Renforcer l’accès réservé à PrivateLink¶
Vue d’ensemble¶
Chaque client Snowflake peut accéder à son compte Snowflake à l’aide de l’URLs dédiée et spécifique à son compte et des URLs génériques de l’UI de Snowflake. L’activation de la connexion privée établit l’URLs privée pour votre compte. Après avoir établi la connexion privée, l’URLs privée que vous utilisez pour vous connecter à Snowflake doit inclure « privatelink ». Par exemple, l’URL hôte peut avoir les formats suivants :
Nom du compte :
https://<nomorg>-<nom_compte>.privatelink.snowflakecomputing.com
Nom de la connexion :
https://<nom_org>-<nom_connexion>.privatelink.snowflakecomputing.com
Account Locator (existant) :
https://<account_locator>.<région>.privatelink.snowflakecomputing.com
Les comptes qui n’utilisent que PrivateLink pour les connexions entrantes vers Snowflake sont aussi appelés comptes « réservés à PrivateLink ». Pour plus d’informations sur l’utilisation d’URLs pour vous connecter à votre compte Snowflake, consultez Connexion avec une URL.
Vous pouvez renforcer votre posture de sécurité en désactivant l’accès public à vos comptes réservés à PrivateLink. Par exemple, après avoir désactivé l’accès public à vos comptes réservés à PrivateLink, toute personne tentant de « deviner » l’URL de votre compte Snowflake en fournissant une URL publique voit une page Web statique qui affiche : HTTP - 404 account not found
. Snowflake Core Service vérifie les requêtes reçues de l’Internet public avant de demander une autorisation. Renvoyer HTTP - 404 account not found
ne fournit aucune indication sur l’existence du compte. De cette manière, la désactivation de l’accès public protège vos comptes réservés à PrivateLink.
Important
Vous devez activer la connexion privée au service Snowflake avant de désactiver l’accès public à vos comptes réservés à PrivateLink. Vous devez vous être connecté(e) à Snowflake en utilisant un point de terminaison privé au moins une fois avant de désactiver l’accès public. Tout service SaaS qui ne prend pas en charge la connexion privée ne peut pas se connecter à Snowflake après avoir désactivé l’accès public à vos comptes réservés à PrivateLink.
Désactivation de l’accès public à vos comptes réservés à Privatelink :
Désactive l’accès à tous les points de terminaison de service Snowflake uniquement.
N’affecte pas l’accès public aux compartiments des zones de préparation internes.
N’interrompt aucune connexion existante à votre compte client.
Restrictions granulaires de l’accès au réseau¶
Vous pouvez définir un accès granulaire à votre compte en créant des règles réseau qui restreignent l’accès réseau via des IDs de points de terminaison privés spécifiques. Vous pouvez également définir des règles réseau pour limiter ou refuser les sessions routées publiquement. Pour plus d’informations, voir CREATE NETWORK RULE.
Pour appliquer les définitions d’accès, vous pouvez créer des politiques réseau qui utilisent vos définitions de règles réseau. Pour plus d’informations, voir Contrôle du trafic réseau avec des politiques réseau.
Note
Le blocage de l’accès aux points de terminaison privés à l’aide de règles réseau n’est pas (encore) pris en charge sur Google Cloud.
Désactiver l’accès public à vos comptes réservés à Privatelink¶
Pour désactiver l’accès public à tous les points de terminaison de service Snowflake de votre compte Snowflake :
Vérifiez ou établissez une connexion privée à votre compte.
Appelez la fonction SYSTEM$ENFORCE_PRIVATELINK_ACCESS_ONLY.
Restaurer l’accès public à vos comptes réservés à Privatelink¶
Pour restaurer l’accès public à tous les points de terminaison de service Snowflake de votre compte Snowflake, appelez la fonction SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY.
Restreindre l’accès à la fonction qui restaure l’accès public¶
Les clients qui souhaitent empêcher leurs administrateurs de compte de restaurer l’accès public pour le trafic réseau entrant doivent demander à Snowflake de modifier leur compte.
Pour restreindre l’accès à la fonction SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY :
Contactez l’assistance Snowflake.
Demandez à Snowflake de restreindre l’accès à la fonction SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY pour votre compte.