使用网络策略控制网络流量

使用 SQL 来使用网络策略和网络规则的功能现已正式发布。

备注

在引入网络规则之前存在的网络策略无法再在 Snowsight 中进行修改。请改用 ALTER NETWORK POLICY 命令。

您可以使用网络策略来控制对 Snowflake 服务和内部暂存区的 入站 访问。

如果要控制从 Snowflake 到外部网络目的地的 出站 流量,请参阅 外部网络访问概述

关于网络策略

默认情况下,Snowflake 允许用户通过任何计算机或设备连接到服务和内部暂存区。安全管理员(或更高级别人员)可以使用网络策略,根据请求的来源来允许或拒绝访问请求。网络策略的 允许列表 控制允许哪些请求访问 Snowflake 服务或内部暂存区,而 阻止列表 控制应明确阻止哪些请求。

网络策略不直接在其允许列表或阻止列表中指定网络标识符。相反,网络策略会将 网络规则 添加到其允许和阻止列表中。这些网络规则将相关标识符分组到逻辑单元中,这些逻辑单元将添加到网络策略的允许列表和阻止列表中。

重要

在引入网络规则之前存在的网络策略仍然有效。但是,所有新的网络策略都应使用网络规则(而不是 ALLOWED_IP_LISTBLOCKED_IP_LIST 参数)来控制来自 IP 地址的访问。最佳实践是避免在同一网络策略中使用这两种方法来限制访问。

工作流程

使用网络策略控制入站网络流量的常规工作流程是:

  1. 根据网络规则的用途和网络标识符类型 创建网络规则

  2. 创建一个或多个网络策略,其中包括包含要允许或阻止的标识符的网络规则。

  3. 为账户、用户或安全集成激活网络策略。网络策略在激活之前不会限制网络流量。

允许列表和阻止列表之间的交互

将网络规则添加到网络策略的允许名单时,不必使用阻止列表显式阻止相同类型的其他标识符;只有允许的标识符才具有访问权限。但是,不同类型的标识符不会被自动阻止。例如,如果将具有单个 IPv4 地址的 IP 网络规则添加到允许名单中,则会阻止所有其他 IPv4 地址。无需使用阻止列表来限制来自其他 IP 地址的访问。但是,除非向网络策略添加其他网络规则,否则 VPC 端点仍然具有访问权限。

如果网络策略在 ALLOWED_IP_LISTBLOCKED_IP_LIST 参数中具有相同的 IP 地址值,则 Snowflake 会首先应用 BLOCKED_IP_LIST 参数中的值。此行为也适用于 ALLOWED_NETWORK_RULE_LISTBLOCKED_NETWORK_RULE_LIST 参数。

通过私有连接,如果网络策略在 ALLOWED_NETWORK_RULE_LIST 参数中具有 VPCE ID (AWS) 或 LinkID (Azure) 网络规则,则会忽略 BLOCKED_NETWORK_RULE_LIST 参数中的 IP 网络规则,从而导致 VPCE ID 或 LinkID 网络规则优先。

例如,使用专用端点标识符(如 Azure LinkIDs 或 AWS VPCE IDs)限制访问的网络规则对来自公共网络的请求没有影响。如果要基于专用端点标识符限制访问,然后完全阻止来自公共 IPv4 地址的请求,则必须创建两个单独的网络规则,一个用于允许列表,另一个用于阻止列表。

以下网络规则可以在网络策略中组合使用,以在阻止公共网络流量的同时允许 VPCE ID。

CREATE NETWORK RULE block_public_access
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('0.0.0.0/0');

CREATE NETWORK RULE allow_vpceid_access
  MODE = INGRESS
  TYPE = AWSVPCEID
  VALUE_LIST = ('vpce-0fa383eb170331202');

CREATE NETWORK POLICY allow_vpceid_block_public_policy
  ALLOWED_NETWORK_RULE_LIST = ('allow_vpceid_access')
  BLOCKED_NETWORK_RULE_LIST=('block_public_access');
Copy

