Politiques réseau

Les politiques réseau fournissent des options pour gérer les configurations réseau du service Snowflake.

Actuellement, les politiques réseau permettent de restreindre l’accès à votre compte en fonction de l’adresse IP de l’utilisateur. Une politique réseau permet de créer une liste autorisée d’adresses IP ainsi qu’une liste bloquée d’adresses IP si nécessaire.

Toute la gestion des politiques réseau au niveau du compte peut être effectuée via la nouvelle interface Web, l’interface Web classique ou SQL.

Note

La nouvelle interface Web est prise en charge en tant que fonctionnalité disponible en avant-première.

La gestion des politiques réseau au niveau de l’utilisateur peut être formée à l’aide de SQL.

Si un utilisateur est associé à la fois à une politique réseau au niveau du compte et au niveau de l’utilisateur, la politique au niveau de l’utilisateur est prioritaire.

Dans ce chapitre :

Vue d’ensemble

Par défaut, Snowflake permet aux utilisateurs de se connecter au service à partir de n’importe quelle adresse IP d’ordinateur ou d’appareil. Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer une politique réseau pour autoriser ou refuser l’accès à une seule adresse IP ou à une liste d’adresses. Les politiques réseau ne prennent actuellement en charge que les adresses Internet Protocol version 4 (c’est-à-dire IPv4).

Important

Lors de la création ou de la modification de politiques réseau à l’aide de l’interface Web nouvelle ou classique, il n’est pas nécessaire de mettre les propriétés de politiques réseau entre guillemets simples. Cependant, lorsque vous utilisez SQL, les propriétés de politique réseau doivent être placées entre guillemets simples.

Pour plus d’informations, voir CREATE NETWORK POLICY, ALTER NETWORK POLICY, ALTER ACCOUNT et ALTER USER.

Propriétés de la politique réseau

Une politique réseau se compose des propriétés suivantes :

IPs autorisées

(Obligatoire)

Une liste d’adresses IPv4 (avec sous-réseaux optionnels) qui sont autorisées à accéder au compte Snowflake.

Le nombre maximum de caractères pour cette liste est 100 000. Snowflake renvoie un message d’erreur lorsque cette limite de caractères est dépassée.

IPs bloquées

(En option)

Une liste d’adresses IPv4 (avec sous-réseaux optionnels) qui ne sont pas autorisées à accéder au compte Snowflake. Notez que cette liste n’est pas nécessaire, car toutes les adresses qui ne sont pas incluses dans la liste d’adresses IP autorisées sont automatiquement bloquées. La liste d’adresses IP bloquées est utilisée principalement pour refuser des adresses spécifiques dans une plage d’adresses de la liste d’adresses IP autorisées.

Les deux listes d’adresses sont exprimées sous la forme d’une chaîne séparée par des virgules sous la forme suivante :

adresse_ip[/sous-réseau] , adresse_ip[/sous-réseau] , ...

Pour plus de détails sur les propriétés qui peuvent être spécifiées pour une politique réseau, voir CREATE NETWORK POLICY.

Notation CIDR

Snowflake prend en charge la spécification de plages d’adresses IP en utilisant la notation Classless Inter-Domain Routing (i.e. CIDR). Dans la notation CIDR, le sous-réseau optionnel est exprimé par un nombre décimal qui représente la longueur du préfixe :

adresse_ip[/longueur_préfixe]

Par exemple, 192.168.1.0/24 représente toutes les adresses IP dans la plage de 192.168.1.0 à 192.168.1.255.

Exemples de listes d’adresses autorisées/bloquées

Snowflake ne permet pas de définir une politique réseau qui bloque votre adresse IP actuelle. Un message d’erreur apparaît lorsque l’on tente de créer une politique réseau qui bloque l’adresse IP actuelle.

Voici des exemples représentatifs pour définir les plages d’adresses IP autorisées et bloquées en utilisant une politique réseau Snowflake.

Autoriser toutes les adresses IP comprises entre 192.168.1.0 et 192.168.1.255, sauf 192.168.1.99, qui est explicitement bloquée. De plus, toutes les autres adresses IP sont bloquées :

- Allowed IP Addresses: 192.168.1.0/24
- Blocked IP Addresses: 192.168.1.99

Autoriser seulement les adresses IP 192.168.1.0 et 192.168.1.100 à accéder à votre compte :

- Allowed IP Addresses: 192.168.1.0,192.168.1.100
- Blocked IP Addresses: N/A

En supposant que l’adresse IP actuelle est 192.168.1.0, bloquez toutes les autres adresses IP.

