네트워크 규칙¶
네트워크 규칙으로 작업하기 위해 SQL을 사용하는 기능이 일반 공급으로 제공됩니다.
네트워크 규칙은 네트워크 식별자를 논리 단위로 그룹화하는 스키마 수준 오브젝트입니다.
네트워크 트래픽을 제한하는 Snowflake 기능은 기능에서 직접 네트워크 식별자를 정의하는 대신 네트워크 규칙을 참조할 수 있습니다. 네트워크 규칙은 해당 식별자를 허용하거나 차단할지 여부를 정의하지 않습니다. 네트워크 규칙을 사용하는 Snowflake 기능은 규칙의 식별자가 허용되거나 금지되는지 여부를 지정합니다.
다음 기능은 네트워크 규칙을 사용하여 네트워크 트래픽을 제어합니다.
네트워크 정책 은 네트워크 규칙을 사용하여 Snowflake 서비스 및 내부 스테이지에 대한 인바운드 네트워크 트래픽을 제어합니다.
외부 네트워크 액세스 는 네트워크 규칙을 사용하여 Snowflake UDF 또는 프로시저에서 외부 네트워크 위치에 대한 액세스를 제한합니다.
지원되는 네트워크 식별자¶
관리자는 요청의 원본 또는 대상과 관련된 네트워크 식별자를 기반으로 액세스를 제한할 수 있어야 합니다. 관리자는 네트워크 규칙을 통해 다음 네트워크 식별자를 허용하거나 차단할 수 있습니다.
- 수신 요청:
IPv4 주소 Snowflake는 CIDR(Classless Inter-Domain Routing) 표기법 을 사용하여 IP 주소 범위를 지원합니다. 예를 들어,
192.168.1.0/24
는192.168.1.0
~192.168.1.255
범위의 모든 IPv4 주소를 나타냅니다.AWS VPC 엔드포인트 의 VPCE ID. VPC ID는 지원되지 않습니다.
Azure 프라이빗 엔드포인트 의 LinkID. SYSTEM$GET_PRIVATELINK_AUTHORIZED_ENDPOINTS 함수를 실행하여 계정과 연결된 LinkID를 검색합니다.
- 발신 요청:
포트 범위를 포함한 도메인입니다.
유효한 포트 범위는 1~65535입니다. 포트를 지정하지 않으면 기본값은 443입니다. 외부 네트워크 위치가 동적 포트를 지원하는 경우 가능한 모든 포트를 지정해야 합니다.
모든 포트에 대한 액세스를 허용하려면 포트를 0으로 정의하십시오. 예:
company.com:0
.
각 네트워크 규칙에는 동일한 유형의 네트워크 식별자 하나 이상으로 구성된 목록이 포함됩니다. 네트워크 규칙의 TYPE
속성은 규칙에 포함된 식별자 유형을 나타냅니다. 예를 들어 TYPE
속성이 IPV4
인 경우에는 네트워크 규칙의 값 목록에 CIDR 표기법으로 표시된 유효한 IPv4 주소 또는 주소 범위가 포함되어야 합니다.
수신 요청과 발신 요청¶
네트워크 규칙의 모드는 해당 규칙을 사용하는 Snowflake 기능이 수신 요청이나 발신 요청을 제한하는지 여부를 나타냅니다.
수신 요청¶
네트워크 정책 은 Snowflake 서비스와 내부 스테이지를 수신 트래픽으로부터 보호합니다. 네트워크 규칙이 네트워크 정책과 함께 사용되는 경우 관리자는 모드를 다음 중 하나로 설정할 수 있습니다.
INGRESS
INGRESS
모드의 동작은 네트워크 규칙의TYPE
속성값에 따라 달라집니다.TYPE=IPV4
인 경우 기본적으로 네트워크 규칙은 Snowflake 서비스에 대한 액세스만 제어합니다.계정 관리자가 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 매개 변수를 활성화하면
MODE=INGRESS
및TYPE=IPV4
는 AWS 내부 스테이지도 보호합니다.TYPE=AWSVPCEID
인 경우 네트워크 규칙은 Snowflake 서비스에 대한 액세스만 제어합니다.인터페이스 엔드포인트의 VPCE ID를 기반으로 AWS 내부 스테이지에 대한 액세스를 제한하려면
INTERNAL_STAGE
모드를 사용하여 별도의 네트워크 규칙을 만들어야 합니다.
INTERNAL_STAGE
Snowflake 서비스에 대한 액세스를 제한하지 않고 AWS 내부 스테이지에 대한 액세스를 제어합니다. 이 모드를 사용하려면 다음이 필요합니다.
계정 관리자는 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 매개 변수를 활성화해야 합니다.
네트워크 규칙의
TYPE
속성은AWSVPCEID
여야 합니다.
Microsoft Azure 계정의 경우 네트워크 규칙을 사용하여 내부 스테이지에 대한 액세스를 제한할 수 없습니다. 하지만 내부 스테이지에 액세스하지 못하도록 모든 공용 네트워크 트래픽을 차단 할 수 있습니다.
발신 요청¶
관리자는 요청을 전송할 수 있는 위치를 제어하는 기능과 함께 네트워크 규칙을 사용할 수 있습니다. 이러한 경우 관리자는 다음 모드로 네트워크 규칙을 정의합니다.
EGRESS
Snowflake를 발신 위치로 해서 전송되는 트래픽에 네트워크 규칙이 사용됨을 나타냅니다.
현재, UDF 또는 프로시저가 외부 네트워크 위치에 요청을 보낼 수 있도록 하는 외부 네트워크 액세스 와 함께 사용됩니다.
