네트워크 정책

네트워크 정책은 Snowflake 서비스의 네트워크 구성을 관리하기 위한 옵션을 제공합니다.

네트워크 정책에서는 사용자 IP 주소를 기준으로 사용자 계정에 대한 액세스 제한을 허용합니다. 실질적으로 네트워크 정책을 사용하면 원하는 경우 IP 허용 목록 및 IP 차단 목록 을 만들 수 있습니다.

이 항목의 내용:

개요

기본적으로 Snowflake는 사용자가 모든 컴퓨터 또는 디바이스 IP 주소에서 서비스에 연결하는 것을 허용합니다. 보안 관리자(또는 이상)는 1개 IP 주소 또는 주소 목록에 대한 액세스를 허용하거나 거부하는 네트워크 정책을 만들 수 있습니다. 현재 네트워크 정책은 인터넷 프로토콜 버전 4(즉, IPv4) 주소만 지원합니다.

충분한 권한이 있는 관리자는 원하는 만큼 네트워크 정책을 만들 수 있습니다. 네트워크 정책은 계정 또는 개별 사용자 수준에서 활성화 되어야 활성화됩니다. 네트워크 정책을 활성화하려면 계정 또는 사용자 속성을 수정하고 네트워크 정책을 오브젝트에 할당하십시오. 계정 또는 특정 사용자에게 한 번에 하나의 네트워크 정책만 할당할 수 있습니다.

CIDR 표기법

Snowflake는 CIDR(즉, Classless Inter-Domain Routing) 표기법 을 사용한 IP 주소 범위 지정을 지원합니다. CIDR 표기법에서 선택 사항 서브넷은 접두사 길이를 나타내는 10진수로 표시됩니다.

ip_address[/prefix_length]

예를 들어, 192.168.1.0/24192.168.1.0 ~ 192.168.1.255 범위의 모든 IP 주소를 나타냅니다.

허용/차단 주소 목록의 예

Snowflake는 현재 IP 주소를 차단하는 네트워크 정책 설정을 허용하지 않습니다. 현재 IP 주소를 차단하는 네트워크 정책을 생성할 때 오류 메시지가 표시됩니다.

Snowflake 네트워크 정책을 사용한 허용 및 차단 IP 주소 범위를 정의하는 대표적인 예는 다음과 같습니다.

192.168.1.0 ~ 192.168.1.255 범위(명시적으로 차단된 192.168.1.99 제외)의 모든 IP 주소를 허용합니다. 또한, 기타 모든 IP 주소가 차단됩니다.

- Allowed IP Addresses: 192.168.1.0/24
- Blocked IP Addresses: 192.168.1.99

192.168.1.0192.168.1.100 IP 주소만 계정에 액세스하는 것이 허용됩니다.

- Allowed IP Addresses: 192.168.1.0,192.168.1.100
- Blocked IP Addresses: N/A

현재 IP 주소가 192.168.1.0 이고 다른 모든 IP 주소를 차단하는 것으로 가정해 보겠습니다.

- Allowed IP addresses: 192.168.1.0
- Blocked IP addresses: 192.168.1.0/0

중요

허용 또는 차단 IP 주소에서 CIDR 표기법이 /0prefix_length 로 사용하는 경우 Snowflake는 CIDR 표기법을 0.0.0.0 으로 평가합니다.

그러나 /0 prefix_length 의 IP 주소가 유효한 경우에는 이 표기법을 사용할 때 유의해야 합니다. 네트워크 정책에 따라, 0 접두사를 사용하면 모든 IP 주소가 허용되거나 현재 IP 주소를 제외한 모든 주소가 차단될 수 있습니다.

네트워크 정책 우회하기

사용자 오브젝트 속성인 MINS_TO_BYPASS_NETWORK_POLICY 를 구성하여 설정된 분 동안 일시적으로 네트워크 정책을 우회할 수 있으며, 이는 DESCRIBE USER 를 실행하여 확인할 수 있습니다. Snowflake만 이 오브젝트 속성에 대한 값을 설정할 수 있습니다. 이 속성에 대한 값을 설정하려면 Snowflake 지원 에 문의해 주십시오.

네트워크 정책 만들기

참고

보안 관리자(즉, SECURITYADMIN 역할의 사용자) 이상 또는 전역 CREATE NETWORK POLICY 권한이 있는 역할만 네트워크 정책을 만들 수 있습니다. 네트워크 정책의 소유권은 다른 역할로 이전할 수 있습니다.

