- Catégories :
Utilisateur et sécurité DDL (Politiques réseau)
CREATE NETWORK POLICY¶
Crée une stratégie réseau.
Note
Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur peuvent créer des stratégies réseau.
- Voir aussi :
ALTER NETWORK POLICY , DESCRIBE NETWORK POLICY , DROP NETWORK POLICY , SHOW NETWORK POLICIES
Syntaxe¶
CREATE [ OR REPLACE ] NETWORK POLICY <name>
ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] )
[ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] ) ]
[ COMMENT = '<string_literal>' ]
Paramètres requis¶
nom
Identificateur de la stratégie réseau ; doit être unique pour votre compte.
La valeur de l’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (par exemple
"My object"
). Les identificateurs entre guillemets doubles sont également sensibles à la casse.Pour plus de détails, voir Exigences relatives à l’identificateur.
ALLOWED_IP_LIST = ('adresse_ip' [ , 'adresse_ip' , ... ] )
Indique une ou plusieurs adresses IPv4 autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.
Paramètres facultatifs¶
BLOCKED_IP_LIST = ('adresse_ip' [ , 'adresse_ip' , ... ] )
Indique une ou plusieurs adresses IPv4 qui ne sont pas autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée.
Définissez ce paramètre uniquement lorsque vous autorisez l’accès à une plage d’adresses IP (spécifiées dans
ALLOWED_IP_LIST
), mais que vous souhaitez refuser l’accès à une ou plusieurs adresses IP de la plage.Par défaut : Aucune valeur (c’est-à-dire qu’aucune adresse IP dans
ALLOWED_IP_LIST
n’est bloquée)
COMMENT = 'litéral_chaine'
Spécifie un commentaire pour la stratégie réseau.
Par défaut : Aucune valeur
Notes sur l’utilisation¶
Chaque
adresse_ip
peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing) :adresse_ip[/longueur_préfixe_facultative]
Par exemple :
192.168.1.0/24
Lorsqu’une politique réseau inclut des valeurs aussi bien pour le paramètre
ALLOWED_IP_LIST
que pour le paramètreBLOCKED_IP_LIST
, Snowflake applique d’abord la liste bloquée.N’ajoutez pas
0.0.0.0/0
àBLOCKED_IP_LIST
. Étant donné que Snowflake applique la liste bloquée en premier, cela bloquerait votre propre accès. De plus, pour bloquer toutes les adresses IP à l’exception d’une certaine liste, vous n’avez qu’à ajouter des adresses IP à la listeALLOWED_IP_LIST
. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.Après avoir créé une stratégie réseau, vous devez l’associer à votre compte avant que Snowflake ne l’applique. Vous pouvez associer une stratégie à votre compte via la commande ALTER ACCOUNT, qui doit être exécutée par un utilisateur avec le rôle SECURITYADMIN (ou supérieur).
Par exemple :
USE ROLE SECURITYADMIN; ALTER ACCOUNT SET NETWORK_POLICY = <policy_name>;
Pour plus de détails, voir Gestion des paramètres. Notez que NETWORK_POLICY est actuellement le seul paramètre de compte qui peut être défini par les utilisateurs avec le rôle SECURITYADMIN.
Avant d’associer une stratégie réseau à votre compte, votre adresse IP actuelle doit être incluse dans
ALLOWED_IP_LIST
; sinon, la commande ALTER ACCOUNT renvoie une erreur. De plus, votre adresse IP actuelle ne peut pas être incluse dans le fichierBLOCKED_IP_LIST
.
Exemples¶
Créer une stratégie réseau nommée mypolicy1
avec les propriétés suivantes :
Autoriser toutes les adresses IP comprises entre
192.168.1.0
et192.168.1.255
. (à l’aide de la notation CIDR192.168.1.0/24
), sauf192.168.1.99
, qui est explicitement bloquée.Refusez toutes les autres adresses IP.
CREATE NETWORK POLICY mypolicy1 ALLOWED_IP_LIST=('192.168.1.0/24') BLOCKED_IP_LIST=('192.168.1.99'); DESC NETWORK POLICY mypolicy1; +-----------------+----------------+ | name | value | |-----------------+----------------| | ALLOWED_IP_LIST | 192.168.1.0/24 | | BLOCKED_IP_LIST | 192.168.1.99 | +-----------------+----------------+
Créer une stratégie réseau nommée mypolicy2
qui permet seulement aux adresses IP 192.168.1.0
et 192.168.1.100
d’accéder à votre compte :
CREATE NETWORK POLICY mypolicy2 ALLOWED_IP_LIST=('192.168.1.0','192.168.1.100'); DESC NETWORK POLICY mypolicy2; +-----------------+---------------------------+ | name | value | |-----------------+---------------------------| | ALLOWED_IP_LIST | 192.168.1.0,192.168.1.100 | +-----------------+---------------------------+