EVALUATE_CANDIDATE_NETWORK_POLICY¶
ポリシーをアクティブ化することなく、過去のイングレストラフィックに対して候補ネットワークポリシーを適用した場合の効果をシミュレートします。
出力を分析することで、管理者は次の質問に答えることができます。
このポリシーは何をブロックしていたでしょうか?
正規ユーザーは影響を受ける可能性がありますか?
プロシージャは、観測されたすべてのイングレスクライアントIPsを評価し、行レベルのwhat-if結果を生成します。アカウント構成は変更しません。
- こちらもご参照ください。
構文¶
引数¶
必須:
POLICY_NAME => 'string'評価する候補ネットワークポリシーの名前。
オプション:
LOOKBACK_DAYS => 'integer'評価の対象となる過去のイングレストラフィックの日数。シミュレーションがどれだけ遡るかを制御します。
デフォルト:90
USER_NAME => 'string'指定されたユーザーからのトラフィックのみを含めるように評価をフィルターします。
デフォルト:フィルターなし。すべてのユーザーが含まれます。
戻り値¶
(少なくとも)次の列を含むテーブルを返します。
列名 |
データ型 |
説明 |
|---|---|---|
|
VARCHAR |
過去のイングレストラフィックで検出されたクライアントIPアドレス。 |
|
VARCHAR |
候補ポリシーがアクティブ化された場合に、IPが許可される( |
解釈:
YES--- ポリシーがアクティブ化された場合、このIPは*許可されることになります*。NO--- ポリシーがアクティブ化された場合、このIPは*ブロックされることになります*。
評価結果はポリシーをアクティブ化しません。ネットワークポリシーを適用したい場合は、:doc:`/sql-reference/sql/alter-account`コマンドを実行して、推奨ネットワークポリシーをアクティブ化する必要があります。例については、:ref:`label-gen-and-eval-candidate-network-policy`のステップ8を参照してください。
アクセス制御の要件¶
このストアドプロシージャを実行するには、ユーザーは少なくともSECURITYADMINロールを持っている必要があります。
指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。
セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。
使用上の注意¶
プロシージャは、アカウント構成に関して読み取り専用です。いかなるネットワークポリシーもアクティブ化または変更することはありません。
このプロシージャは、どのIPアドレスが組織にとって正しいか、または安全かを判断できません。ポリシーをアクティブ化する前に、ITおよびセキュリティチームと結果を検証する必要があります。
大量の履歴イングレスアクセスデータを持つアカウントでは、実行時間は1~2分になる場合があります。
トラフィックが多いアカウントでは評価結果が密になる可能性があり、フィルタリングや可視化が必要になる場合があります。
出力の各行は、管理者が精査する必要のある決定ポイントを表します。
例¶
デフォルトのルックバックウィンドウを使用して候補ネットワークポリシーを評価します。
過去90日間のイングレストラフィックに対して候補ネットワークポリシーを評価します。
``user1``という名前のユーザーの過去90日間のイングレストラフィックに対して候補ネットワークポリシーを評価します。