- Allowed IP addresses: 192.168.1.0
- Blocked IP addresses: 192.168.1.0/0

Important

Si la notation CIDR dans l’adresse IP autorisée ou bloquée utilise /0 comme longueur_préfixe, alors Snowflake évalue cette notation CIDR comme 0.0.0.0.

Les adresses IP avec le /0 prefix_length sont valides, mais il faut faire preuve de prudence avec cette notation. Selon la politique réseau, l’utilisation du préfixe 0 pourrait entraîner l’autorisation de toutes les adresses IP ou le blocage de toutes les adresses sauf l’adresse IP actuelle.

Activation de la politique réseau

Pour activer une politique réseau au niveau du compte, définissez le paramètre NETWORK_POLICY pour votre compte à l’aide de ALTER ACCOUNT.

Pour activer une politique réseau pour un seul utilisateur, définissez le paramètre NETWORK_POLICY pour l’utilisateur à l’aide de ALTER USER.

Contourner une politique réseau

Il est possible de contourner temporairement une politique réseau pendant un nombre défini de minutes en configurant la propriété d’objet utilisateur MINS_TO_BYPASS_NETWORK_POLICY, qui peut être affichée en exécutant DESCRIBE USER. Seul Snowflake peut définir la valeur de cette propriété d’objet. Veuillez contacter l’assistance Snowflake pour définir une valeur pour cette propriété.

Identification d’une politique réseau sur un compte ou pour un utilisateur

Pour déterminer si une politique réseau est définie sur un compte ou pour un utilisateur, exécutez la commande SHOW PARAMETERS.

-- account-level

show parameters like 'network_policy' in account my-account;

-- user-level

show parameters like 'network_policy' in user test_user_1;

Gestion des politiques réseau au niveau du compte

Créer une politique réseau au niveau du compte

Note

Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur ou un rôle avec le privilège CREATE NETWORK POLICY peuvent créer des stratégies réseau. La propriété d’une politique réseau peut être transférée à un autre rôle.

Vous pouvez créer une politique réseau en utilisant la nouvelle interface Web, l’interface Web classique ou SQL :

Nouvelle interface Web
  1. Cliquez sur Account » Security » Policies.

  2. Cliquez sur le bouton + Network Policy dans le coin supérieur droit de la page. La boîte de dialogue New network policy s’ouvre.

  3. Spécifiez les propriétés suivantes :

    Propriété

    Description

    Nom de la politique

    Identificateur de la politique réseau ; doit être unique pour votre compte.

    L’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (p. ex. "My object").

    Les identificateurs entre guillemets doubles sont également sensibles à la casse.

    Pour plus de détails, voir Exigences relatives à l’identificateur.

    Adresses IP autorisées

    Liste d’une ou plusieurs adresses IPv4 séparées par des virgules et autorisées à accéder à votre compte Snowflake. C’est ce qu’on appelle la liste autorisée. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

    Chaque adresse IP peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing) :

    adresse_ip[/longueur_préfixe_facultative]

    Par exemple :

    192.168.1.0/24

    Adresses IP bloquées

    Liste d’une ou plusieurs adresses IPv4 séparées par des virgules et interdites d’accéder à votre compte Snowflake. C’est ce qu’on appelle la liste bloquée.

    Définissez ce paramètre uniquement lorsque vous autorisez l’accès à une plage d’adresses IP (spécifiées dans Allowed IP Addresses), et que vous souhaitez refuser l’accès à une ou plusieurs adresses IP de la plage.

    Chaque adresse IP peut couvrir une plage d’adresses en utilisant la notation CIDR (Classless Inter-Domain Routing).

    Commentaire

    Spécifie un commentaire pour la politique réseau.

  4. Cliquez sur le bouton Create network policy.

Interface Web classique
  1. Cliquez sur Account Account tab » Policies. La page Policies apparaît.

  2. Cliquez sur le bouton Create. La boîte de dialogue Create Network Policy apparaît.

  3. Dans le champ Name, saisissez un nom pour la politique réseau.

  4. Dans le champ Allowed IP Addresses, saisissez une ou plusieurs adresses IPv4 séparées par des virgules qui sont autorisées à accéder à ce compte Snowflake.

