ALTER NETWORK POLICY

既存のネットワークポリシーのプロパティを変更します。現在、サポートされているアクションは、アカウントへのアクセスを許可または拒否する IP アドレスの変更と、ネットワークポリシーのコメントの追加/上書き/削除のみです。

注釈

ネットワークポリシーを変更できるのは、ネットワークポリシーの所有者(つまり、ネットワークポリシーの OWNERSHIP 権限を持つロール)以上のみです。

こちらもご参照ください。

CREATE NETWORK POLICYDESCRIBE NETWORK POLICYDROP NETWORK POLICYSHOW NETWORK POLICIES

構文

ALTER NETWORK POLICY [ IF EXISTS ] <name> SET {
    [ ALLOWED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
    [ BLOCKED_NETWORK_RULE_LIST = ( '<network_rule>' [ , '<network_rule>' , ... ] ) ]
    [ ALLOWED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
    [ BLOCKED_IP_LIST = ( [ '<ip_address>' ] [ , '<ip_address>' ... ] ) ]
    [ COMMENT = '<string_literal>' ] }

ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT

ALTER NETWORK POLICY <name> ADD { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }

ALTER NETWORK POLICY <name> REMOVE { ALLOWED_NETWORK_RULE_LIST = '<network_rule>' | BLOCKED_NETWORK_RULE_LIST = '<network_rule>' }

ALTER NETWORK POLICY <name>  RENAME TO <new_name>

ALTER NETWORK POLICY <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]

ALTER NETWORK POLICY <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
Copy

パラメーター

name

変更するネットワークポリシーの識別子を指定します。識別子にスペースまたは特殊文字が含まれる場合、文字列全体を二重引用符で囲む必要があります。二重引用符で囲まれた識別子も大文字と小文字が区別されます。

SET ...

ネットワークポリシーに設定するパラメーターを指定します。

ALLOWED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )

Snowflakeへのアクセスを許可されたネットワーク識別子を含んでいる ネットワークルール のリストを指定します。リスト内のネットワークルールの数に制限はありません。

許可リストの既存のネットワークルールを置き換えます。既存のルールを置き換えずにネットワークルールを追加するには、 ALTER NETWORK POLICY ... ADD コマンドを使用します。

BLOCKED_NETWORK_RULE_LIST = ( 'network_rule' [ , 'network_rule' , ... ] )

Snowflakeへのアクセスを拒否されたネットワーク識別子を含んでいるネットワークルールのリストを指定します。リスト内のネットワークルールの数に制限はありません。

ブロックリストの既存のネットワークルールを置き換えます。既存のルールを置き換えずにネットワークルールを追加するには、 ALTER NETWORK POLICY ... ADD コマンドを使用します。

ALLOWED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )

Snowflakeアカウントへのアクセスを許可する IPv4 アドレスのリストを指定します。これは 許可リスト と呼ばれます。

Snowflakeは、このパラメーターを使用するよりも、ネットワークポリシーと組み合わせてネットワークルールを使用することを推奨します。 ALLOWED_NETWORK_RULE_LIST パラメーターを使用して、 IPv4 アドレスを含むネットワークルールを指定します。

ネットワークルールをまだ使用していない場合は、Snowflakeアカウントへのアクセスを許可するために、少なくとも1つの IPv4 アドレスまたは CIDR ブロック範囲を指定します。さらに、ネットワークルールを使用しておらず、このプロパティに空のリストが指定されている場合、いかなる IPv4 アドレスもSnowflakeアカウントへのアクセスを許可されません。

BLOCKED_IP_LIST = ( [ ip_address ] [ , ip_address , ... ] )

Snowflakeアカウントへのアクセスを拒否される IPv4 アドレスのリストを指定します。これは ブロックリスト と呼ばれます。このパラメータを解除するには、別の CIDR ブロック範囲、一連の IPv4 アドレス、または単一の IPv4 アドレスを指定します。

Snowflakeは、このパラメーターを使用するよりも、ネットワークポリシーと組み合わせてネットワークルールを使用することを推奨します。 BLOCKED_NETWORK_RULE_LIST パラメーターを使用して、 IPv4 アドレスを含むネットワークルールを指定します。

公開アクセスをブロックするには、ネットワーク・ルールを使用し、 BLOCKED_NETWORK_RULE_LIST プロパティにネットワーク・ルールを追加します。その結果、 AWS PrivateLink のようなプライベート接続を使用する IP アドレスのみが、Snowflakeアカウントにアクセスできるようになります。

デフォルト:値なし、 ALLOWED_IP_LIST プロパティのいかなる IP アドレスもブロックされません。

COMMENT = 'string_literal'

ネットワークポリシーのコメントを追加するか、既存のコメントを上書きします。

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

タグ の名前とタグ文字列の値を指定します。

タグ値は常に文字列であり、タグ値の最大文字数は256です。

ステートメントでのタグの指定に関する情報については、 オブジェクトおよび列のタグクォータ をご参照ください。

UNSET ...

