Políticas de rede¶
As políticas de rede oferecem opções para o gerenciamento de configurações de rede para o serviço Snowflake.
As políticas de rede permitem restringir o acesso à sua conta com base no endereço IP do usuário. Efetivamente, uma política de rede permite criar uma lista de permissões de IPs, assim como uma lista de bloqueio de IPs, se desejado.
Neste tópico:
Visão geral¶
Por padrão, o Snowflake permite que os usuários se conectem ao serviço a partir de qualquer computador ou endereço IP de dispositivo. Um administrador de segurança (ou superior) pode criar uma política de rede para permitir ou negar acesso a um único endereço IP ou a uma lista de endereços. Atualmente, as políticas de rede suportam apenas endereços da versão do Internet Protocol 4 (isto é, IPv4).
Um administrador com permissões suficientes pode criar qualquer número de políticas de rede. Uma política de rede não é habilitada até que seja ativada no nível da conta ou do usuário individual. Para ativar uma política de rede, modifique as propriedades da conta ou do usuário e atribua a política de rede ao objeto. Somente uma única política de rede pode ser atribuída à conta ou a um usuário específico de cada vez.
Notação CIDR¶
O Snowflake suporta a especificação de intervalos de endereços IP usando a notação de Roteamento entre domínios sem classe (ou seja, CIDR). Na notação CIDR, a sub-rede opcional é expressa como um número decimal que representa o comprimento do prefixo:
ip_address[/prefix_length]
Por exemplo, 192.168.1.0/24
representa todos os endereços IP no intervalo de 192.168.1.0
a 192.168.1.255
.
Exemplos de listas de endereços permitidos/bloqueados¶
O Snowflake não permite definir uma política de rede que bloqueie seu endereço IP atual. Uma mensagem de erro resulta quando se tenta criar uma política de rede que bloqueia o endereço IP atual.
Os exemplos a seguir são representativos para definir intervalos de endereços IP permitidos e bloqueados usando uma política de rede Snowflake.
Permita todos os endereços IP no intervalo de 192.168.1.0
a 192.168.1.255
, exceto 192.168.1.99
, que está explicitamente bloqueado. Além disso, todos os outros endereços IP estão bloqueados:
- Allowed IP Addresses: 192.168.1.0/24 - Blocked IP Addresses: 192.168.1.99
Permita que somente os endereços IP 192.168.1.0
e 192.168.1.100
acessem sua conta:
- Allowed IP Addresses: 192.168.1.0,192.168.1.100 - Blocked IP Addresses: N/A
Como ignorar uma política de rede¶
É possível ignorar temporariamente uma política de rede por um determinado número de minutos configurando a propriedade do objeto do usuário MINS_TO_BYPASS_NETWORK_POLICY
, que pode ser visualizada executando DESCRIBE USER. Somente o Snowflake pode definir o valor para este objeto de propriedade. Entre em contato com o suporte Snowflake para definir um valor para essa propriedade.
Criação de políticas de rede¶
Nota
Somente administradores de segurança (ou seja, usuários com a função SECURITYADMIN) ou superior ou uma função com o privilégio global CREATE NETWORK POLICY podem criar políticas de rede. A propriedade de uma política de rede pode ser transferida para outra função.
Você pode criar uma política de rede usando o Snowsight, a Classic Console ou SQL:
- Snowsight
Clique em Admin » Security » Network Policies.
Clique no botão + Network Policy no canto superior direito da página. A caixa de diálogo New network policy é aberta.
Especifique as seguintes propriedades:
Propriedade
Descrição
Policy Name
Identificador para a política de redes; deve ser único para sua conta.
O identificador deve começar com um caractere alfabético e não pode conter espaços ou caracteres especiais a menos que toda a cadeia de caracteres do identificador esteja entre aspas duplas (por exemplo,
"My object"
).Os identificadores delimitados por aspas duplas também diferenciam letras maiúsculas de minúsculas.
Para obter mais detalhes, consulte Requisitos para identificadores.
