PrivateLinkのみのアクセスを強制する¶
概要¶
各Snowflakeの顧客は、顧客固有の専用アカウント URLs および一般的なSnowflake UIURLs を使用して、Snowflakeアカウントにアクセスできます。プライベート接続を有効にすると、アカウント用プライベート URLs が確立されます。プライベート接続を確立した後、Snowflakeへの接続に使用するプライベート URLs には、「privatelink」が含まれている必要があります。たとえば、ホストは URL には次のような形式があります。
アカウント名:
https://<組織名>-<アカウント名>.privatelink.snowflakecomputing.com
接続名:
https://<組織名>-<接続名>.privatelink.snowflakecomputing.com
アカウントロケーター(レガシー):
https://<アカウントロケーター>.<リージョン>.privatelink.snowflakecomputing.com
Snowflakeへのインバウンド接続にプライベートリンクのみを使用するアカウントは、「プライベートリンク専用」アカウントとも呼ばれます。URLs を使用してSnowflakeアカウントに接続する方法の詳細については、URL での接続 をご参照ください。
PrivateLink専用アカウントへのパブリックアクセスを無効にすることで、セキュリティ体制を強化することができます。例えば、プライベートリンクのみのアカウントへのパブリックアクセスを無効にすると、パブリック URL を使って、Snowflakeアカウント URL を「推測」しようとしても HTTP - 404 account not found
を表示する静的ウェブページが返されます。Snowflake Core Serviceは、認証をリクエストする前に、パブリックインターネットからの受信リクエストをチェックします。返される HTTP - 404 account not found
はアカウントが存在することを示すことはありません。このようにして、パブリックアクセスを無効にすると、プライベートリンクのみのアカウントが保護されます。
重要
Privatelink専用アカウントへのパブリックアクセスを無効にする前に Snowflakeサービスへのプライベート接続 を有効化する必要があります。パブリックアクセスを無効にする前に、プライベートエンドポイントを少なくとも1回使用してSnowflakeにログインする必要があります。プライベート接続をサポートしていないサービス SaaS は、プライベートリンクのみのアカウントへのパブリックアクセスを無効にした後、Snowflakeに接続できません。
PrivateLink専用アカウントへのパブリックアクセスを無効にします。
すべてのSnowflakeサービスエンドポイントへのアクセスのみを無効にします。
内部ステージバケットへのパブリックアクセスには影響しません。
顧客アカウントとの既存の接続を切断しません。
詳細なネットワークアクセス制限¶
特定のプライベートエンドポイント IDs を介してネットワークアクセスを制限するネットワークルールを作成することで、アカウントへの詳細なアクセスを定義できます。また、ネットワークルールを定義して、公開ルーティングセッションを制限または拒否することもできます。詳細については、 CREATE NETWORK RULE をご参照ください。
アクセス定義を適用するために、ネットワークルール定義を使用するネットワークポリシーを作成できます。詳細については、 ネットワークポリシーを使用したネットワークトラフィックの制御 をご参照ください。
注釈
ネットワークルールを使用したプライベートエンドポイントへのアクセスのブロックは、Google Cloud では(まだ)サポートされていません。
PrivateLink専用アカウントへのパブリックアクセスを無効化する¶
Snowflakeアカウントで、すべてのSnowflakeサービスエンドポイントへのパブリックアクセスを無効にするには:
アカウントへのプライベート接続を確認または確立します。
SYSTEM$ENFORCE_PRIVATELINK_ACCESS_ONLY 関数を呼び出します。
プライベートリンクのみのアカウントへのパブリックアクセスの復元¶
Snowflakeアカウント内のすべてのSnowflakeサービスエンドポイントへのパブリックアクセスを復元するには、 SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY 関数を呼び出します。
パブリックアクセスを復元する関数へのアクセス制限¶
インバウンドネットワークトラフィックのパブリックアクセスを復元することをアカウント管理者に制限したい場合は、Snowflakeにアカウントの変更するをリクエストする必要があります。
SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY 関数にアクセスを制限するには:
Snowflakeサポート にお問い合わせください。
アカウント用の SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY 関数へのアクセス制限するよう、Snowflakeにリクエストしてください。