Politiques réseau

Les politiques réseau fournissent des options pour gérer les configurations réseau du service Snowflake.

Actuellement, les politiques réseau permettent de restreindre l’accès à votre compte en fonction de l’adresse IP de l’utilisateur. Une politique réseau permet de créer une liste blanche d’adresses IP ainsi qu’une liste noire d’adresses IP si nécessaire.

Toute la gestion des politiques réseau au niveau du compte peut être effectuée via l’interface Web ou SQL.

La gestion des stratégies réseau au niveau de l’utilisateur peut être formée à l’aide de SQL.

Si un utilisateur est associé à la fois à une politique réseau au niveau du compte et au niveau de l’utilisateur, la politique au niveau de l’utilisateur est prioritaire.

Note

Seuls les administrateurs de comptes et les administrateurs de sécurité (c’est-à-dire les utilisateurs ayant le rôle ACCOUNTADMIN ou SECURITYADMIN) peuvent créer, modifier ou supprimer des politiques réseau.

Dans ce chapitre :

Vue d’ensemble

Par défaut, Snowflake permet aux utilisateurs de se connecter au service à partir de n’importe quelle adresse IP d’ordinateur ou d’appareil. Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer une politique réseau pour autoriser ou refuser l’accès à une seule adresse IP ou à une liste d’adresses. Les politiques réseau ne prennent actuellement en charge que les adresses IPv4 (Internet Protocol version 4).

Important

Lors de la création ou de la modification de politiques réseau à l’aide de l’interface Web, il n’est pas nécessaire de mettre les propriétés de stratégie réseau entre guillemets simples. Cependant, lorsque vous utilisez SQL, les propriétés de politique réseau doivent être placées entre guillemets simples.

Pour plus d’informations, voir CREATE NETWORK POLICY, ALTER NETWORK POLICY, ALTER ACCOUNT et ALTER USER.

Propriétés de la politique réseau

Une politique réseau se compose des propriétés suivantes :

IPs autorisées

(Obligatoire)

Une liste d’adresses IPv4 (avec sous-réseaux optionnels) qui sont autorisées à accéder au compte Snowflake.

IPs bloquées

(En option)

Une liste d’adresses IPv4 (avec sous-réseaux optionnels) qui ne sont pas autorisées à accéder au compte Snowflake. Notez que cette liste n’est pas nécessaire, car toutes les adresses qui ne sont pas incluses dans la liste d’adresses IP autorisées sont automatiquement bloquées. La liste d’adresses IP bloquées est utilisée principalement pour refuser des adresses spécifiques dans une plage d’adresses de la liste d’adresses IP autorisées.

Les deux listes d’adresses sont exprimées sous la forme d’une chaîne séparée par des virgules sous la forme suivante :

adresse_ip[/sous-réseau] , adresse_ip[/sous-réseau] , ...

Pour plus de détails sur les propriétés qui peuvent être spécifiées pour une politique réseau, voir CREATE NETWORK POLICY.

Notation CIDR

Snowflake prend en charge la spécification de plages d’adresses IP en utilisant la notation CIDR (Classless Inter-Domain Routing). Dans la notation CIDR, le sous-réseau optionnel est exprimé par un nombre décimal qui représente la longueur du préfixe :

adresse_ip[/longueur_préfixe]

Par exemple, 192.168.1.0/24 représente toutes les adresses IP dans la plage de 192.168.1.0 à 192.168.1.255.

Exemples de listes d’adresses autorisées/bloquées

L’exemple suivant utilise la notation CIDR pour autoriser toutes les adresses IP dans la plage de 192.168.1.0 à 192.168.1.255, sauf 192.168.1.99 qui est explicitement bloquée. De plus, toutes les autres adresses IP sont bloquées :

- Allowed IP Addresses: 192.168.1.0/24
- Blocked IP Addresses: 192.168.1.99

L’exemple suivant permet seulement aux adresses IP 192.168.1.0 et 192.168.1.100 d’accéder à votre compte :

- Allowed IP Addresses: 192.168.1.0,192.168.1.100
- Blocked IP Addresses: N/A

Activation de la politique réseau

Pour activer une politique réseau au niveau du compte, définissez le paramètre NETWORK_POLICY pour votre compte à l’aide de ALTER ACCOUNT.

Pour activer une politique réseau pour un seul utilisateur, définissez le paramètre NETWORK_POLICY pour l’utilisateur à l’aide de ALTER USER.

