Politiques réseau

Les politiques réseau fournissent des options pour gérer les configurations réseau du service Snowflake.

Les politiques réseau permettent de restreindre l’accès à votre compte en fonction de l’adresse IP de l’utilisateur. Une politique réseau permet de créer une liste autorisée d’adresses IP ainsi qu’une liste bloquée d’adresses IP si nécessaire.

Dans ce chapitre :

Vue d’ensemble

Par défaut, Snowflake permet aux utilisateurs de se connecter au service à partir de n’importe quelle adresse IP d’ordinateur ou d’appareil. Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer une politique réseau pour autoriser ou refuser l’accès à une seule adresse IP ou à une liste d’adresses. Les politiques réseau ne prennent actuellement en charge que les adresses Internet Protocol version 4 (c’est-à-dire IPv4).

Un administrateur disposant des autorisations suffisantes peut créer un nombre illimité de politiques réseau. Une politique réseau n’est pas active tant qu’elle n’est pas activée au niveau du compte ou de l’utilisateur individuel. Pour activer une politique réseau, modifiez les propriétés du compte ou de l’utilisateur et affectez la politique réseau à l’objet. Une seule politique réseau peut être affectée au compte ou à un utilisateur spécifique à la fois.

Notation CIDR

Snowflake prend en charge la spécification de plages d’adresses IP en utilisant la notation Classless Inter-Domain Routing (i.e. CIDR). Dans la notation CIDR, le sous-réseau optionnel est exprimé par un nombre décimal qui représente la longueur du préfixe :

adresse_ip[/longueur_préfixe]

Par exemple, 192.168.1.0/24 représente toutes les adresses IP dans la plage de 192.168.1.0 à 192.168.1.255.

Exemples de listes d’adresses autorisées/bloquées

Snowflake ne permet pas de définir une politique réseau qui bloque votre adresse IP actuelle. Un message d’erreur apparaît lorsque l’on tente de créer une politique réseau qui bloque l’adresse IP actuelle.

Voici des exemples représentatifs pour définir les plages d’adresses IP autorisées et bloquées en utilisant une politique réseau Snowflake.

Autoriser toutes les adresses IP comprises entre 192.168.1.0 et 192.168.1.255, sauf 192.168.1.99, qui est explicitement bloquée. De plus, toutes les autres adresses IP sont bloquées :

- Allowed IP Addresses: 192.168.1.0/24
- Blocked IP Addresses: 192.168.1.99

Autoriser seulement les adresses IP 192.168.1.0 et 192.168.1.100 à accéder à votre compte :

- Allowed IP Addresses: 192.168.1.0,192.168.1.100
- Blocked IP Addresses: N/A

En supposant que l’adresse IP actuelle est 192.168.1.0, bloquez toutes les autres adresses IP.

- Allowed IP addresses: 192.168.1.0
- Blocked IP addresses: 192.168.1.0/0

Important

Si la notation CIDR dans l’adresse IP autorisée ou bloquée utilise /0 comme longueur_préfixe, alors Snowflake évalue cette notation CIDR comme 0.0.0.0.

Les adresses IP avec le /0 prefix_length sont valides, mais il faut faire preuve de prudence avec cette notation. Selon la politique réseau, l’utilisation du préfixe 0 pourrait entraîner l’autorisation de toutes les adresses IP ou le blocage de toutes les adresses sauf l’adresse IP actuelle.

Contourner une politique réseau

Il est possible de contourner temporairement une politique réseau pendant un nombre défini de minutes en configurant la propriété d’objet utilisateur MINS_TO_BYPASS_NETWORK_POLICY, qui peut être affichée en exécutant DESCRIBE USER. Seul Snowflake peut définir la valeur de cette propriété d’objet. Veuillez contacter le support Snowflake pour définir une valeur pour cette propriété.

Création de politiques réseau

Note

Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur ou un rôle avec le privilège CREATE NETWORK POLICY peuvent créer des stratégies réseau. La propriété d’une politique réseau peut être transférée à un autre rôle.

Vous pouvez créer une politique réseau en utilisant Snowsight, l”classic web interface, ou SQL :

Snowsight
  1. Cliquez sur Admin » Security » Network Policies.

  2. Cliquez sur le bouton + Network Policy dans le coin supérieur droit de la page. La boîte de dialogue New network policy s’ouvre.

  3. Spécifiez les propriétés suivantes :

    Propriété

    Description

    Nom de la politique

    Identificateur de la politique réseau ; doit être unique pour votre compte.