IP 范围

如果您想要允许一定范围的 IP 地址(但不包括单个 IP 地址),则可以创建两个网络规则,一个用于允许列表,另一个用于阻止列表。

例如,以下规则将允许来自 192.168.1.0192.168.1.255 范围内的所有 IP 地址(192.168.1.99 除外)的请求。该范围之外的 IP 地址也会被阻止。

CREATE NETWORK RULE allow_access_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('192.168.1.0/24');

CREATE NETWORK RULE block_access_rule
  MODE = INGRESS
  TYPE = IPV4
  VALUE_LIST = ('192.168.1.99');

CREATE NETWORK POLICY public_network_policy
  ALLOWED_NETWORK_RULE_LIST = ('allow_access_rule')
  BLOCKED_NETWORK_RULE_LIST=('block_access_rule');
Copy

网络策略优先顺序

您可以将网络策略应用于账户、安全集成或用户。如果有网络策略应用于多个账户、安全集成或用户,则最具体的网络策略将替换更通用的网络策略。以下内容概述了优先顺序:

账户:

应用于账户的网络策略是最通用的网络策略。它们被应用于安全集成或用户的网络策略覆盖。

安全集成:

应用于安全集成的网络策略会替换应用于账户的网络策略,但会被应用于用户的网络策略覆盖。

用户:

应用于用户的网络策略是最具体的网络策略。它们替换账户和安全集成的网络策略。

绕过网络策略

通过配置用户对象属性 MINS_TO_BYPASS_NETWORK_POLICY (可以通过执行 DESCRIBE USER 查看该属性),可以在设定的分钟数内临时绕过网络策略。只有 Snowflake 可以设置此对象属性的值。请与 Snowflake 支持团队 (https://community.snowflake.com/s/article/How-To-Submit-a-Support-Case-in-Snowflake-Lodge) 联系以设置此属性的值。

关于网络规则

虽然对 Snowflake 传入请求的限制最终应用于具有网络策略的账户、用户或安全集成,但管理员可以使用 网络规则 (架构级对象)组织这些限制。

每个网络规则将特定类型的请求来源的标识符分在一组。例如,一个网络规则可能包括应被允许访问 Snowflake 的所有 IPv4 地址,而另一个网络规则将应被阻止的所有专用端点分在一组。

但是,网络规则并不指定它是允许还是阻止请求来源。它只是将相关的来源组织成一个逻辑单元。管理员在创建或修改网络策略时指定是允许还是阻止该设备。

如果您已经了解将网络规则与网络策略结合使用的策略,请参阅 使用网络规则

最佳实践

  • 限制范围。 网络规则可将相关网络标识符的小单元分组在一起。以前,网络策略通常包含一个应该允许或阻止的大型单一 IP 地址列表。网络规则的引入改变了这一策略。例如,您可以通过以下方式拆分网络标识符:

    • 创建网络规则以包含北美区域的客户端 IP 地址,并为欧洲和中东区域创建不同的规则。

    • 创建一个网络规则,其目的是允许特殊人群(如高级别权限用户和服务账户用户)进行访问。此网络规则可以添加到应用于单个用户的网络策略中。

    • 创建一个网络规则,该规则的范围为一个或多个数据应用程序。

    在网络规则引入后,Snowflake 建议您也限制网络策略的范围。尽可能将网络策略的范围缩小到一组用户或安全集成,而不是整个账户。

  • 添加注释。创建网络规则时,请使用 COMMENT 属性跟踪规则应执行的操作。注释十分重要,因为 Snowflake 鼓励使用大量有针对性的小规则,而不是更少的单一规则。

    您可以使用 SHOW NETWORK RULES 命令列出所有网络规则,包括它们的注释。

支持的标识符

每个网络规则包含相同类型的一个或多个网络标识符的列表(例如,IPv4 地址规则或专用端点规则)。

网络规则的 TYPE 属性表示网络规则包含的标识符类型。

有关可以使用网络规则限制的标识符类型的完整列表,请参阅 支持的网络标识符

保护 Snowflake 服务

本部分讨论如何使用网络规则限制仅对 Snowflake 服务的访问。如果要限制对服务和 AWS 上账户内部暂存区的访问,请参阅 保护 AWS 上的内部暂存区

要限制对 Snowflake 服务的访问,请将网络规则的 MODE 属性设置为 INGRESS

然后可以使用 TYPE 属性指定应允许或阻止的 标识符

保护 AWS 上的内部暂存区

本部分讨论如何使用网络规则限制对 AWS 上的内部暂存区的访问,包括如何同时限制对 Snowflake 服务和内部暂存区的访问。它包括:

备注

您不能使用网络规则限制对 Microsoft Azure 上的内部暂存区的访问。但是,如果您使用的是 Azure 专用链接 (https://learn.microsoft.com/en-us/azure/private-link/private-link-overview),则可以阻止对 Azure 上内部暂存区的所有公共访问。有关详细信息,请参阅 阻止公共访问(可选)

限制

  • 为安全集成激活的网络策略不会限制对内部暂存区的访问。

  • 网络规则限制不适用于使用 GET_PRESIGNED_URL 函数生成的预签名 URL 访问内部暂存区的请求。

先决条件:启用内部暂存区限制

要使用网络规则限制对账户内部暂存区的访问,账户管理员必须启用 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 参数。在启用此参数之前,无论规则的模式如何,网络规则都不会保护内部暂存区。

要允许网络规则限制对内部暂存区的访问,请执行:

USE ROLE ACCOUNTADMIN;
ALTER ACCOUNT SET ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES = true;
Copy

内部暂存区指南

除了网络规则的 最佳实践 外,在创建网络规则以限制对内部暂存区的访问时,还应遵循以下准则。

  • 限制标识符数量。由于 AWS S3 会话策略强制执行的限制,保护内部暂存区的策略必须符合以下限制:

    • 对于包含 IPv4 地址的网络规则,每个规则不能包含 超过 10 个 IP 地址范围。如果地址范围超过 10 个,请创建其他网络规则。

    • 当您根据 VPC 端点的 VPCE IDs 允许或阻止流量时,每个网络策略的累计限制为 7 个 VPCE IDs。例如,如果一个网络规则包含 4 个 VPCE IDs,而另一个也包含 4 个 VPCE IDs,则不能将这两个规则添加到同一个网络策略。

    如果从 AWS STS 中提取限定范围的凭据时遇到 PolicySizeExceeded 异常,请将网络标识符分解为更小的网络规则。

  • 使用相同的规则来保护服务和内部暂存区。当规则包含 IPv4 地址且网络规则的模式为 INGRESS 时,单一规则可以同时保护 Snowflake 服务和账户的内部暂存区。Snowflake 建议使用单一规则,即使访问服务的 IP 地址与访问内部暂存区的 IP 地址不同也是如此。这种方法改进了组织、管理和审计。

  • 测试网络策略。Snowflake 建议使用用户级别网络策略测试网络规则。如果从 AWS STS 中提取限定范围的凭据时遇到 PolicySizeExceeded 异常,请将网络标识符分解为更小的网络规则。

仅保护内部暂存区的策略

要限制对 AWS 内部暂存区的访问而不影响网络流量访问 Snowflake 服务的方式,请使用以下设置创建网络规则:

  • MODE 参数设置为 INTERNAL_STAGE

  • TYPE 参数设置为 AWSVPCEID

备注

您不能根据请求的 IP 地址限制对内部暂存区的访问,而不限制对 Snowflake 服务的访问。

保护服务和内部暂存区的策略

当限制对 Snowflake 服务和内部暂存区的访问时,实施的策略会根据网络流量是通过公共互联网还是通过 AWS 专用链接而有所不同。

在下面的比较中,“公共”表示到服务或内部暂存区的流量正在穿过公共互联网,而“专用”表示流量正在使 AWS 专用链接。找到与您的环境相匹配的组合,然后相应地选择实施策略。

服务连接

内部暂存区连接

实施策略

公共

公共

使用 TYPE=IPV4MODE=INGRESS 创建单个网络规则。包括访问服务和内部暂存区的所有 IP 地址。

专用

专用

策略取决于您是要使用专用 IP 地址限制访问,还是要使用 VPC 端点的 VPCE ID 限制访问:

  • (推荐) 如果使用 VPCE IDs,则必须创建两个网络规则,即使同一个 VPC 端点同时连接到服务和内部暂存区。

    • 对于服务,请使用 TYPE=AWSVPCEIDMODE=INGRESS 创建网络规则。

    • 对于内部暂存区,请使用 TYPE=AWSVPCEIDMODE=INTERNAL_STAGE 创建网络规则。

  • 如果使用专用 IP 地址,请使用 TYPE=IPV4MODE=INGRESS 创建网络规则。包括访问服务和内部暂存区的所有专用 IP 地址。

公共[1]_

专用

策略取决于您是要使用专用 IP 地址限制对内部暂存区访问,还是要使用 VPC 端点的 VPCE ID 限制访问:

  • (推荐) 如果使用 VPCE IDs,请创建两个网络规则,一个用于服务,一个用于内部暂存区。

    • 对于服务,请使用 TYPE=IPV4MODE=INGRESS 创建网络。

    • 对于内部暂存区,请使用 TYPE=AWSVPCEIDMODE=INTERNAL_STAGE 创建网络规则。

  • 如果使用专用 IP 地址,请使用 TYPE=IPV4MODE=INGRESS 创建单个网络规则。包括访问服务和内部暂存区的所有 IP 地址。

专用

公共[1]_

必须为服务使用专用 IPs(不能使用 VPCE IDs)。使用 TYPE=IPV4MODE=INGRESS 创建单个网络规则。包括访问服务和内部暂存区的所有 IP 地址。

使用网络规则

您可以使用 Snowsight 或 SQL 管理网络规则的生命周期。

创建网络规则

您需要对架构具有 CREATE NETWORK RULE 权限才能创建网络规则。默认情况下,只有 ACCOUNTADMIN 和 SECURITYADMIN 角色以及架构所有者才具有此权限。

网络策略将使用的网络规则的模式必须是 INGRESSINTERNAL STAGE

要更好地了解创建网络规则的最佳实践和策略,请参阅 关于网络规则

您可以使用 Snowsight 或执行 SQL 命令来创建网络规则:

Snowsight:

  1. 登录 Snowsight。

  2. 选择 Admin » Security

  3. 选择 Network Rules 选项卡。

  4. 选择 + Network Rule

  5. 输入网络规则的名称。

  6. 选择网络规则的架构。网络规则是架构级对象。

  7. (可选)为网络规则添加描述性注释,以帮助组织并维护架构中的网络规则。

  8. Type 下拉列表中,选择在网络规则中定义的 标识符类型。对于与网络策略一起使用的网络规则,Host Port 类型不是有效选项。

  9. Mode 下拉列表中,选择 IngressInternal Stage。对于与网络策略一起使用的网络规则,Egress 模式不是有效选项。

  10. 输入以逗号分隔的标识符列表,在将网络规则添加到网络策略时,将允许或阻止这些标识符。此列表中的标识符必须都是在 Type 下拉列表中指定的类型。

  11. 选择 Create Network Policy

SQL:

管理员可以执行 CREATE NETWORK RULE 命令来创建新的网络规则,指定网络标识符列表以及这些标识符的类型。

例如,要使用自定义角色创建可用于允许或阻止来自一定范围 IP 地址的流量的网络规则,请执行以下操作:

GRANT USAGE ON DATABASE securitydb TO ROLE network_admin;
GRANT USAGE ON SCHEMA securitydb.myrules TO ROLE network_admin;
GRANT CREATE NETWORK RULE ON SCHEMA securitydb.myrules TO ROLE network_admin;
USE ROLE network_admin;

CREATE NETWORK RULE cloud_network TYPE = IPV4 VALUE_LIST = ('47.88.25.32/27');
Copy

修改网络规则

您可以修改现有网络规则的标识符和注释,但不能修改其类型、模式、名称或架构。

您可以使用 Snowsight 或 SQL 在现有网络规则中添加或删除标识符和注释。

Snowsight:

  1. 登录 Snowsight。

  2. 选择 Admin » Security

  3. 选择 Network Rules 选项卡。

  4. 找到网络规则,选择 ... 按钮,然后选择 Edit

  5. 修改以逗号分隔的标识符列表或注释。

  6. 选择 Update Network Rule

SQL:

执行 ALTER NETWORK RULE 语句。

使用网络策略

将网络标识符分组到网络规则中后,即可将这些网络规则添加到新的或现有网络策略的允许列表和阻止列表中。可以向网络策略添加的网络规则数量没有限制。

有关网络策略如何控制对 Snowflake 服务和内部暂存区的入站访问的一般信息,请参阅 关于网络策略

创建网络策略

只有安全管理员(即具有 SECURITYADMIN 角色的用户)或更高级别的角色,或者 具有全局 CREATE NETWORK POLICY 权限的角色可以创建网络策略。网络策略的所有权可以转移到另一个角色。

小心

0.0.0.0/0 指所有公共和专用 IPv4 地址范围。如果在 BLOCKED_IP_LIST 参数中指定此地址,系统会阻止全部 IP 地址。在 BLOCKED_IP_LISTBLOCKED_NETWORK_RULE_LIST 参数中指定 0.0.0.0/0 时要小心,因为您可能会阻止自己的 IP 地址。

您可以使用 Snowsight 或 SQL 创建网络策略:

Snowsight:

  1. 登录 Snowsight。

  2. 选择 Admin » Security

  3. 选择 Network Policies 选项卡。

  4. 选择 + Network Policy

  5. 输入网络策略的名称。

  6. (可选)输入描述性注释。

  7. 要将网络规则添加到允许列表,请选择 Allowed,然后选择 Select rule。您可以通过重新选择 Select rule 将多个网络规则添加到允许列表。

  8. 要将网络规则添加到阻止列表,请选择 Blocked,然后选择 Select rule。您可以通过重新选择 Select rule 将多个网络规则添加到阻止列表。

  9. 选择 Create Network Policy

SQL:

执行 CREATE NETWORK POLICY 语句。

识别账户中的网络策略

您可以使用 Snowsight 或 SQL 识别账户中的网络策略。

Snowsight:

  1. 登录 Snowsight。

  2. 选择 Admin » Security

  3. 选择 Network Policies 选项卡。

SQL:

调用 POLICY_REFERENCES Information Schema 表函数,或者查询 POLICY_REFERENCESNETWORK_POLICIES Account Usage 视图。

修改网络策略

您可以使用 Snowsight 或 SQL,从现有网络策略的允许列表和阻止列表中添加或删除网络规则。如果您正在编辑使用 ALLOWED_IP_LISTBLOCKED_IP_LIST 参数(而不是网络规则)的网络策略,则必须使用 SQL 来修改网络策略。

Snowsight:

  1. 登录 Snowsight。

  2. 选择 Admin » Security

  3. 选择 Network Policies 选项卡。

  4. 找到网络策略,选择 ... 按钮,然后选择 Edit

  5. 要将网络规则添加到允许列表,请选择 Allowed,然后选择 Select rule。您可以通过重新选择 Select rule 将多个网络规则添加到允许列表。

  6. 要将网络规则添加到阻止列表,请选择 Blocked,然后选择 Select rule。您可以通过重新选择 Select rule 将多个网络规则添加到阻止列表。

  7. 要从网络策略的允许列表或阻止列表中删除网络规则,请执行以下操作:

    1. 选择 AllowedBlocked

    2. 在列表中找到网络规则,然后选择 X 以删除。

SQL:

使用 ALTER NETWORK POLICY 命令从现有网络策略中添加或删除网络规则。

将网络规则添加到允许列表或阻止列表时,您可以替换列表中的所有现有网络规则,也可以在保留现有列表的同时添加新规则。以下示例显示了其中每个选项:

  • 使用 SET 子句,将阻止列表中的网络规则替换为名为 other_network 的新网络规则:

    ALTER NETWORK POLICY my_policy SET BLOCKED_NETWORK_RULE_LIST = ( 'other_network' );
    Copy

  • 使用 ADD 子句将单个网络规则添加到现有网络策略的允许列表中。以前添加到策略允许名单的网络规则仍然有效。

    ALTER NETWORK POLICY my_policy ADD ALLOWED_NETWORK_RULE_LIST = ( 'new_rule' );
    Copy

您还可以从现有列表中删除网络规则,而无需替换整个列表。例如,从网络策略的阻止名单中删除网络规则:

ALTER NETWORK POLICY my_policy REMOVE BLOCKED_NETWORK_RULE_LIST = ( 'other_network' );
Copy

激活网络策略

在为账户、用户或安全集成激活入站网络流量之前,网络规则不会限制入站网络流量。有关如何在每个级别进行激活的说明,请参阅:

如果要激活不同级别的多个网络策略(例如,账户级和用户级网络策略),请参阅 网络策略优先顺序

为您的账户激活网络策略

为账户激活网络策略将对账户中的所有用户强制执行该策略。

只有安全管理员(即具有 SECURITYADMIN 角色的用户)或更高级别的角色,或者 具有全局 ATTACH POLICY 权限的角色可以为账户激活网络策略。

一旦策略与您的账户关联,Snowflake 就会根据允许列表和阻止列表限制对您账户的访问。任何尝试从受规则限制的网络源登录的用户都将被拒绝访问。此外,当网络策略与您的账户相关联后,已登录 Snowflake 的任何受限制用户将无法执行进一步的查询。

您可以创建多个网络策略;但是,任何时候都只能将一个网络策略与账户关联。将网络策略与您的账户关联会自动删除当前关联的网络策略(如果有)。

请注意,您当前的 IP 地址或专用端点标识符必须包含在策略的允许列表中。否则,当您激活策略时,Snowflake 将返回错误。此外,您当前的标识符不能包含在阻止列表中。

如果要在激活新策略前确定是否已存在账户级网络策略,请参阅 确定在账户或用户级别激活的网络策略

您可以使用 Snowsight 或 SQL 为您的账户激活网络策略:

Snowsight:

  1. 选择 Admin » Security

  2. 选择 Network Policies 选项卡。

  3. 找到网络策略,选择 ... 按钮,然后选择 Activate

  4. 选择 Activate policy

SQL:

执行 ALTER ACCOUNT 语句来为账户设置 NETWORK_POLICY 参数。例如:

ALTER ACCOUNT SET NETWORK_POLICY = my_policy;
Copy

为单个用户激活网络策略

要对 Snowflake 账户中的特定用户实施网络策略,请激活该用户的网络策略。一次只能为每个用户激活一个网络策略。为不同用户激活不同网络策略的能力允许进行精细控制。将网络策略与用户关联会自动删除当前关联的网络策略(如果有)。

备注

只有同时具备用户 网络策略 OWNERSHIP 权限的角色或更高级别的角色才能为单个用户激活网络策略。

一旦策略与用户关联,Snowflake 就会根据允许列表和阻止列表限制对用户的访问。如果具有激活的用户级别网络策略的用户尝试通过受规则限制的网络位置登录,则该用户访问 Snowflake 会遭拒。

此外,当用户级别的网络策略与用户相关联并且用户已登录 Snowflake 时,如果用户的网络位置与用户级别的网络策略规则不匹配,Snowflake 将阻止用户执行进一步的查询。

如果要在激活新策略前确定是否已存在用户级网络策略,请参阅 确定在账户或用户级别激活的网络策略

要为单个用户激活网络策略,请执行 ALTER USER 命令,为用户设置 NETWORK_POLICY 参数。例如,执行:

ALTER USER joe SET NETWORK_POLICY = my_policy;
Copy

激活安全集成的网络策略

某些安全集成支持激活网络策略以控制由该集成治理的网络流量。这些安全集成具有一个 NETWORK_POLICY 参数,可激活集成的网络策略。目前,SCIM 和 Snowflake OAuth 支持集成级网络策略。

