Impor acesso somente por privatelink¶
Visão geral¶
Cada cliente Snowflake pode acessar sua conta Snowflake usando os URLs de conta dedicados e específicos do cliente e URLs de UI genéricos do Snowflake. A ativação da conectividade privada estabelece URLs privados para sua conta. Após estabelecer a conectividade privada, os URLs privados que você usa para se conectar ao Snowflake precisam incluir «privatelink». Por exemplo, o URL do host pode ter os seguintes formatos:
Nome da conta:
https://<nomeorg>-<nome_conta>.privatelink.snowflakecomputing.com
Nome da conexão:
https://<nomeorg>-<nomedaconexão>.privatelink.snowflakecomputing.com
Localizador de contas (herdado):
https://<localizador_conta>.<região>.privatelink.snowflakecomputing.com
Contas que usam apenas privatelink para conexões de entrada com o Snowflake também são conhecidas como contas «somente privatelink». Para obter mais informações sobre como usar URLs para se conectar à sua conta Snowflake, consulte Conexão com uma URL.
Você pode reforçar a postura de segurança desabilitando o acesso público às suas contas somente privatelink. Por exemplo, depois que você desativar o acesso público às suas contas somente privatelink, qualquer pessoa que tentar «adivinhar» o URL de sua conta Snowflake fornecendo um URL público verá uma página da Web estática que exibe: HTTP - 404 account not found
. O Snowflake Core Service verifica as solicitações recebidas da Internet pública antes de solicitar autorização. Retornar HTTP - 404 account not found
não fornece nenhuma indicação de que a conta existe. Dessa forma, desativar o acesso público protege suas contas somente privatelink.
Importante
Você deve ativar a conectividade privada com o serviço Snowflake antes de desativar o acesso público às suas contas somente privatelink. Você deve ter efetuado login no Snowflake usando um ponto de extremidade privado pelo menos uma vez antes de desativar o acesso público. Qualquer serviço SaaS que não ofereça suporte à conectividade privada não poderá se conectar ao Snowflake após desativar o acesso público às suas contas somente privatelink.
Desativação do acesso público às suas contas somente privatelink:
Desativa o acesso apenas a todos os pontos de extremidade do serviço Snowflake.
Não afeta o acesso público aos buckets de área de preparação interna.
Não corta nenhuma conexão existente com sua conta de cliente.
Restrições de acesso à rede granular¶
Você pode definir o acesso granular à sua conta criando regras de rede que restringem o acesso à rede por meio de IDs de pontos de extremidade privados específicos. Você também pode definir regras de rede para limitar ou negar sessões roteadas publicamente. Para obter mais informações, consulte CREATE NETWORK RULE.
Para aplicar as definições de acesso, você pode criar políticas de rede que utilizem suas definições de regras de rede. Para obter mais informações, consulte Controle do tráfego de rede com políticas de rede.
Nota
O bloqueio de acesso a pontos de extremidade privados usando regras de rede (ainda) não é aceito no Google Cloud.
Desativar o acesso público às suas contas somente privatelink¶
Para desativar o acesso público a todos os pontos de extremidade de serviço Snowflake em sua conta Snowflake:
Verifique ou estabeleça conectividade privada com sua conta.
Chame a função SYSTEM$ENFORCE_PRIVATELINK_ACCESS_ONLY.
Restaure o acesso público às suas contas somente privatelink¶
Para restaurar o acesso público a todos os pontos de extremidade de serviço Snowflake em sua conta Snowflake, chame a função SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY.
Restringir o acesso à função que restaura o acesso público¶
Os clientes que desejam impedir que os administradores das contas deles restaurem o acesso público ao tráfego de rede de entrada devem solicitar que o Snowflake modifique sua conta.
Para restringir o acesso à função SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY:
Entre em contato com o suporte Snowflake.
Solicite que a Snowflake restrinja o acesso à função SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY para sua conta.