カテゴリ:

ユーザーとセキュリティ DDL (ネットワークポリシー)

ALTER NETWORK POLICY

既存のネットワークポリシーのプロパティを変更します。現在、サポートされているアクションは、アカウントへのアクセスを許可または拒否する IP アドレスの変更と、ネットワークポリシーのコメントの追加/上書き/削除のみです。

注釈

SECURITYADMIN ロール(またはそれ以上)を持つユーザーのみがネットワークポリシーを変更できます。

こちらもご参照ください:

CREATE NETWORK POLICYDESCRIBE NETWORK POLICYDROP NETWORK POLICYSHOW NETWORK POLICIES

構文

ALTER NETWORK POLICY [ IF EXISTS ] <name> SET { [ ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
                                                [ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
                                                [ COMMENT = '<string_literal>' ] }

ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT

パラメーター

名前

変更するネットワークポリシーの識別子を指定します。識別子にスペースまたは特殊文字が含まれる場合、文字列全体を二重引用符で囲む必要があります。二重引用符で囲まれた識別子も大文字と小文字が区別されます。

SET ...

ALLOWED_IP_LIST = ( ipアドレス [ , ipアドレス , ... ] )

Snowflakeアカウントへのアクセスを許可する1つ以上の IPv4 アドレスを指定します。これは 許可リスト と呼ばれます。Snowflakeは、許可リストに含まれていないすべての IP アドレスを自動的にブロックします。

BLOCKED_IP_LIST = ( ipアドレス [ , ipアドレス , ... ] )

Snowflakeアカウントへのアクセスを拒否される1つ以上の IPv4 アドレスを指定します。これは ブロックリスト と呼ばれます。

このパラメーターは、 IP アドレスの範囲(ALLOWED_IP_LIST で指定される)へのアクセスを許可するが、その範囲内の1つ以上の IP アドレスへのアクセスを拒否する場合にのみ設定します。

COMMENT = '文字列リテラル'

ネットワークポリシーのコメントを追加するか、既存のコメントを上書きします。

UNSET ...

ネットワークポリシーの設定を解除するプロパティを指定します。これにより、デフォルトにリセットされます。

現在、設定を解除できるプロパティは COMMENT のみです。これにより、ネットワークポリシーのコメントがあれば削除されます。

使用上の注意

  • 許可/ブロックリストの SET アクションは、付加的 ではありません (つまり、ネットワークポリシーの既存リストのすべての IP アドレスを削除し、指定されたリストに置き換えます)。

    その結果、既存のリストに追加するには、新しい IP アドレスを指定し、 さらに 既存のリストを複製する必要があります。

  • ipアドレス は、クラスレスドメイン間ルーティング(CIDR)表記を使用してアドレス範囲をカバーできます。

    ipアドレス[/任意のプレフィックスの長さ]

    例:

    192.168.1.0/24

  • ネットワークポリシーに ALLOWED_IP_LISTBLOCKED_IP_LIST の両方の値が含まれている場合、Snowflakeは最初に ブロックリスト を適用します。

  • 0.0.0.0/0BLOCKED_IP_LIST に追加 しないでください。Snowflakeはブロックされたリストを最初に適用するため、ユーザー自身のアクセスがブロックされます。さらに、選択リストを除くすべての IP アドレスをブロックするには、IP アドレスを ALLOWED_IP_LIST に追加するだけですみます。Snowflakeは、許可リストに含まれていないすべての IP アドレスを自動的にブロックします。

mypolicy1 という名前のネットワークポリシーを変更するには、次の操作を実行します。

  • CREATE NETWORK POLICY の例で定義されているように、ポリシーの既存の許可リスト(192.168.1.0/24 の範囲内のすべての IP アドレス)およびブロックリスト(192.168.1.99)を保持します。

  • IP アドレス 192.168.255.100 を許可リストに追加します。

  • 他のすべての IP アドレスを拒否します。

DESC NETWORK POLICY mypolicy1;

+-----------------+----------------+
| name            | value          |
|-----------------+----------------|
| ALLOWED_IP_LIST | 192.168.1.0/24 |
| BLOCKED_IP_LIST | 192.168.1.99   |
+-----------------+----------------+

ALTER NETWORK POLICY mypolicy1 SET ALLOWED_IP_LIST=('192.168.1.0/24','192.168.255.100')
                                   BLOCKED_IP_LIST=('192.168.1.99');

DESC NETWORK POLICY mypolicy1;

+-----------------+--------------------------------+
| name            | value                          |
|-----------------+--------------------------------|
| ALLOWED_IP_LIST | 192.168.1.0/24,192.168.255.100 |
| BLOCKED_IP_LIST | 192.168.1.99                   |
+-----------------+--------------------------------+

注釈

既存の許可リストとブロックリストを保持するには、前のリストのすべての IP アドレスを含める必要があります。