- Catégories :
Utilisateur et sécurité DDL (Politiques réseau)
CREATE NETWORK POLICY¶
Crée une politique réseau.
Note
Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur ou un rôle avec le privilège CREATE NETWORK POLICY peuvent créer des stratégies réseau.
- Voir aussi :
ALTER NETWORK POLICY , DROP NETWORK POLICY , SHOW NETWORK POLICIES , DESCRIBE NETWORK POLICY
Syntaxe¶
CREATE [ OR REPLACE ] NETWORK POLICY <name>
ALLOWED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' , ... ] )
[ BLOCKED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' , ... ] ) ]
[ COMMENT = '<string_literal>' ]
Paramètres requis¶
nomIdentificateur de la politique réseau ; doit être unique pour votre compte.
La valeur de l’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (par exemple
"My object"). Les identificateurs entre guillemets doubles sont également sensibles à la casse.Pour plus de détails, voir Exigences relatives à l’identificateur.
ALLOWED_IP_LIST = ( [ adresse_ip ] [ , 'adresse_ip' , ... ] )Spécifie une liste d” adresses IPv4 qui sont autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.
Notez que si le paramètre est spécifié avec une liste vide, la politique réseau n’autorise aucune adresse IPv4 à accéder à Snowflake.
Paramètres facultatifs¶
BLOCKED_IP_LIST = ( [ adresse_ip ] [ , 'adresse_ip' , ... ] )Spécifie une liste d’adresses IPv4 qui se voient refuser l’accès à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée.
Définissez ce paramètre uniquement lorsque vous autorisez l’accès à une plage d’adresses IP (spécifiées dans
ALLOWED_IP_LIST), mais que vous souhaitez refuser l’accès à une ou plusieurs adresses IP de la plage.Par défaut : aucune valeur (c’est-à-dire qu’aucune adresse IP dans
ALLOWED_IP_LISTn’est bloquée)
COMMENT = 'litéral_chaine'Spécifie un commentaire pour la politique réseau.
Par défaut : aucune valeur
Exigences en matière de contrôle d’accès¶
Un rôle utilisé pour exécuter cette commande SQL doit avoir les privilèges suivants définis au minimum ainsi :
Privilège |
Objet |
Remarques |
|---|---|---|
CREATE NETWORK POLICY |
Compte |
Only the SECURITYADMIN role, or a higher role, has this privilege by default. The privilege can be granted to additional roles as needed. |
Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.
Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Contrôle d’accès dans Snowflake.
Notes sur l’utilisation¶
Chaque
adresse_ippeut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing) :adresse_ip[/longueur_préfixe_facultative]Par exemple :
192.168.1.0/24Lorsqu’une politique réseau inclut des valeurs aussi bien pour le paramètre
ALLOWED_IP_LISTque pour le paramètreBLOCKED_IP_LIST, Snowflake applique d’abord la liste bloquée.N’ajoutez pas
0.0.0.0/0àBLOCKED_IP_LIST. Étant donné que Snowflake applique la liste bloquée en premier, cela bloquerait votre propre accès. De plus, pour bloquer toutes les adresses IP à l’exception d’une certaine liste, vous n’avez qu’à ajouter des adresses IP à la listeALLOWED_IP_LIST. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.Le nombre maximum de caractères pour la liste
ALLOWED_IP_LISTest 100 000. Snowflake renvoie un message d’erreur lorsque cette limite de caractères est dépassée.Après avoir créé une politique réseau, vous devez l’associer à votre compte avant que Snowflake ne l’applique. Vous pouvez associer une stratégie à votre compte via la commande ALTER ACCOUNT, qui doit être exécutée par un utilisateur avec le rôle SECURITYADMIN (ou supérieur).
Par exemple :
USE ROLE SECURITYADMIN; ALTER ACCOUNT SET NETWORK_POLICY = <policy_name>;
Pour plus de détails, voir Gestion des paramètres. Notez que NETWORK_POLICY est actuellement le seul paramètre de compte qui peut être défini par les utilisateurs avec le rôle SECURITYADMIN.
Avant d’associer une stratégie réseau à votre compte, votre adresse IP actuelle doit être incluse dans
ALLOWED_IP_LIST; sinon, la commande ALTER ACCOUNT renvoie une erreur. De plus, votre adresse IP actuelle ne peut pas être incluse dans le fichierBLOCKED_IP_LIST.Concernant les métadonnées :
Attention
Les clients doivent s’assurer qu’aucune donnée personnelle (autre que pour un objet utilisateur), donnée sensible, donnée à exportation contrôlée ou autre donnée réglementée n’est saisie comme métadonnée lors de l’utilisation du service Snowflake. Pour plus d’informations, voir Champs de métadonnées dans Snowflake.
Exemples¶
Créer une politique réseau nommée mypolicy1 avec les propriétés suivantes :
Autoriser toutes les adresses IP comprises entre
192.168.1.0et192.168.1.255. (à l’aide de la notation CIDR192.168.1.0/24), sauf192.168.1.99, qui est explicitement bloquée.Refusez toutes les autres adresses IP.
CREATE NETWORK POLICY mypolicy1 ALLOWED_IP_LIST=('192.168.1.0/24') BLOCKED_IP_LIST=('192.168.1.99'); DESC NETWORK POLICY mypolicy1; +-----------------+----------------+ | name | value | |-----------------+----------------| | ALLOWED_IP_LIST | 192.168.1.0/24 | | BLOCKED_IP_LIST | 192.168.1.99 | +-----------------+----------------+
Créer une stratégie réseau nommée mypolicy2 qui permet seulement aux adresses IP 192.168.1.0 et 192.168.1.100 d’accéder à votre compte :
CREATE NETWORK POLICY mypolicy2 ALLOWED_IP_LIST=('192.168.1.0','192.168.1.100'); DESC NETWORK POLICY mypolicy2; +-----------------+---------------------------+ | name | value | |-----------------+---------------------------| | ALLOWED_IP_LIST | 192.168.1.0,192.168.1.100 | +-----------------+---------------------------+