CREATE NETWORK RULE¶
네트워크 규칙을 만들거나 기존 네트워크 규칙을 대체합니다.
구문¶
CREATE [ OR REPLACE ] NETWORK RULE <name>
TYPE = { IPV4 | AWSVPCEID | AZURELINKID | HOST_PORT }
VALUE_LIST = ( '<value>' [, '<value>', ... ] )
MODE = { INGRESS | INTERNAL_STAGE | EGRESS }
[ COMMENT = '<string_literal>' ]
필수 매개 변수¶
name
네트워크 규칙의 식별자입니다.
식별자 값은 알파벳 문자로 시작해야 하며 전체 식별자 문자열을 큰따옴표(예:
"My object"
)로 묶지 않는 한 공백이나 특수 문자를 포함할 수 없습니다. 큰따옴표로 묶인 식별자는 대/소문자를 구분합니다.자세한 내용은 식별자 요구 사항 섹션을 참조하십시오.
TYPE = { IPV4 | AWSVPCEID | AZURELINKID | HOST_PORT }
허용되거나 차단되는 네트워크 식별자 유형을 지정합니다. 네트워크 규칙에는 한 가지 유형만 있을 수 있습니다.
IPV4
는 네트워크 규칙에서 요청 원본의 IPv4 주소를 기반으로 네트워크 트래픽을 허용하거나 차단함을 나타냅니다.AWSVPCEID
는 네트워크 규칙에서 AWS PrivateLink 를 통한 네트워크 트래픽을 허용하거나 차단함을 나타냅니다.AZURELINKID
는 네트워크 규칙에서 Azure Private Link 를 통한 네트워크 트래픽을 허용하거나 차단함을 나타냅니다.HOST_PORT
는 네트워크 규칙에서 요청 대상의 도메인을 기반으로 나가는 네트워크 트래픽을 허용함을 나타냅니다.TYPE = HOST_PORT
인 경우MODE
매개 변수는EGRESS
로 설정해야 합니다.
VALUE_LIST = ( 'value' [, 'value', ... ] )
허용하거나 차단할 네트워크 식별자를 지정합니다.
목록의 유효한 값은 네트워크 규칙 유형에 따라 결정됩니다.
TYPE = IPV4
인 경우 각각의 값은 유효한 IPv4 주소 또는 주소 범위 여야 합니다.TYPE = AWSVPCEID
인 경우 각각의 값은 AWS S3 엔드포인트 의 유효한 VPCE ID여야 합니다. VPC ID는 지원되지 않습니다.TYPE = AZURELINKID
인 경우 각각의 값은 Azure Private Endpoint 의 유효한 LinkID여야 합니다. SYSTEM$GET_PRIVATELINK_AUTHORIZED_ENDPOINTS 함수를 실행하여 계정과 연결된 LinkID를 검색합니다.TYPE = HOST_PORT
인 경우 각각의 값은 유효한 도메인이어야 합니다. 선택적으로, 포트 또는 포트 범위도 포함할 수 있습니다.유효한 포트 범위는 1~65535입니다. 포트를 지정하지 않으면 기본값은 443입니다. 외부 네트워크 위치가 동적 포트를 지원하는 경우 가능한 모든 포트를 지정해야 합니다.
모든 포트에 대한 액세스를 허용하려면 포트를 0으로 정의하십시오. 예:
company.com:0
.
MODE = { INGRESS | INTERNAL_STAGE | EGRESS }
네트워크 규칙으로 제한하는 사항을 지정합니다.
INGRESS
INGRESS
모드의 동작은 네트워크 규칙의TYPE
속성값에 따라 달라집니다.TYPE=IPV4
인 경우 기본적으로 네트워크 규칙은 Snowflake 서비스에 대한 액세스만 제어합니다.계정 관리자가 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 매개 변수를 활성화하면
MODE=INGRESS
및TYPE=IPV4
는 AWS 내부 스테이지도 보호합니다.TYPE=AWSVPCEID
인 경우 네트워크 규칙은 Snowflake 서비스에 대한 액세스만 제어합니다.
INTERNAL_STAGE
Snowflake 서비스에 대한 액세스를 제한하지 않고 AWS 내부 스테이지에 대한 요청을 허용하거나 차단합니다. 이 모드를 사용하려면 다음이 필요합니다.
계정 관리자는 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 매개 변수를 활성화해야 합니다.
네트워크 규칙의
TYPE
속성은AWSVPCEID
여야 합니다.
EGRESS
Snowflake가 외부 대상으로 요청을 전송하도록 허용합니다.
기본값:
INGRESS
선택적 매개 변수¶
COMMENT = 'string_literal'
네트워크 정책에 대한 설명을 지정합니다.
기본값: 값 없음
액세스 제어 요구 사항¶
이 SQL 명령을 실행하는 데 사용되는 역할 에는 최소한 다음 권한 이 있어야 합니다.
권한 |
오브젝트 |
참고 |
---|---|---|
CREATE NETWORK RULE |
스키마 |
기본적으로 스키마 소유자와 함께 ACCOUNTADMIN 및 SECURITYADMIN 역할에만 이 권한이 있습니다. 필요에 따라 추가 역할에 이 권한을 부여할 수 있습니다. |
지정된 권한 세트로 사용자 지정 역할을 만드는 방법에 대한 지침은 사용자 지정 역할 만들기 섹션을 참조하십시오.
보안 오브젝트 에 대해 SQL 작업을 수행하기 위한 역할과 권한 부여에 대한 일반적인 정보는 액세스 제어의 개요 섹션을 참조하십시오.
사용법 노트¶
네트워크 규칙에 대해 IP 주소를 지정할 때 Snowflake는 CIDR(Classless Inter-Domain Routing) 표기법 을 사용하여 IP 주소 범위를 지원합니다.
예를 들어,
192.168.1.0/24
는192.168.1.0
~192.168.1.255
범위의 모든 IPv4 주소를 나타냅니다.메타데이터 관련:
주의
고객은 Snowflake 서비스를 사용할 때 개인 데이터(사용자 오브젝트 제외), 민감한 데이터, 수출 통제 대상 데이터 또는 기타 규제 데이터가 메타데이터로 입력되지 않도록 해야 합니다. 자세한 내용은 Snowflake의 메타데이터 필드 섹션을 참조하십시오.
예¶
AWS S3 엔드포인트에서 내부 스테이지로의 트래픽을 허용하거나 차단하는 데 사용되는 네트워크 규칙을 만듭니다.
CREATE NETWORK RULE corporate_network
TYPE = AWSVPCEID
VALUE_LIST = ('vpce-123abc3420c1931')
MODE = INTERNAL_STAGE
COMMENT = 'corporate privatelink endpoint';
IP 주소 범위에서 Snowflake 서비스 및 내부 스테이지로의 트래픽을 허용하거나 차단하는 데 사용되는 네트워크 규칙을 만듭니다.
CREATE NETWORK RULE cloud_network
TYPE = IPV4
VALUE_LIST = ('47.88.25.32/27')
COMMENT ='cloud egress ip range';
Snowflake가 외부 대상으로 요청을 보낼 때 도메인 및 도메인/포트 조합을 허용하는 데 사용되는 네트워크 규칙을 만듭니다.
CREATE NETWORK RULE external_access_rule
TYPE = HOST_PORT
MODE = EGRESS
VALUE_LIST = ('example.com', 'company.com:443');