    Note

    Pour bloquer toutes les adresses IP, à l’exception d’un ensemble d’adresses spécifiques, il suffit de définir une liste d’adresses IP autorisées. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

  5. Dans le champ Blocked IP Addresses, saisissez éventuellement une ou plusieurs adresses IPv4 auxquelles l’accès à ce compte Snowflake est refusé, séparées par des virgules. Notez que ce champ n’est pas obligatoire et est utilisé principalement pour refuser des adresses spécifiques dans une plage d’adresses de la liste autorisée.

    Prudence

    • Lorsqu’une politique réseau inclut des valeurs dans les listes d’adresses IP autorisées et bloquées, Snowflake applique d’abord la liste d’adresses :emph:`` IP bloquées.

    • N’ajoutez pas 0.0.0.0/0 à la liste d’adresses IP bloquées. 0.0.0.0/0 est interprété comme étant « toutes les adresses IPv4 sur la machine locale ». Étant donné que Snowflake résout cette liste en premier, cela bloquerait votre propre accès. Notez également qu’il n’est pas nécessaire d’inclure cette adresse IP dans liste d’adresses IP autorisées.

  6. Saisissez d’autres informations pour la politique réseau, si nécessaire, et cliquez sur Finish.

SQL

Exécutez une instruction CREATE NETWORK POLICY.

Après avoir créé une politique réseau, vous devez l’activer avant que Snowflake ne l’applique. Pour plus de détails, voir Activer une politique réseau au niveau du compte (dans ce chapitre).

Note

Pour activer une politique réseau, votre adresse IP actuelle doit être incluse dans la liste Allowed IP Addresses. Sinon, lorsque vous cliquez sur le bouton Activate, une erreur est renvoyée. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste Blocked IP Addresses .

Activer une politique réseau au niveau du compte

Après avoir créé une politique réseau, vous devez l’activer en l’associant à votre compte avant que Snowflake ne l’applique.

Note

Cette action est limitée à l’un ou l’autre des rôles suivants :

  • Les administrateurs de sécurité (c’est-à-dire les utilisateurs avec le rôle SECURITYADMIN) ou un rôle supérieur.

  • Un rôle qui a reçu le privilège global ATTACH POLICY.

Une fois que la politique est associée à votre compte, Snowflake restreint l’accès à votre compte en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Tout utilisateur qui tente de se connecter à partir d’une adresse IP restreinte par les règles se voit refuser l’accès. De plus, lorsqu’une politique réseau est associée à votre compte, les utilisateurs restreints qui sont déjà connectés à Snowflake ne peuvent pas exécuter de requêtes supplémentaires.

Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer plusieurs politiques réseau. Toutefois, une seule politique réseau peut être associée à un compte à un moment donné. L’association d’une politique réseau à votre compte supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Notez que votre adresse IP actuelle doit être incluse dans la liste des adresses IP autorisées dans la politique. Sinon, lorsque vous activez la politique, Snowflake renvoie une erreur. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste des adresses IP bloquées.

Vous pouvez associer une politique réseau à votre compte en utilisant soit l’interface Web, soit l’interface Web classique, soit SQL :

Nouvelle interface Web
  1. Cliquez sur Account » Security » Policies.

  2. Cliquez sur le bouton Activate Policy à droite du nom de la politique que vous activez.

Interface Web classique
  1. Cliquez sur Account Account tab » Policies.

  2. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite.

  3. Cliquez sur le bouton Activate dans le panneau de droite.

SQL

Exécutez une instruction ALTER ACCOUNT activant la politique réseau à l’aide du paramètre de compte NETWORK_POLICY.

Modifier une politique réseau au niveau du compte

Les politiques réseau peuvent être modifiées via la nouvelle interface Web, l’interface Web classique ou en utilisant SQL, spécifiquement pour ajouter ou supprimer des adresses IP de la liste des adresses autorisées et bloquées :

Nouvelle interface Web
  1. Cliquez sur Account » Security » Policies.

  2. Cliquez sur le bouton d’actions () dans la ligne correspondant à un politique réseau » Edit Policy. La boîte de dialogue Edit Policy s’ouvre.

  3. Modifiez l’une des propriétés. Pour une description des propriétés, voir Créer une politique réseau au niveau du compte (dans ce chapitre).

  4. Cliquez sur le bouton Save changes.

Interface Web classique
  1. Cliquez sur Account Account tab » Policies.

  2. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite.

  3. Cliquez sur le bouton Edit dans le panneau de droite.

  4. Modifiez les champs si nécessaire :

    • Pour supprimer une adresse IP de la liste Allowed IP Addresses ou Blocked IP Addresses, cliquez sur x à côté de l’entrée.