备注

为安全集成激活的网络策略不会限制对内部暂存区的访问。

例如,您可以在创建新的 Snowflake OAuth 安全集成时激活网络策略。网络策略将限制尝试进行身份验证的请求的访问。

CREATE SECURITY INTEGRATION oauth_kp_int
  TYPE = oauth
  ENABLED = true
  OAUTH_CLIENT = custom
  OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
  OAUTH_REDIRECT_URI = 'https://example.com'
  NETWORK_POLICY = mypolicy;
Copy

您可以执行 ALTER SECURITY INTEGRATION ...SET NETWORK_POLICY 语句,激活现有安全集成的网络策略。

确定在账户或用户级别激活的网络策略

您可以确定在账户或用户级别激活了哪个网络策略。

账户:

  1. 选择 Admin » Security

  2. 选择 Network Policies 选项卡。

  3. Status 列进行排序以查看活动的网络策略。这是账户级策略。

或者,您可以执行以下命令来列出账户级网络策略:

SHOW PARAMETERS LIKE 'network_policy' IN ACCOUNT;
Copy
用户:

要确定是否为特定用户设置了网络策略,请执行 SHOW PARAMETERS 命令。

SHOW PARAMETERS LIKE 'network_policy' IN USER <username>;
Copy

例如:

SHOW PARAMETERS LIKE 'network_policy' IN USER jsmith;
Copy

将复制与网络策略和网络规则结合使用

功能支持的区域

此功能在中华人民共和国不可用。

Snowflake 支持网络策略和网络规则的复制和故障转移/故障恢复,包括网络策略的分配。

有关详细信息,请参阅 跨多个账户复制安全集成和网络策略

使用 Classic Console

备注

Classic Console 不发布新功能。Snowflake 建议使用 Snowsight 或 SQL,以便您可以将网络规则与网络策略结合使用。

使用 Classic Console 创建网络策略

只有安全管理员(即具有 SECURITYADMIN 角色的用户)或更高级别的角色,或者 具有全局 CREATE NETWORK POLICY 权限的角色可以创建网络策略。网络策略的所有权可以转移到另一个角色。

  1. 点击 Account Account 选项卡 » Policies。随即出现 Policies 页面。

  2. 点击 Create 按钮。随即出现 Create Network Policy 对话框。

  3. Name 字段中,输入网络策略的名称。

  4. Allowed IP Addresses 字段中,输入一个或多个允许访问此 Snowflake 账户的 IPv4 地址,地址之间用逗号分隔。

    备注

    要阻止除一组特定地址 之外 的所有 IP 地址,您只需定义一个允许的 IP 地址列表。Snowflake 会自动阻止所有未包含在允许名单中的 IP 地址。

  5. Blocked IP Addresses 字段中,输入一个或多个被拒绝访问此 Snowflake 账户的 IPv4 地址(可选),地址之间用逗号分隔。请注意,此字段不是必填,主要用于拒绝允许名单中地址范围内的特定地址。

  6. 根据需要输入网络策略的其他信息,然后点击 Finish

使用 Classic Console 修改网络策略

如果您正在使用 Classic Console,请执行以下操作以修改网络策略:

  1. 点击 Account Account 选项卡 » Policies

  2. 点击策略选中它,然后填充右侧的侧面板。

  3. 点击右侧面板中的 Edit 按钮。

  4. 根据需要修改字段:

    • 要从 Allowed IP AddressesBlocked IP Addresses 列表中删除 IP 地址,请点击条目旁边的 x

    • 要将 IP 地址添加到任一列表中,请在相应字段中输入一个或多个 IPv4 地址(以逗号分隔),然后点击 Add 按钮。

  5. 点击 Save

使用 Classic Console 激活网络策略

如果您正在使用 Classic Console,您可以通过激活账户的网络策略,为您的 Snowflake 账户中的所有用户强制实施网络策略。

  1. 点击 Account Account 选项卡 » Policies

  2. 点击策略选中它,然后填充右侧的侧面板。

  3. 点击右侧面板中的 Activate 按钮。

语言: 中文