- カテゴリ:
ユーザーとセキュリティ DDL (ネットワークポリシー)
ALTER NETWORK POLICY¶
既存のネットワークポリシーのプロパティを変更します。現在、サポートされているアクションは、アカウントへのアクセスを許可または拒否する IP アドレスの変更と、ネットワークポリシーのコメントの追加/上書き/削除のみです。
注釈
SECURITYADMIN ロール(またはそれ以上)を持つユーザーのみがネットワークポリシーを変更できます。
- こちらもご参照ください:
CREATE NETWORK POLICY 、 DESCRIBE NETWORK POLICY 、 DROP NETWORK POLICY 、 SHOW NETWORK POLICIES
構文¶
ALTER NETWORK POLICY [ IF EXISTS ] <name> SET { [ ALLOWED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
[ BLOCKED_IP_LIST = ( '<ip_address>' [ , '<ip_address>' ... ] ) ]
[ COMMENT = '<string_literal>' ] }
ALTER NETWORK POLICY [ IF EXISTS ] <name> UNSET COMMENT
パラメーター¶
名前
変更するネットワークポリシーの識別子を指定します。識別子にスペースまたは特殊文字が含まれる場合、文字列全体を二重引用符で囲む必要があります。二重引用符で囲まれた識別子も大文字と小文字が区別されます。
SET ...
ALLOWED_IP_LIST = ( ipアドレス [ , ipアドレス , ... ] )
Snowflakeアカウントへのアクセスを許可する1つ以上の IPv4 アドレスを指定します。これは 許可リスト と呼ばれます。Snowflakeは、許可リストに含まれていないすべての IP アドレスを自動的にブロックします。
BLOCKED_IP_LIST = ( ipアドレス [ , ipアドレス , ... ] )
Snowflakeアカウントへのアクセスを拒否される1つ以上の IPv4 アドレスを指定します。これは ブロックリスト と呼ばれます。
このパラメーターは、 IP アドレスの範囲(
ALLOWED_IP_LIST
で指定される)へのアクセスを許可するが、その範囲内の1つ以上の IP アドレスへのアクセスを拒否する場合にのみ設定します。COMMENT = '文字列リテラル'
ネットワークポリシーのコメントを追加するか、既存のコメントを上書きします。
UNSET ...
ネットワークポリシーの設定を解除するプロパティを指定します。これにより、デフォルトにリセットされます。
現在、設定を解除できるプロパティは
COMMENT
のみです。これにより、ネットワークポリシーのコメントがあれば削除されます。
使用上の注意¶
許可/ブロックリストの
SET
アクションは、付加的 ではありません (つまり、ネットワークポリシーの既存リストのすべての IP アドレスを削除し、指定されたリストに置き換えます)。その結果、既存のリストに追加するには、新しい IP アドレスを指定し、 さらに 既存のリストを複製する必要があります。
各
ipアドレス
は、クラスレスドメイン間ルーティング(CIDR)表記を使用してアドレス範囲をカバーできます。ipアドレス[/任意のプレフィックスの長さ]
例:
192.168.1.0/24
ネットワークポリシーに
ALLOWED_IP_LIST
とBLOCKED_IP_LIST
の両方の値が含まれている場合、Snowflakeは最初に ブロックリスト を適用します。0.0.0.0/0
をBLOCKED_IP_LIST
に追加 しないでください。Snowflakeはブロックされたリストを最初に適用するため、ユーザー自身のアクセスがブロックされます。さらに、選択リストを除くすべての IP アドレスをブロックするには、IP アドレスをALLOWED_IP_LIST
に追加するだけですみます。Snowflakeは、許可リストに含まれていないすべての IP アドレスを自動的にブロックします。
例¶
mypolicy1
という名前のネットワークポリシーを変更するには、次の操作を実行します。
CREATE NETWORK POLICY の例で定義されているように、ポリシーの既存の許可リスト(
192.168.1.0/24
の範囲内のすべての IP アドレス)およびブロックリスト(192.168.1.99
)を保持します。IP アドレス
192.168.255.100
を許可リストに追加します。他のすべての IP アドレスを拒否します。
DESC NETWORK POLICY mypolicy1; +-----------------+----------------+ | name | value | |-----------------+----------------| | ALLOWED_IP_LIST | 192.168.1.0/24 | | BLOCKED_IP_LIST | 192.168.1.99 | +-----------------+----------------+ ALTER NETWORK POLICY mypolicy1 SET ALLOWED_IP_LIST=('192.168.1.0/24','192.168.255.100') BLOCKED_IP_LIST=('192.168.1.99'); DESC NETWORK POLICY mypolicy1; +-----------------+--------------------------------+ | name | value | |-----------------+--------------------------------| | ALLOWED_IP_LIST | 192.168.1.0/24,192.168.255.100 | | BLOCKED_IP_LIST | 192.168.1.99 | +-----------------+--------------------------------+注釈
既存の許可リストとブロックリストを保持するには、前のリストのすべての IP アドレスを含める必要があります。