Allowed IP Addresses
Lista separada por vírgula de um ou mais endereços IPv4 que têm acesso à sua conta Snowflake. Ela é chamada de lista de permissões. O Snowflake bloqueia automaticamente todos os endereços IP não incluídos na lista de permissões.
Cada endereço IP pode cobrir uma gama de endereços usando a notação de Roteamento entre domínios sem classe (CIDR).
Para obter mais informações, consulte Notação CIDR (neste tópico).
Para exemplos, consulte Exemplos de listas de endereços permitidos/bloqueados (neste tópico).
Blocked IP Addresses
Lista separada por vírgula de um ou mais endereços IPv4 que não têm acesso à sua conta Snowflake. É chamada de lista de bloqueio.
Defina este parâmetro somente quando você estiver permitindo acesso a um intervalo de endereços IP na lista Allowed IP Addresses e quiser negar acesso a um ou mais endereços IP dentro do intervalo.
Cada endereço IP pode cobrir uma gama de endereços usando a notação de Roteamento entre domínios sem classe (CIDR).
Para obter mais informações, consulte Notação CIDR (neste tópico).
Para exemplos, consulte Exemplos de listas de endereços permitidos/bloqueados (neste tópico).
Comentário
Especifica um comentário para a política de redes.
Clique no botão Create network policy.
- Classic Console
Clique no botão Create. A caixa de diálogo Create Network Policy aparece.
No campo Name, digite um nome para a política da rede.
No campo Allowed IP Addresses, digite um ou mais endereços IPv4 que têm acesso a esta conta Snowflake, separados por vírgulas.
Nota
Para bloquear todos os endereços IP exceto para um conjunto de endereços específicos, basta definir uma lista de endereços IP permitidos. O Snowflake bloqueia automaticamente todos os endereços IP não incluídos na lista de permissões.
No campo Blocked IP Addresses, opcionalmente, digite um ou mais endereços IPv4 que não tenham acesso a esta conta Snowflake, separados por vírgulas. Observe que este campo não é obrigatório e é usado principalmente para negar endereços específicos em um intervalo de endereços na lista de permissões.
Cuidado
Quando uma política de rede inclui valores em ambas as listas de endereços IP permitidos e bloqueados, o Snowflake aplica primeiro a lista de endereços IP bloqueados.
Não adicione
0.0.0.0/0
à lista de endereços IP bloqueados.0.0.0.0/0
é interpretado como “todos os endereços IPv4 na máquina local”. Como o Snowflake resolve esta lista primeiro, isto bloquearia seu próprio acesso. Além disso, observe que não é necessário incluir este endereço IP na lista de endereços IP permitidos.
Insira outras informações para a política da rede, conforme necessário, e clique em Finish.
- SQL
Execute uma instrução CREATE NETWORK POLICY.
Visualização de políticas de rede¶
Veja informações sobre as políticas de rede no Snowsight, na Classic Console ou usando SQL:
Nota
Somente a função com o privilégio OWNERSHIP para a política de rede, ou uma função superior, pode ver detalhes da política de rede.
- Snowsight
Select Admin » Security » Network Policies » <nome_política>.
- Classic Console
- SQL
Execute uma das seguintes instruções:
Ativação de uma política de rede para sua conta¶
Para aplicar uma política de rede para todos os usuários em sua conta Snowflake, ative a política de rede para sua conta.
Nota
Se uma política de rede for ativada para um usuário individual, a política de rede em nível de usuário tem precedência. Para obter mais informações sobre a ativação de políticas de rede no nível do usuário, consulte Ativação de políticas de rede para usuários individuais (neste tópico).
Nota
Esta ação é limitada a uma das seguintes funções:
Administradores de segurança (ou seja, usuários com a função SECURITYADMIN), ou uma função superior.
Uma função à qual foi concedido o privilégio global ATTACH POLICY.
Assim que a política for associada à sua conta, o Snowflake restringe o acesso à sua conta com base na lista de endereços IP permitidos e na lista de endereços IP bloqueados. Qualquer usuário que tente fazer login a partir de um endereço IP restrito pelas regras tem o acesso negado. Além disso, quando uma política de rede é associada à sua conta, qualquer usuário restrito que já esteja conectado ao Snowflake é impedido de executar outras consultas.