Snowsight, classic web interface 또는 SQL을 사용하여 네트워크 정책을 만들 수 있습니다.

Snowsight
  1. Admin » Security » Network Policies 를 클릭합니다.

  2. 페이지의 오른쪽 상단 모서리에 있는 + Network Policy 버튼을 클릭합니다. New network policy 대화 상자가 열립니다.

  3. 다음 속성을 지정합니다.

    속성

    설명

    정책 이름

    네트워크 정책의 식별자로, 계정에 고유한 식별자여야 합니다.

    식별자는 알파벳 문자로 시작해야 하며 전체 식별자 문자열을 큰따옴표(예: "My object")로 묶지 않는 한 공백이나 특수 문자를 포함할 수 없습니다.

    큰따옴표로 묶인 식별자도 대/소문자를 구분합니다.

    자세한 내용은 식별자 요구 사항 섹션을 참조하십시오.

    허용 IP주소

    Snowflake 계정으로의 액세스가 허용되는 1개 이상의 IPv4 주소로 구성된 쉼표로 구분된 목록입니다. 이것을 허용 목록 이라고 합니다. Snowflake는 허용 목록에 포함되지 않은 모든 IP 주소를 자동으로 차단합니다.

    각 IP 주소는 CIDR(Classless Inter-Domain Routing) 표기법을 사용하여 다양한 주소를 포함할 수 있습니다.

    자세한 내용은 이 항목의 CIDR 표기법 을 참조하십시오.

    예를 들어 이 항목의 허용/차단 주소 목록의 예 를 참조하십시오.

    차단 IP주소

    Snowflake 계정으로의 액세스가 거부되는 1개 이상의 IPv4 주소로 구성된 쉼표로 구분된 목록입니다. 이를 차단 목록이라고 합니다.

    Allowed IP Addresses 목록의 IP 주소 범위에 대한 액세스를 허용하지만 범위 내에 있는 1개 이상의 IP 주소에 대한 액세스를 거부하려는 경우에만 이 매개 변수를 설정합니다.

    각 IP 주소는 CIDR(Classless Inter-Domain Routing) 표기법을 사용하여 다양한 주소를 포함할 수 있습니다.

    자세한 내용은 이 항목의 CIDR 표기법 을 참조하십시오.

    예를 들어 이 항목의 허용/차단 주소 목록의 예 를 참조하십시오.

    설명

    네트워크 정책에 대한 설명을 지정합니다.

  4. Create network policy 버튼을 클릭합니다.

Classic Web Interface
  1. Account Account tab » Policies 를 클릭합니다. Policies 페이지가 열립니다.

  2. Create 버튼을 클릭합니다. Create Network Policy 대화 상자가 나타납니다.

  3. Name 필드에 네트워크 정책의 이름을 입력합니다.

  4. Allowed IP Addresses 필드에 이 Snowflake 계정으로의 액세스가 허용되는 1개 이상의 IPv4 주소를 쉼표로 구분하여 입력합니다.

    참고

    특정 주소 세트를 제외한 모든 IP 주소를 차단하려면 허용 IP 주소 목록만 정의하면 됩니다. Snowflake는 허용 목록에 포함되지 않은 모든 IP 주소를 자동으로 차단합니다.

  5. 선택적으로 Blocked IP Addresses 필드에 이 Snowflake 계정으로의 액세스가 거부되는 1개 이상의 IPv4 주소를 쉼표로 구분하여 입력합니다. 이 필드는 필수가 아니며 주로 허용 목록의 주소 범위에서 특정 주소를 거부하기 위한 용도로 사용됨에 유의하십시오.

    조심

    • 네트워크 정책에 허용 및 차단 IP 주소 목록이 모두 포함되는 경우 Snowflake는 차단 IP 주소 목록을 우선 적용합니다.

    • 0.0.0.0/0 을 차단 IP 주소 목록에 추가하지 마십시오. 0.0.0.0/0 은 《로컬 시스템의 모든 IPv4 주소》로 해석됩니다. Snowflake는 이 목록을 우선 확인하므로 이로 인해 사용자 본인의 액세스가 차단될 수 있습니다. 또한, 이 IP 주소를 허용 IP 주소 목록에 포함할 필요도 없습니다.