Contourner une politique réseau

Il est possible de contourner temporairement une politique réseau pendant un nombre défini de minutes en configurant la propriété d’objet utilisateur MINS_TO_BYPASS_NETWORK_POLICY, qui peut être affichée en exécutant DESCRIBE USER. Seul Snowflake peut définir la valeur de cette propriété d’objet. Veuillez contacter le support Snowflake pour définir une valeur pour cette propriété.

Gestion des politiques réseau au niveau du compte

Créer une politique réseau au niveau du compte

Vous pouvez créer une politique réseau en utilisant l’interface Web ou SQL :

Interface Web

Cliquez sur Account Account tab » Policies.

SQL

Exécutez une instruction CREATE NETWORK POLICY.

Dans l’interface Web :

  1. La page Policies apparaît.

    Snowflake Policies page
  2. Cliquez sur le bouton Create. La boîte de dialogue Create Network Policy apparaît :

    Snowflake Create Network Policy dialog
  3. Dans le champ Name, saisissez un nom pour la politique réseau.

  4. Dans le champ Allowed IP Addresses, saisissez une ou plusieurs adresses IPv4 séparées par des virgules qui sont autorisées à accéder à ce compte Snowflake.

    Note

    Pour bloquer toutes les adresses IP, à l’exception d’un ensemble d’adresses spécifiques, il suffit de définir une liste d’adresses IP autorisées. Snowflake bloque automatiquement toutes les adresses IP non incluses dans la liste autorisée.

  5. Dans le champ Blocked IP Addresses, saisissez éventuellement une ou plusieurs adresses IPv4 auxquelles l’accès à ce compte Snowflake est refusé, séparées par des virgules. Notez que ce champ n’est pas obligatoire et est utilisé principalement pour refuser des adresses spécifiques dans une plage d’adresses de la liste autorisée.

    Prudence

    • Lorsqu’une politique réseau inclut des valeurs dans les listes d’adresses IP autorisées et bloquées, Snowflake applique d’abord la liste d’adresses :emph:`` IP bloquées.

    • N’ajoutez pas 0.0.0.0/0 à la liste d’adresses IP bloquées. 0.0.0.0/0 est interprété comme étant « toutes les adresses IPv4 sur la machine locale ». Étant donné que Snowflake résout cette liste en premier, cela bloquerait votre propre accès. Notez également qu’il n’est pas nécessaire d’inclure cette adresse IP dans liste d’adresses IP autorisées.

  6. Saisissez d’autres informations pour la politique réseau, si nécessaire, et cliquez sur Finish. Snowflake affiche un message de réussite.

Après avoir créé une politique réseau, vous devez l’activer avant que Snowflake ne l’applique. Pour plus de détails, voir Activer une politique réseau au niveau du compte (dans ce chapitre).

Note

Pour activer une politique réseau, votre adresse IP actuelle doit être incluse dans la liste Allowed IP Addresses. Sinon, lorsque vous cliquez sur le bouton Activate, une erreur est renvoyée. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste Blocked IP Addresses .

Activer une politique réseau au niveau du compte

Après avoir créé une politique réseau, vous devez l’activer en l’associant à votre compte avant que Snowflake ne l’applique.

Une fois que la politique est associée à votre compte, Snowflake restreint l’accès à votre compte en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Tout utilisateur qui tente de se connecter à partir d’une adresse IP restreinte par les règles se voit refuser l’accès. De plus, lorsqu’une politique réseau est associée à votre compte, les utilisateurs restreints qui sont déjà connectés à Snowflake ne peuvent pas exécuter de requêtes supplémentaires.

Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer plusieurs politiques réseau. Toutefois, une seule politique réseau peut être associée à un compte à un moment donné. L’association d’une politique réseau à votre compte supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Vous pouvez associer une politique réseau à votre compte en utilisant soit l’interface Web, soit SQL :

Interface Web

Cliquez sur Account Account tab » Policies.

SQL

Exécutez une instruction ALTER ACCOUNT activant la politique réseau à l’aide du paramètre de compte NETWORK_POLICY.

Dans l’interface Web :

  1. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite :

    Snowflake Policies page
  2. Cliquez sur le bouton Activate dans le panneau droite. Snowflake affiche un message de réussite.

Modifier une politique réseau au niveau du compte

Les politiques réseau peuvent être modifiées via l’interface Web ou en utilisant SQL, spécifiquement pour ajouter ou supprimer des adresses IP de la liste des adresses autorisées et bloquées :

Interface Web

Cliquez sur Account Account tab » Policies.

