Catégories :

Utilisateur et sécurité DDL (Politiques réseau)

CREATE NETWORK POLICY

Crée une politique réseau.

Note

Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur ou un rôle avec le privilège CREATE NETWORK POLICY peuvent créer des stratégies réseau.

Voir aussi :

ALTER NETWORK POLICY, DESCRIBE NETWORK POLICY, DROP NETWORK POLICY, SHOW NETWORK POLICIES

ALTER ACCOUNT

Syntaxe

CREATE [ OR REPLACE ] NETWORK POLICY <name>
   ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] )
   [ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' , ... ] ) ]
   [ COMMENT = '<string_literal>' ]

Paramètres requis

nom

Identificateur de la politique réseau ; doit être unique pour votre compte.

La valeur de l’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (par exemple "My object"). Les identificateurs entre guillemets doubles sont également sensibles à la casse.

Pour plus de détails, voir Exigences relatives à l’identificateur.

ALLOWED_IP_LIST = ('adresse_ip' [ , 'adresse_ip' , ... ] )

Indique une ou plusieurs adresses IPv4 autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

Paramètres facultatifs

BLOCKED_IP_LIST = ('adresse_ip' [ , 'adresse_ip' , ... ] )

Indique une ou plusieurs adresses IPv4 qui ne sont pas autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée.

Définissez ce paramètre uniquement lorsque vous autorisez l’accès à une plage d’adresses IP (spécifiées dans ALLOWED_IP_LIST), mais que vous souhaitez refuser l’accès à une ou plusieurs adresses IP de la plage.

Par défaut : aucune valeur (c’est-à-dire qu’aucune adresse IP dans ALLOWED_IP_LIST n’est bloquée)

COMMENT = 'litéral_chaine'

Spécifie un commentaire pour la politique réseau.

Par défaut : aucune valeur

Notes sur l’utilisation

  • Chaque adresse_ip peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing) :

    adresse_ip[/longueur_préfixe_facultative]

    Par exemple :

    192.168.1.0/24

  • Lorsqu’une politique réseau inclut des valeurs aussi bien pour le paramètre ALLOWED_IP_LIST que pour le paramètre BLOCKED_IP_LIST, Snowflake applique d’abord la liste bloquée.

  • N’ajoutez pas 0.0.0.0/0 à BLOCKED_IP_LIST. Étant donné que Snowflake applique la liste bloquée en premier, cela bloquerait votre propre accès. De plus, pour bloquer toutes les adresses IP à l’exception d’une certaine liste, vous n’avez qu’à ajouter des adresses IP à la liste ALLOWED_IP_LIST. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

  • Le nombre maximum de caractères pour la liste ALLOWED_IP_LIST est 100 000. Snowflake renvoie un message d’erreur lorsque cette limite de caractères est dépassée.

  • Après avoir créé une politique réseau, vous devez l’associer à votre compte avant que Snowflake ne l’applique. Vous pouvez associer une stratégie à votre compte via la commande ALTER ACCOUNT, qui doit être exécutée par un utilisateur avec le rôle SECURITYADMIN (ou supérieur).

    Par exemple :

    USE ROLE SECURITYADMIN;

ALTER ACCOUNT SET NETWORK_POLICY = <policy_name>;

    Pour plus de détails, voir Gestion des paramètres. Notez que NETWORK_POLICY est actuellement le seul paramètre de compte qui peut être défini par les utilisateurs avec le rôle SECURITYADMIN.

  • Avant d’associer une stratégie réseau à votre compte, votre adresse IP actuelle doit être incluse dans ALLOWED_IP_LIST ; sinon, la commande ALTER ACCOUNT renvoie une erreur. De plus, votre adresse IP actuelle ne peut pas être incluse dans le fichier BLOCKED_IP_LIST.

Exemples

Créer une politique réseau nommée mypolicy1 avec les propriétés suivantes :

  • Autoriser toutes les adresses IP comprises entre 192.168.1.0 et 192.168.1.255. (à l’aide de la notation CIDR 192.168.1.0/24), sauf 192.168.1.99, qui est explicitement bloquée.

  • Refusez toutes les autres adresses IP.

CREATE NETWORK POLICY mypolicy1 ALLOWED_IP_LIST=('192.168.1.0/24')
                                BLOCKED_IP_LIST=('192.168.1.99');

DESC NETWORK POLICY mypolicy1;

+-----------------+----------------+
| name            | value          |
|-----------------+----------------|
| ALLOWED_IP_LIST | 192.168.1.0/24 |
| BLOCKED_IP_LIST | 192.168.1.99   |
+-----------------+----------------+

Créer une stratégie réseau nommée mypolicy2 qui permet seulement aux adresses IP 192.168.1.0 et 192.168.1.100 d’accéder à votre compte :

CREATE NETWORK POLICY mypolicy2 ALLOWED_IP_LIST=('192.168.1.0','192.168.1.100');

DESC NETWORK POLICY mypolicy2;

+-----------------+---------------------------+
| name            | value                     |
|-----------------+---------------------------|
| ALLOWED_IP_LIST | 192.168.1.0,192.168.1.100 |
+-----------------+---------------------------+