  6. 필요한 경우 네트워크 정책에 대한 기타 정보를 입력한 후 Finish 를 클릭합니다.

SQL

CREATE NETWORK POLICY 문을 실행합니다.

네트워크 정책 보기

Snowsight, classic web interface 또는 SQL을 사용하여 네트워크 정책에 대한 정보를 확인합니다.

참고

네트워크 정책에 대한 OWNERSHIP 권한이 있는 역할 또는 그보다 상위의 역할만 네트워크 정책에 대한 세부 정보를 볼 수 있습니다.

Snowsight

Select Admin » Security » Network Policies » <정책_이름>.

Classic Web Interface

Account Account tab » Policies » <정책_이름> 을 클릭합니다.

SQL

다음 문 중 1개를 실행합니다.

계정에 대한 네트워크 정책 활성화하기

Snowflake 계정의 모든 사용자에 대해 네트워크 정책을 적용하려면 계정에 대한 네트워크 정책을 활성화하십시오.

참고

개별 사용자에 대해 네트워크 정책이 활성화된 경우 사용자 수준 네트워크 정책이 우선합니다. 사용자 수준에서의 네트워크 정책 활성화에 대한 자세한 내용은 이 항목의 개별 사용자에 대한 네트워크 정책 활성화하기 를 참조하십시오.

참고

이 작업은 다음 역할 중 하나로 제한됩니다.

  • 보안 관리자(즉, SECURITYADMIN 역할이 있는 사용자) 또는 더 상위의 역할.

  • ATTACH POLICY 전역 권한이 부여된 역할.

정책이 사용자 계정과 연결되면 Snowflake는 허용 IP 주소 목록 및 차단 IP 주소 목록에 따라 계정에 대한 액세스를 제한합니다. 규칙에 의해 제한되는 IP 주소에서 로그인을 시도하는 모든 사용자는 액세스가 거부됩니다. 또한, 네트워크 정책이 계정과 연결된 경우 이미 Snowflake에 로그인한 제한 사용자는 쿼리를 추가적으로 실행할 수 없습니다.

보안 관리자 또는 이상은 여러 네트워크 정책을 생성할 수 있지만, 한 번에 1개의 네트워크 정책만 계정에 연결할 수 있습니다. 계정에 네트워크 정책을 연결하면 현재 연결된 네트워크 정책(있는 경우)이 자동으로 제거됩니다.

현재 IP 주소가 반드시 정책의 허용 IP 주소 목록에 포함되어야 함에 유의하십시오. 그렇지 않으면 정책을 활성화할 때 Snowflake에서 오류가 반환됩니다. 또한, 사용자의 현재 IP 주소는 차단 IP 목록에 포함될 수 없습니다.

Snowsight, classic web interface 또는 SQL을 사용하여 네트워크 정책을 계정에 연결할 수 있습니다.

Snowsight
  1. Admin » Security » Network Policies 를 클릭합니다.

  2. 활성화할 정책의 오른쪽에 있는 Activate Policy 버튼을 클릭합니다.

Classic Web Interface
  1. Account Account tab » Policies 를 클릭합니다.

  2. 정책을 클릭하여 선택하고 오른쪽의 측면 패널을 채웁니다.

  3. 오른쪽 패널의 Activate 버튼을 클릭합니다.

SQL

NETWORK_POLICY 계정 매개 변수를 사용하여 네트워크 정책을 설정하는 ALTER ACCOUNT 문을 실행합니다.

개별 사용자에 대한 네트워크 정책 활성화하기

Snowflake 계정의 특정 사용자에 대해 네트워크 정책을 적용하려면 사용자에 대한 네트워크 정책을 활성화하십시오. 각 사용자에 대해 한 번에 한 네트워크 정책만 활성화할 수 있지만, 세분화된 제어를 위해 다른 사용자에 대해 다른 네트워크 정책을 활성화할 수 있습니다. 사용자와 네트워크 정책을 연결하면 현재 연결된 네트워크 정책(있는 경우)이 자동으로 제거됩니다.

참고

사용자 네트워크 정책 모두에 대한 OWNERSHIP 권한이 있는 역할 또는 그 이상의 역할만이 개별 사용자에 대한 네트워크 정책을 활성화할 수 있습니다.