Um administrador de segurança (ou superior) pode criar várias políticas de rede; entretanto, apenas uma política de rede pode ser associada a uma conta de cada vez. A associação de uma política de rede com sua conta remove automaticamente a política de rede atualmente associada (se houver).
Observe que seu endereço IP atual deve ser incluído na lista de endereços IP permitidos na política. Caso contrário, ao ativar a política, o Snowflake retorna um erro. Além disso, seu endereço IP atual não pode ser incluído na lista de endereços IP bloqueados.
Você pode associar uma política de rede com sua conta usando Snowsight, o Classic Console ou SQL:
- Snowsight
Clique em Admin » Security » Network Policies.
Clique no botão Activate Policy à direita da política que você está ativando.
- Classic Console
- SQL
Execute uma instrução ALTER ACCOUNT que define a política de rede usando o parâmetro de conta NETWORK_POLICY.
Ativação de políticas de rede para usuários individuais¶
Para aplicar uma política de rede para um usuário específico em sua conta Snowflake, ative a política de rede para o usuário. Apenas uma única política de rede pode ser ativada para cada usuário de cada vez; no entanto, diferentes políticas de rede podem ser ativadas para diferentes usuários para controle granular. Associar uma política de rede com um usuário remove automaticamente a política de rede atualmente associada (se houver).
Nota
Somente a função com o privilégio OWNERSHIP sobre o usuário e a política de rede, ou uma função superior, pode ativar uma política de rede para um usuário individual.
Uma vez que a política é associada ao usuário, o Snowflake restringe o acesso ao usuário com base na lista de endereços IP permitidos e na lista de endereços IP bloqueados. Se o usuário com uma política de rede em nível de usuário ativada tentar entrar a partir de um endereço IP restrito pelas regras, ele tem acesso negado ao Snowflake.
Além disso, quando uma política de rede em nível de usuário é associada ao usuário e este já está conectado ao Snowflake, se o endereço IP do usuário não corresponder às regras da política de rede em nível de usuário, o Snowflake impede que o usuário execute mais consultas.
Para ativar uma política de rede para um usuário individual, defina o parâmetro NETWORK_POLICY para o usuário usando ALTER USER.
Modificação de políticas de rede¶
As políticas de rede podem ser modificadas através do Snowsight, da Classic Console ou de SQL, especificamente para adicionar ou remover endereços IP da lista de endereços permitidos ou bloqueados.
Para descrições das propriedades de políticas de rede, consulte Criação de políticas de rede (neste tópico).
- Snowsight
Clique em Admin » Security » Network Policies.
Clique no botão de ações (…) na linha para uma política de rede » Edit Policy. A caixa de diálogo Edit Policy é aberta.
Edite qualquer uma das propriedades.
Clique no botão Save changes.
- Classic Console
Clique em uma política para selecioná-la e preencha o painel lateral à direita.
Clique no botão Edit no painel direito.
Modifique os campos conforme necessário:
Para remover um endereço IP da lista Allowed IP Addresses ou Blocked IP Addresses, clique no x ao lado da entrada.
Para adicionar um endereço IP a qualquer uma das listas, digite um ou mais endereços IPv4 separados por vírgula no campo apropriado, e clique no botão Add.
Clique em Save.
- SQL
Execute uma instrução ALTER NETWORK POLICY.
Identificação de uma política de rede ativada no nível da conta ou do usuário¶
Para determinar se uma política de rede está definida em sua conta ou para um usuário específico, execute o comando SHOW PARAMETERS.
- Conta
SHOW PARAMETERS LIKE 'network_policy' IN ACCOUNT;
- Usuário
SHOW PARAMETERS LIKE 'network_policy' IN USER <username>;
Por exemplo:
SHOW PARAMETERS LIKE 'network_policy' IN USER jsmith;
Uso da replicação com políticas de redes¶
O Snowflake oferece suporte à replicação e failover/failback para políticas de redes e suas atribuições de uma conta de origem para uma conta de destino.
Para obter mais detalhes, consulte Replicação de integrações de segurança e políticas de redes em múltiplas contas.