ネットワークポリシーの設定を解除するプロパティを指定します。これにより、デフォルトにリセットされます。

  • COMMENT により、ネットワークポリシーのコメントがあれば削除されます。

  • TAG tag_name [ , tag_name ... ]

ADD { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }

既存のルールを削除せずに、ネットワークポリシーの許可リストまたはブロックリストにネットワークルールを追加します。

REMOVE { ALLOWED_NETWORK_RULE_LIST = 'network_rule' | BLOCKED_NETWORK_RULE_LIST = 'network_rule' }

ネットワークポリシーの許可リストまたはブロックリストからネットワークルールを削除します。

RENAME TO ...

既存のネットワークポリシーの新しい名前を指定します。

使用上の注意

  • ALLOWED_IP_LISTBLOCKED_IP_LIST プロパティが空になるようにネットワークポリシーを変更しないでください。ネットワークポリシーと組み合わせてネットワークルールを使用し、Snowflakeアカウントへのアクセスを管理します。

  • 許可/ブロックリストの SET アクションは、付加的 ではありません (つまり、ネットワークポリシーの既存リストのすべての IP アドレスを削除し、指定されたリストに置き換えます)。

    その結果、既存のリストに追加するには、新しい IP アドレスを指定し、 さらに 既存のリストを複製する必要があります。

  • ip_address は、クラスレスドメイン間ルーティング(CIDR)表記を使用してアドレス範囲をカバーできます。

    ip_address[/optional_prefix_length]

    例:

    192.168.1.0/24

  • ネットワークポリシーに ALLOWED_IP_LISTBLOCKED_IP_LIST の両方の値が含まれている場合、Snowflakeは最初に ブロックリスト を適用します。

  • 0.0.0.0/0BLOCKED_IP_LIST に追加 しないでください。Snowflakeはブロックされたリストを最初に適用するため、ユーザー自身のアクセスがブロックされます。さらに、選択リストを除くすべての IP アドレスをブロックするには、IP アドレスを ALLOWED_IP_LIST に追加するだけですみます。Snowflakeは、許可リストに含まれていないすべての IP アドレスを自動的にブロックします。

  • メタデータについて。

    注意

    Snowflakeサービスを使用する場合、お客様は、個人データ(ユーザーオブジェクト向け以外)、機密データ、輸出管理データ、またはその他の規制されたデータがメタデータとして入力されていないことを確認する必要があります。詳細については、 Snowflakeのメタデータフィールド をご参照ください。

たとえば、 allow_access_rule で定義されたネットワークトラフィックを許可する allow_access_policy という名前のネットワークポリシーを、 IP 範囲 で定義されたネットワークルールに従って、 block_access_rule で定義されたネットワークトラフィックもブロックするように変更するには、 ALTER NETWORK POLICY を使用します。まず、現在のポリシーを表示します。

DESC NETWORK POLICY allow_access_policy;
Copy
+---------------------------+-------------------+
| name                      | value             |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | allow_access_rule |
+---------------------------+-------------------+

次に、 allow_access_policy を変更して、 block_access_rule も使用するようにし、更新されたポリシーを表示します。

ALTER NETWORK POLICY IF EXISTS allow_access_policy SET
  BLOCKED_NETWORK_RULE_LIST = 'block_access_rule';
DESC NETWORK POLICY allow_access_policy;
Copy
+---------------------------+-------------------+
| name                      | value             |
|---------------------------+-------------------|
| ALLOWED_NETWORK_RULE_LIST | ALLOW_ACCESS_RULE |
| BLOCKED_NETWORK_RULE_LIST | BLOCK_ACCESS_RULE |
+---------------------------+-------------------+

次に、更新したポリシーの名前を変更して、両方のルールの使用を記述します。

ALTER NETWORK POLICY allow_access_policy RENAME TO limit_access_policy;
Copy

そして、 limit_access_policy がネットワークルールによって定義されていることを説明するコメントを追加します。

ALTER NETWORK POLICY limit_access_policy SET COMMENT = 'No_Lists_See_Rules';
SHOW NETWORK POLICIES;
Copy

SHOW NETWORK POLICIES からの出力には、更新されたポリシー名と、変更された(改変された)ネットワークポリシーに含まれるコメントが含まれます。

+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+
| created on                    | name                | comment            | entries_in_allowed_ip_list | entries_in_blocked_ip_list | entries_in_allowed_network_rules | entries_in_blocked_network_rules |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|...                            |                     |                    |                            |                            |                                  |                                  |
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
| 2024-12-04 10:33:19.853 -0800 | LIMIT_ACCESS_POLICY | NO_LISTS_SEE_RULES |                           0|                           0|                                 1|                                 1|
|-------------------------------+------------------------------------------|----------------------------|----------------------------|----------------------------------|----------------------------------|
|...                            |                     |                    |                            |                            |                                  |                                  |
+-------------------------------+---------------------+--------------------+----------------------------+----------------------------+----------------------------------+----------------------------------+