정책이 사용자와 연결되면, Snowflake는 허용 IP 주소 목록 및 차단 IP 주소 목록에 따라 사용자에 대한 액세스를 제한합니다. 사용자 수준 네트워크 정책이 활성화된 사용자가 규칙에 의해 제한되는 IP 주소로부터 로그인을 시도하면 해당 사용자는 Snowflake에 대한 액세스가 거부됩니다.

또한, 사용자 수준 네트워크 정책이 사용자와 연결되어 있고 사용자가 이미 Snowflake에 로그인되어 있는 경우 사용자의 IP 주소가 사용자 수준 네트워크 정책 규칙과 일치하지 않으면 Snowflake는 해당 사용자의 추가 쿼리를 실행을 허용하지 않습니다.

개별 사용자에 대한 네트워크 정책을 활성화하려면 ALTER USER 를 사용하여 사용자에 대한 NETWORK_POLICY 매개 변수를 설정합니다.

네트워크 정책 수정하기

네트워크 정책은 Snowsight, classic web interface 또는 SQL을 통해 수정할 수 있으며, 특히 허용 및 차단 주소 목록에서 IP 주소를 추가하거나 제거할 수 있습니다.

네트워크 정책 속성에 대한 설명은 이 항목의 네트워크 정책 만들기 를 참조하십시오.

Snowsight
  1. Admin » Security » Network Policies 를 클릭합니다.

  2. » Edit Policy 네트워크 정책 행에서 작업() 버튼을 클릭합니다. Edit Policy 대화 상자가 열립니다.

  3. 속성을 편집합니다.

  4. Save changes 버튼을 클릭합니다.

Classic Web Interface
  1. Account Account tab » Policies 를 클릭합니다.

  2. 정책을 클릭하여 선택하고 오른쪽의 측면 패널을 채웁니다.

  3. 오른쪽 패널의 Edit 버튼을 클릭합니다.

  4. 필요한 대로 필드 수정:

    • Allowed IP Addresses 또는 Blocked IP Addresses 목록에서 IP 주소를 제거하려면 항목 옆의 x 를 클릭합니다.

    • 목록에 IP 주소를 추가하려면 해당 필드에 쉼표로 구분된 IPv4 주소를 1개 이상 입력한 후 Add 버튼을 클릭합니다.

  5. Save 를 클릭합니다.

SQL

ALTER NETWORK POLICY 문을 실행합니다.

계정 또는 사용자 수준에서 활성화된 네트워크 정책 식별하기

계정 또는 특정 사용자에 대하여 네트워크 정책이 설정되었는지 여부를 결정하려면 SHOW PARAMETERS 명령을 실행합니다.

계정
SHOW PARAMETERS LIKE 'network_policy' IN ACCOUNT;
사용자
SHOW PARAMETERS LIKE 'network_policy' IN USER <username>;

예:

SHOW PARAMETERS LIKE 'network_policy' IN USER jsmith;

네트워크 정책으로 복제 사용하기

Snowflake는 원본 계정에서 대상 계정으로의 네트워크 정책 복제를 지원하고, 네트워크 정책과 함께 장애 조치/장애 복구를 사용하는 것도 지원합니다.

원본 계정의 사용자 수준 네트워크 정책과 관련하여 다음 사항에 유의하십시오.

  • Snowflake는 원본 계정에서 대상 계정으로 참조(즉, 할당)를 복제합니다.

  • 원본 계정의 사용자 수준 네트워크 정책이 대상 계정의 동일 사용자에게 할당되도록 하려면:

    • 사용자는 네트워크 정책을 복제하기 전에 대상 계정에 이미 존재해야 하거나 또는

    • 복제 그룹은 CREATE REPLICATION GROUP 또는 ALTER REPLICATION GROUP 항목을 사용하여 동일 문에서 USERSNETWORK POLICIES 항목을 지정해야 합니다.

      마찬가지로, 장애 조치/장애 복구를 사용하는 경우, 장애 조치 그룹은 CREATE FAILOVER GROUP 또는 ALTER FAILOVER GROUP 항목을 사용하여 동일 문에 비밀번호 정책이 포함된 USERS 및 데이터베이스(ALLOWED_DATABASES 를 통해)도 지정해야 합니다.

자세한 내용은 여러 계정에 보안 통합 및 네트워크 정책 복제 섹션을 참조하십시오.

맨 위로 이동