] }
ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT
ALTER NETWORK POLICY <name> ADD { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }
ALTER NETWORK POLICY <name> REMOVE { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }
ALTER NETWORK POLICY <name> RENAME TO <new_name>
ALTER NETWORK POLICY <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]
ALTER NETWORK POLICY <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
Paramètres¶
name
Spécifie l’identifiant de la politique réseau à modifier. Si l’identificateur contient des espaces ou des caractères spéciaux, toute la chaîne doit être délimitée par des guillemets doubles. Les identificateurs entre guillemets doubles sont également sensibles à la casse.
SET ...
Spécifie le paramètre à définir pour la politique réseau :
ALLOWED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )
Spécifie une liste de règles de réseau qui contiennent les identificateurs de réseau autorisés à accéder à Snowflake. Le nombre de règles de réseau dans la liste n’est pas limité.
Remplace les règles de réseau existantes dans la liste autorisée. Pour ajouter des règles de réseau sans remplacer les règles existantes, utilisez la commande
ALTER NETWORK POLICY ... ADD
.BLOCKED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )
Spécifie une liste de règles de réseau contenant les identificateurs de réseau dont l’accès à Snowflake est refusé. Le nombre de règles de réseau dans la liste n’est pas limité.
Remplace les règles de réseau existantes dans la liste des réseaux bloqués. Pour ajouter des règles de réseau sans remplacer les règles existantes, utilisez la commande
ALTER NETWORK POLICY ... ADD
.ALLOWED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )
Spécifie une liste d” adresses IPv4 qui sont autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée.
Snowflake recommande d’utiliser les règles réseau en conjonction avec les politiques réseau plutôt que d’utiliser cette propriété. Utilisez la propriété
ALLOWED_NETWORK_RULE_LIST
pour spécifier les règles réseau qui contiennent des adresses IPv4.Si vous n’utilisez pas encore de règles réseau, spécifiez au moins une adresse IPv4 ou une plage de blocs CIDR pour autoriser l’accès à votre compte Snowflake. De plus, si vous n’utilisez pas de règles réseau et que cette propriété est spécifiée avec une liste vide, aucune adresse IPv4 n’est autorisée à accéder à votre compte Snowflake.
BLOCKED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )
Spécifie une liste d’adresses IPv4 qui se voient refuser l’accès à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée. Pour désactiver ce paramètre, spécifiez une autre plage de blocs CIDR, une série d’adresses IPv4 ou une seule IPv4 adresse.
Snowflake recommande d’utiliser les règles réseau en conjonction avec les politiques réseau plutôt que d’utiliser ce paramètre. Utilisez la propriété
BLOCKED_NETWORK_RULE_LIST
pour spécifier les règles réseau qui contiennent des adresses IPv4.Pour bloquer l’accès public, utilisez une règle réseau et ajoutez-la à la propriété
BLOCKED_NETWORK_RULE_LIST
. Par conséquent, seules les adresses IP qui utilisent une connectivité privée, telles que AWS PrivateLink, peuvent accéder à votre compte Snowflake.Par défaut : aucune valeur ; aucune adresse IP dans la propriété
ALLOWED_IP_LIST
n’est bloquée.COMMENT = 'string_literal'
Ajoute un commentaire ou écrase un commentaire existant pour la politique réseau.
TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]
Spécifie le nom de la balise et la valeur de la chaîne de la balise.
La valeur de la balise est toujours une chaîne de caractères et le nombre maximum de caractères pour la valeur de la balise est 256.
Pour plus d’informations sur la spécification des balises dans une instruction, voir Quotas de balises pour les objets et les colonnes.
UNSET ...
Spécifie les propriétés à désactiver pour la politique réseau, qui les réinitialise aux valeurs par défaut :
COMMENT
, ce qui supprime le commentaire, s’il existe, pour la politique réseau.TAG tag_name [ , tag_name ... ]
ADD { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }
Ajoute une règle de réseau à la liste des règles autorisées ou bloquées de la politique réseau sans supprimer les règles existantes.