    • Pour ajouter une adresse IP à l’une ou l’autre liste, saisissez une ou plusieurs adresses IPv4 séparées par des virgules dans le champ approprié, puis cliquez sur le bouton Add.

  5. Cliquez sur Save.

SQL

Exécutez une instruction ALTER NETWORK POLICY.

Afficher les politiques réseau au niveau du compte

Vous pouvez afficher des informations sur les politiques réseau de votre compte via la nouvelle interface Web, l’interface Web classique ou en utilisant SQL :

Nouvelle interface Web

Cliquez sur Account » Security » Policies » <nom_politique>.

Interface Web classique

Cliquez sur Account Account tab » Policies » <nom_politique>.

SQL

Exécutez l’une des instructions suivantes :

Accorder des privilèges de politique réseau au niveau du compte aux rôles

Vous pouvez accorder les privilèges de politique réseau suivants à un rôle.

  • Créer une politique réseau

  • Supprimer une politique réseau

  • Modifier une politique réseau

Après avoir attribué les privilèges de politique réseau à un rôle, le propriétaire du rôle peut effectuer des actions administratives sur une politique réseau, telles que la configuration d’une nouvelle politique réseau pour une utilisation ultérieure et la dépréciation d’une politique réseau existante qui n’est plus utilisée.

Pour accorder des privilèges de politique réseau à un rôle, exécutez l’instruction SQL suivante dans l’interface Web ou dans SnowSQL.

grant create network policy on account to role my_role;

Gestion des politiques réseau au niveau utilisateur

Les politiques réseau au niveau utilisateur ont priorité sur les politiques réseau au niveau du compte, et la gestion des politiques réseau au niveau utilisateur peut être effectuée à l’aide de SQL.

Note

Seuls les administrateurs de sécurité (c’est-à-dire, les utilisateurs ayant le rôle SECURITYADMIN) ou ayant un rôle supérieur ou un rôle avec le privilège CREATE NETWORK POLICY peuvent créer des stratégies réseau. La propriété d’une politique réseau peut être transférée à un autre rôle.

Créer une politique réseau au niveau utilisateur

Vous pouvez créer une politique réseau au niveau utilisateur à l’aide de SQL en exécutant une instruction CREATE NETWORK POLICY .

Après avoir créé une politique réseau, vous devez l’activer avant que Snowflake ne l’applique. Pour plus d’informations, voir Activer une politique réseau au niveau utilisateur (dans cette rubrique).

Note

Pour activer une politique réseau, votre adresse IP actuelle doit être incluse dans la liste Allowed IP Addresses. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste Blocked IP Addresses .

Activer une politique réseau au niveau utilisateur

Après avoir créé une politique réseau, vous devez l’activer en l’associant à l’utilisateur avant que Snowflake ne l’applique.

Note

Seul le rôle ayant le privilège OWNERSHIP sur l’utilisateur, ou un rôle supérieur, peut activer une politique réseau pour un utilisateur individuel.

Une fois que la politique est associée à l’utilisateur, Snowflake restreint l’accès à l’utilisateur en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Si l’utilisateur avec une politique réseau au niveau utilisateur activée tente de se connecter à partir d’une adresse IP limitée par des règles, l’utilisateur se voit refuser l’accès à Snowflake.

De plus, lorsqu’une politique réseau au niveau utilisateur est associée à l’utilisateur et que l’utilisateur est déjà connecté à Snowflake, si l’adresse IP de l’utilisateur ne correspond pas aux règles de la politique réseau au niveau utilisateur, Snowflake empêche l’utilisateur d’exécuter d’autres requêtes.

Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer plusieurs politiques réseau. Toutefois, une seule politique réseau peut être associée à un utilisateur à un moment donné. L’association d’une politique réseau à un utilisateur supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Pour activer une politique réseau pour un seul utilisateur, définissez le paramètre NETWORK_POLICY pour l’utilisateur à l’aide de ALTER USER.

Modifier une politique réseau au niveau utilisateur

Les politiques réseau peuvent être modifiées à l’aide de SQL en exécutant une instruction ALTER NETWORK POLICY .

Afficher les politiques réseau au niveau utilisateur

Vous pouvez afficher des informations sur les politiques réseau d’un utilisateur à l’aide de SQL en exécutant l’une des instructions suivantes :

Accorder des privilèges de politique réseau au niveau utilisateur aux utilisateurs

Les privilèges de politique réseau ne peuvent pas être accordés aux utilisateurs.