    L’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (p. ex. "My object").

    Les identificateurs entre guillemets doubles sont également sensibles à la casse.

    Pour plus de détails, voir Exigences relatives à l’identificateur.

    Adresses IP autorisées

    Liste d’une ou plusieurs adresses IPv4 séparées par des virgules et autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

    Chaque adresse IP peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing).

    Pour plus d’informations, voir Notation CIDR (dans cette rubrique).

    Pour des exemples, voir Exemples de listes d’adresses autorisées / bloquées (dans cette rubrique).

    Adresses IP bloquées

    Liste d’une ou plusieurs adresses IPv4 séparées par des virgules et interdites d’accéder à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée.

    Définissez ce paramètre uniquement lorsque vous autorisez l’accès à une plage d’adresses IP spécifiées dans la liste Allowed IP Addresses et que vous souhaitez refuser l’accès à une ou plusieurs adresses IP de la plage.

    Chaque adresse IP peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing).

    Pour plus d’informations, voir Notation CIDR (dans cette rubrique).

    Pour des exemples, voir Exemples de listes d’adresses autorisées / bloquées (dans cette rubrique).

    Commentaire

    Spécifie un commentaire pour la politique réseau.

  4. Cliquez sur le bouton Create network policy.

Classic Web Interface
  1. Cliquez sur Account Account tab » Policies. La page Policies apparaît.

  2. Cliquez sur le bouton Create. La boîte de dialogue Create Network Policy apparaît.

  3. Dans le champ Name, saisissez un nom pour la politique réseau.

  4. Dans le champ Allowed IP Addresses, saisissez une ou plusieurs adresses IPv4 séparées par des virgules qui sont autorisées à accéder à ce compte Snowflake.

    Note

    Pour bloquer toutes les adresses IP, à l’exception d’un ensemble d’adresses spécifiques, il suffit de définir une liste d’adresses IP autorisées. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

  5. Dans le champ Blocked IP Addresses, saisissez éventuellement une ou plusieurs adresses IPv4 auxquelles l’accès à ce compte Snowflake est refusé, séparées par des virgules. Notez que ce champ n’est pas obligatoire et est utilisé principalement pour refuser des adresses spécifiques dans une plage d’adresses de la liste autorisée.

    Prudence

    • Lorsqu’une politique réseau inclut des valeurs dans les listes d’adresses IP autorisées et bloquées, Snowflake applique d’abord la liste d’adresses :emph:`` IP bloquées.

    • N’ajoutez pas 0.0.0.0/0 à la liste d’adresses IP bloquées. 0.0.0.0/0 est interprété comme étant « toutes les adresses IPv4 sur la machine locale ». Étant donné que Snowflake résout cette liste en premier, cela bloquerait votre propre accès. Notez également qu’il n’est pas nécessaire d’inclure cette adresse IP dans liste d’adresses IP autorisées.

  6. Saisissez d’autres informations pour la politique réseau, si nécessaire, et cliquez sur Finish.

SQL

Exécuter une instruction CREATE NETWORK POLICY.

Affichage des politiques réseau

Visualisez les informations relatives aux politiques réseau par le biais de Snowsight, l”classic web interface, ou en utilisant SQL :

Note

Seul le rôle ayant le privilège OWNERSHIP sur la politique réseau (ou un rôle supérieur) peut voir les détails de la politique réseau.

Snowsight

Select Admin » Security » Network Policies » <nom_politique>.

Classic Web Interface

Cliquez sur Account Account tab » Policies » <nom_politique>.

SQL

Exécutez l’une des instructions suivantes :

Activation d’une politique réseau pour votre compte

Pour appliquer une politique réseau à tous les utilisateurs de votre compte Snowflake, activez la politique réseau pour votre compte.

Note

Si une politique réseau est activée pour un utilisateur individuel, la politique réseau au niveau de l’utilisateur est prioritaire. Pour plus d’informations sur l’activation des politiques réseau au niveau de l’utilisateur, voir Activation des politiques réseau pour des utilisateurs individuels (dans cette rubrique).

Note

Cette action est limitée à l’un ou l’autre des rôles suivants :

  • Les administrateurs de sécurité (c’est-à-dire les utilisateurs avec le rôle SECURITYADMIN) ou un rôle supérieur.

  • Un rôle qui a reçu le privilège global ATTACH POLICY.