REMOVE { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }
Supprime une règle de réseau de la liste des règles autorisées ou bloquées de la politique réseau.
RENAME TO ...
Spécifie un nouveau nom pour la politique réseau existante.
Notes sur l’utilisation¶
Ne modifiez pas une politique réseau pour qu’elle présente des propriétés
ALLOWED_IP_LIST
etBLOCKED_IP_LIST
vides. Utilisez les règles réseau en conjonction avec la politique réseau pour gérer l’accès à votre compte Snowflake.L’action
SET
pour les listes autorisées/bloquées n’est pas cumulable (c’est-à-dire qu’elle supprime toutes les adresses IP dans les listes existantes de la politique réseau et les remplace par les listes spécifiées).Par conséquent, pour faire des ajouts aux listes existantes, vous devez spécifier les nouvelles adresses IP et répliquer les listes existantes.
Chaque
ip_address
peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing) :ip_address[/optional_prefix_length]
Par exemple :
192.168.1.0/24
Lorsqu’une politique réseau inclut des valeurs aussi bien pour le paramètre
ALLOWED_IP_LIST
que pour le paramètreBLOCKED_IP_LIST
, Snowflake applique d’abord la liste bloquée.N’ajoutez pas
0.0.0.0/0
àBLOCKED_IP_LIST
. Étant donné que Snowflake applique la liste bloquée en premier, cela bloquerait votre propre accès. De plus, pour bloquer toutes les adresses IP à l’exception d’une certaine liste, vous n’avez qu’à ajouter des adresses IP à la listeALLOWED_IP_LIST
. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.Concernant les métadonnées :
Attention
Les clients doivent s’assurer qu’aucune donnée personnelle (autre que pour un objet utilisateur), donnée sensible, donnée à exportation contrôlée ou autre donnée réglementée n’est saisie comme métadonnée lors de l’utilisation du service Snowflake. Pour plus d’informations, voir Champs de métadonnées dans Snowflake.
Exemple¶
Par exemple, utilisez ALTER NETWORK POLICY pour modifier une politique réseau nommée allow_access_policy
qui autorise le trafic réseau défini par allow_access_rule
afin de bloquer également le trafic réseau défini par block_access_rule
, conformément aux règles réseau définies dans Plages d’IP. Tout d’abord, affichez la politique actuelle :
DESC NETWORK POLICY allow_access_policy;
+---------------------------+-------------------+
| name | value |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | allow_access_rule |
+---------------------------+-------------------+
Ensuite, modifiez allow_access_policy
pour utiliser également block_access_rule
, puis affichez la politique mise à jour :
ALTER NETWORK POLICY IF EXISTS allow_access_policy SET
BLOCKED_NETWORK_RULE_LIST = 'block_access_rule';
DESC NETWORK POLICY allow_access_policy;
+---------------------------+-------------------+
| name | value |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | ALLOW_ACCESS_RULE |
| BLOCKED_NETWORK_RULE_LIST | BLOCK_ACCESS_RULE |
+---------------------------+-------------------+
Ensuite, renommez la politique mise à jour pour décrire l’utilisation des deux règles :
ALTER NETWORK POLICY allow_access_policy RENAME TO limit_access_policy;
Ajoutez ensuite un commentaire décrivant que limit_access_policy
est défini par les règles réseau :
ALTER NETWORK POLICY limit_access_policy SET COMMENT = 'No_Lists_See_Rules';
SHOW NETWORK POLICIES;
La sortie de SHOW NETWORK POLICIES comprend le nom de la politique mise à jour et le commentaire inclus dans la politique réseau modifiée.
+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+
| created on | name | comment | entries_in_allowed_ip_list | entries_in_blocked_ip_list | entries_in_allowed_network_rules | entries_in_blocked_network_rules |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|... | | | | | | |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
| 2024-12-04 10:33:19.853 -0800 | LIMIT_ACCESS_POLICY | NO_LISTS_SEE_RULES | 0| 0| 1| 1|
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|... | | | | | | |
+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+