네트워크 규칙 만들기¶
네트워크 규칙을 생성하려면 스키마에 대한 CREATE NETWORK RULE 권한이 필요합니다. 기본적으로 스키마 소유자와 함께 ACCOUNTADMIN 및 SECURITYADMIN 역할에만 이 권한이 있습니다.
Snowsight 를 사용하거나 SQL 명령을 실행하여 네트워크 규칙을 만들 수 있습니다.
- Snowsight:
Snowsight 에 로그인합니다.
Admin » Security 를 선택합니다.
Network Rules 탭을 선택합니다.
+ Network Rule 를 선택합니다.
네트워크 규칙의 이름을 입력합니다.
네트워크 규칙의 스키마를 선택합니다. 네트워크 규칙은 스키마 수준 오브젝트입니다.
선택적으로, 스키마에서 네트워크 규칙을 구성하고 유지 관리하는 데 도움이 되도록 네트워크 규칙에 대한 설명 주석을 추가합니다.
Type 드롭다운에서 네트워크 규칙에 정의되는 식별자 유형 을 선택합니다.
Mode 드롭다운에서 네트워크 규칙의 모드를 선택합니다.
INGRESS
및INTERNAL STAGE
모드는 네트워크 규칙이 네트워크 정책과 함께 사용되어 수신 요청을 제한한다는 것을 나타내고,EGRESS
모드는 네트워크 규칙이 외부 액세스 통합과 함께 사용되어 발신 요청을 제한한다는 것을 나타냅니다.네트워크 규칙이 네트워크 정책에 추가되는 경우 허용하거나 차단할 식별자로 구성된 쉼표로 구분된 목록을 입력합니다. 이 목록의 식별자는 모두 Type 드롭다운에 지정된 유형이어야 합니다.
Create Network Policy 를 선택합니다.
- SQL:
관리자는 네트워크 식별자와 식별자 유형의 목록을 지정하여 CREATE NETWORK RULE 명령을 실행함으로써 새 네트워크 규칙을 만들 수 있습니다.
예를 들어 사용자 지정 역할을 사용하여 IP 주소 범위의 트래픽을 허용하거나 차단하는 데 사용할 수 있는 네트워크 규칙을 만들려면 다음을 수행하십시오.
GRANT USAGE ON DATABASE securitydb TO ROLE network_admin; GRANT USAGE ON SCHEMA securitydb.myrules TO ROLE network_admin; GRANT CREATE NETWORK RULE ON SCHEMA securitydb.myrules TO ROLE network_admin; USE ROLE network_admin; CREATE NETWORK RULE cloud_network TYPE = IPV4 MODE = INGRESS VALUE_LIST = ('47.88.25.32/27');
IPv4 주소¶
네트워크 규칙에 대해 IP 주소를 지정할 때 Snowflake는 CIDR(Classless Inter-Domain Routing) 표기법 을 사용하여 IP 주소 범위를 지원합니다.
예를 들어, 192.168.1.0/24
는 192.168.1.0
~ 192.168.1.255
범위의 모든 IPv4 주소를 나타냅니다.
계정의 네트워크 규칙 식별하기¶
Snowsight 또는 SQL을 사용하여 계정의 네트워크 규칙을 식별할 수 있습니다.
- Snowsight:
Snowsight 에 로그인합니다.
Admin » Security 를 선택합니다.
Network Rules 탭을 선택합니다.
- SQL:
NETWORK_RULE_REFERENCES Information Schema 테이블 함수를 호출하거나 NETWORK_RULES 또는 NETWORK_RULE_REFERENCES Account Usage 뷰를 쿼리합니다.
네트워크 규칙 수정하기¶
기존 네트워크 규칙의 식별자와 설명은 수정할 수 있지만 해당 유형, 모드, 이름 또는 스키마는 수정할 수 없습니다.
Snowsight 또는 SQL을 사용하여 기존 네트워크 규칙에서 식별자와 설명을 추가하거나 제거하려면 다음 중 하나를 수행하십시오.
- Snowsight:
Snowsight 에 로그인합니다.
Admin » Security 를 선택합니다.
Network Rules 탭을 선택합니다.
네트워크 규칙을 찾아 … 버튼을 선택한 다음 Edit 를 선택합니다.
쉼표로 구분된 식별자 목록이나 설명을 수정합니다.
Update Network Rule 를 선택합니다.
- SQL:
ALTER NETWORK RULE 문을 실행합니다.
네트워크 규칙 복제¶
네트워크 규칙은 스키마 수준 오브젝트이며 해당 오브젝트가 포함된 데이터베이스와 함께 복제됩니다.
네트워크 규칙을 사용하는 네트워크 정책의 복제에 대한 자세한 내용은 네트워크 정책 복제하기 섹션을 참조하십시오.
권한과 명령¶
명령 |
권한 |
설명 |
---|---|---|
SCHEMA에 대한 CREATE NETWORK RULE |
새 네트워크 규칙을 만듭니다. |
|
NETWORK RULE에 대한 OWNERSHIP |
기존 네트워크 규칙을 수정합니다. |
|
NETWORK RULE에 대한 OWNERSHIP |
시스템에서 기존 네트워크 규칙을 제거합니다. |
|
NETWORK RULE에 대한 OWNERSHIP |
기존 네트워크 규칙의 속성을 설명합니다. |
|
NETWORK RULE에 대한 OWNERSHIP 또는 SCHEMA에 대한 USAGE |
시스템의 모든 네트워크 규칙을 나열합니다. |