Une fois que la politique est associée à votre compte, Snowflake restreint l’accès à votre compte en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Tout utilisateur qui tente de se connecter à partir d’une adresse IP restreinte par les règles se voit refuser l’accès. De plus, lorsqu’une politique réseau est associée à votre compte, les utilisateurs restreints qui sont déjà connectés à Snowflake ne peuvent pas exécuter de requêtes supplémentaires.

Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer plusieurs politiques réseau. Toutefois, une seule politique réseau peut être associée à un compte à un moment donné. L’association d’une politique réseau à votre compte supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Notez que votre adresse IP actuelle doit être incluse dans la liste des adresses IP autorisées dans la politique. Sinon, lorsque vous activez la politique, Snowflake renvoie une erreur. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste des adresses IP bloquées.

Vous pouvez associer une politique réseau à votre compte en utilisant Snowsight, l”classic web interface, ou SQL :

Snowsight
  1. Cliquez sur Admin » Security » Network Policies.

  2. Cliquez sur le bouton Activate Policy à droite du nom de la politique que vous activez.

Classic Web Interface
  1. Cliquez sur Account Account tab » Policies.

  2. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite.

  3. Cliquez sur le bouton Activate dans le panneau de droite.

SQL

Exécutez une instruction ALTER ACCOUNT activant la politique réseau à l’aide du paramètre de compte NETWORK_POLICY.

Activation de politiques réseau pour des utilisateurs individuels

Pour appliquer une politique réseau à un utilisateur spécifique de votre compte Snowflake, activez la politique réseau pour cet utilisateur. Une seule politique réseau peut être activée pour chaque utilisateur à la fois ; cependant, différentes politiques réseau peuvent être activées pour différents utilisateurs pour un contrôle granulaire. L’association d’une politique réseau à un utilisateur supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Note

Seul le rôle ayant le privilège OWNERSHIP sur l’utilisateur et sur la politique réseau (ou un rôle supérieur) peut activer une politique réseau pour un utilisateur individuel.

Une fois que la politique est associée à l’utilisateur, Snowflake restreint l’accès à l’utilisateur en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Si l’utilisateur avec une politique réseau au niveau utilisateur activée tente de se connecter à partir d’une adresse IP limitée par des règles, l’utilisateur se voit refuser l’accès à Snowflake.

De plus, lorsqu’une politique réseau au niveau utilisateur est associée à l’utilisateur et que l’utilisateur est déjà connecté à Snowflake, si l’adresse IP de l’utilisateur ne correspond pas aux règles de la politique réseau au niveau utilisateur, Snowflake empêche l’utilisateur d’exécuter d’autres requêtes.

Pour activer une politique réseau pour un seul utilisateur, définissez le paramètre NETWORK_POLICY pour l’utilisateur à l’aide de ALTER USER.

Modification des politiques réseau

Les politiques réseau peuvent être modifiées via Snowsight, l”classic web interface, ou en utilisant SQL, spécifiquement pour ajouter ou supprimer des adresses IP de la liste des adresses autorisées et bloquées.

Pour obtenir une description des propriétés des politiques réseau, voir Création de politiques réseau (dans ce chapitre).

Snowsight
  1. Cliquez sur Admin » Security » Network Policies.

  2. Cliquez sur le bouton d’actions () dans la ligne correspondant à un politique réseau » Edit Policy. La boîte de dialogue Edit Policy s’ouvre.

  3. Modifiez l’une des propriétés.

  4. Cliquez sur le bouton Save changes.

Classic Web Interface
  1. Cliquez sur Account Account tab » Policies.

  2. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite.

  3. Cliquez sur le bouton Edit dans le panneau de droite.

  4. Modifiez les champs si nécessaire :

    • Pour supprimer une adresse IP de la liste Allowed IP Addresses ou Blocked IP Addresses, cliquez sur x à côté de l’entrée.

    • Pour ajouter une adresse IP à l’une ou l’autre liste, saisissez une ou plusieurs adresses IPv4 séparées par des virgules dans le champ approprié, puis cliquez sur le bouton Add.

  5. Cliquez sur Save.

SQL

Exécutez une instruction ALTER NETWORK POLICY.

Identification d’une politique réseau activée au niveau du compte ou de l’utilisateur

Pour déterminer si une politique réseau est définie sur votre compte ou pour un utilisateur spécifique, exécutez la commande SHOW PARAMETERS.

Compte
SHOW PARAMETERS LIKE 'network_policy' IN ACCOUNT;
Utilisateur
SHOW PARAMETERS LIKE 'network_policy' IN USER <username>;

Par exemple :

SHOW PARAMETERS LIKE 'network_policy' IN USER jsmith;