SQL

Exécutez une instruction ALTER NETWORK POLICY.

Dans l’interface Web :

  1. Cliquez sur une politique pour la sélectionner et remplissez le panneau latéral de droite :

    Snowflake Policies page
  2. Cliquez sur le bouton Edit dans le panneau droite :

    Snowflake network policy edit panel
  3. Modifiez les champs si nécessaire :

    • Pour supprimer une adresse IP de la liste Allowed IP Addresses ou Blocked IP Addresses, cliquez sur x à côté de l’entrée.

    • Pour ajouter une adresse IP à l’une ou l’autre liste, saisissez une ou plusieurs adresses IPv4 séparées par des virgules dans le champ approprié, puis cliquez sur le bouton Add.

  4. Cliquez sur Save. Snowflake affiche un message de réussite.

Afficher les politiques réseau au niveau du compte

Vous pouvez afficher des informations sur les politiques réseau de votre compte via l’interface Web ou en utilisant SQL :

Interface Web

Cliquez sur Account Account tab » Policies » <nom_politique>

SQL

Exécutez l’une des instructions suivantes :

Accorder des privilèges de politique réseau au niveau du compte aux rôles

Vous pouvez accorder les privilèges de politique réseau suivants à un rôle.

  • Créer une politique réseau

  • Supprimer une politique réseau

  • Modifier une politique réseau

Après avoir attribué les privilèges de politique réseau à un rôle, le propriétaire du rôle peut effectuer des actions administratives sur une politique réseau, telles que la configuration d’une nouvelle politique réseau pour une utilisation ultérieure et la dépréciation d’une politique réseau existante qui n’est plus utilisée.

Pour accorder des privilèges de politique réseau à un rôle, exécutez l’instruction SQL suivante dans l’interface Web ou dans SnowSQL.

grant create network policy on account to role my_role;

Gestion des politiques réseau au niveau utilisateur

Les politiques réseau au niveau utilisateur ont priorité sur les politiques réseau au niveau du compte, et la gestion des politiques réseau au niveau utilisateur peut être effectuée à l’aide de SQL.

Créer une politique réseau au niveau utilisateur

Vous pouvez créer une politique réseau au niveau utilisateur à l’aide de SQL en exécutant une instruction CREATE NETWORK POLICY .

Après avoir créé une politique réseau, vous devez l’activer avant que Snowflake ne l’applique. Pour plus d’informations, voir Activer une politique réseau au niveau utilisateur (dans cette rubrique).

Note

Pour activer une politique réseau, votre adresse IP actuelle doit être incluse dans la liste Allowed IP Addresses. De plus, votre adresse IP actuelle ne peut pas être incluse dans la liste Blocked IP Addresses .

Activer une politique réseau au niveau utilisateur

Après avoir créé une politique réseau, vous devez l’activer en l’associant à l’utilisateur avant que Snowflake ne l’applique.

Une fois que la politique est associée à l’utilisateur, Snowflake restreint l’accès à l’utilisateur en fonction de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Si l’utilisateur avec une politique réseau au niveau utilisateur activée tente de se connecter à partir d’une adresse IP limitée par des règles, l’utilisateur se voit refuser l’accès à Snowflake.

De plus, lorsqu’une politique réseau au niveau utilisateur est associée à l’utilisateur et que l’utilisateur est déjà connecté à Snowflake, si l’adresse IP de l’utilisateur ne correspond pas aux règles de la politique réseau au niveau utilisateur, Snowflake empêche l’utilisateur d’exécuter d’autres requêtes.

Un administrateur de sécurité (ou une personne de niveau supérieur) peut créer plusieurs politiques réseau. Toutefois, une seule politique réseau peut être associée à un utilisateur à un moment donné. L’association d’une politique réseau à un utilisateur supprime automatiquement la politique réseau actuellement associée (le cas échéant).

Pour activer une politique réseau pour un seul utilisateur, définissez le paramètre NETWORK_POLICY pour l’utilisateur à l’aide de ALTER USER.

Modifier une politique réseau au niveau utilisateur

Les politiques réseau peuvent être modifiées à l’aide de SQL en exécutant une instruction ALTER NETWORK POLICY .

Afficher les politiques réseau au niveau utilisateur

Vous pouvez afficher des informations sur les politiques réseau d’un utilisateur à l’aide de SQL en exécutant l’une des instructions suivantes :

Accorder des privilèges de politique réseau au niveau utilisateur aux utilisateurs

Les privilèges de politique réseau ne peuvent pas être accordés aux utilisateurs.