网络规则¶
通常可以使用 SQL 处理网络规则。
网络规则是将网络标识符分组为逻辑单元的架构级对象。
限制网络流量的 Snowflake 功能可以参考网络规则,而不是直接在功能中定义网络标识符。网络规则不定义是应允许还是阻止其标识符。使用网络规则的 Snowflake 功能指定规则中的标识符是允许还是禁止。
以下功能使用网络规则控制网络流量:
支持的网络标识符¶
管理员需要能够根据与请求的来源或目的地关联的网络标识符来限制访问。网络规则允许管理员允许或阻止以下网络标识符:
- 传入请求:
IPv4 地址。Snowflake 支持使用 无类域间路由 (CIDR) 表示 (https://tools.ietf.org/html/rfc4632) 的 IP 地址范围。例如,
192.168.1.0/24表示192.168.1.0到192.168.1.255范围内的所有 IPv4 地址。AWS VPC 端点的 VPCE IDs (https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html#concepts-service-consumers)。VPC IDs 不受支持。
Azure Private Endpoint 的 LinkIDs (https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-overview)。执行 SYSTEM$GET_PRIVATELINK_AUTHORIZED_ENDPOINTS 函数来检索与账户关联的 LinkID。
- 传出请求:
域,包括端口范围。
有效端口范围为 1-65535。如果未指定端口,则默认为 443。如果外部网络位置支持动态端口,则需要指定所有可能的端口。
要允许访问所有端口,请将端口定义为 0。例如
company.com:0。
每个网络规则包含一个或多个相同类型的网络标识符的列表。网络规则的 TYPE 属性指示规则中包含的标识符的类型。例如,如果 TYPE 属性为 IPV4,那么网络规则的值列表必须包含有效的 IPv4 地址或采用 CIDR 表示法的地址范围。
传入请求与传出请求¶
网络规则的模式指示使用该规则的 Snowflake 功能是否限制传入或传出请求。
传入请求¶
网络策略 保护 Snowflake 服务和内部暂存区免受传入流量的影响。当网络规则与网络策略结合使用时,管理员可以将模式设置为以下之一:
INGRESSINGRESS模式的行为取决于网络规则的TYPE属性的值。如果
TYPE=IPV4,默认情况下,网络规则仅控制对 Snowflake 服务的访问。如果账户管理员启用 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 参数,则
MODE=INGRESS和TYPE=IPV4还会保护一个 AWS 内部暂存区。如果
TYPE=AWSVPCEID,则网络规则仅控制对 Snowflake 服务的访问。如果您想基于接口端点的 VPCE ID 限制对 AWS 内部暂存区的访问,必须使用
INTERNAL_STAGE模式创建单独的网络规则。
INTERNAL_STAGE控制对一个 AWS 内部暂存区的访问,不限制对 Snowflake 服务的访问。使用此模式需要满足以下条件:
账户管理员必须启用 ENFORCE_NETWORK_RULES_FOR_INTERNAL_STAGES 参数。
网络规则的
TYPE属性必须是AWSVPCEID。
对于 Microsoft Azure 上的账户,您无法使用网络规则来限制对内部暂存区的访问。但是,您可以 阻止所有公共网络流量 访问内部暂存区。
传出请求¶
管理员可以使用网络规则以及控制请求发送位置的功能。在这些情况下,管理员可以定义具有以下模式的网络规则:
EGRESS指示网络规则用于*从* Snowflake 发送的流量。
目前使用的是 外部网络访问,允许 UDF 或程序向外部网络位置发送请求。
创建网络规则¶
您需要对架构具有 CREATE NETWORK RULE 权限才能创建网络规则。默认情况下,只有 ACCOUNTADMIN 和 SECURITYADMIN 角色以及架构所有者才具有此权限。
您可以使用 Snowsight 或执行 SQL 命令来创建网络规则:
- Snowsight:
登录 Snowsight。
选择 Admin » Security。
选择 Network Rules 选项卡。
选择 + Network Rule。
输入网络规则的名称。
选择网络规则的架构。网络规则是架构级对象。
(可选)为网络规则添加描述性注释,以帮助组织并维护架构中的网络规则。
在 Type 下拉列表中,选择在网络规则中定义的 标识符类型。
在 Mode 下拉列表中,选择网络规则的模式。
INGRESS和INTERNAL STAGE模式表示网络规则将与网络策略一起使用以限制传入请求,EGRESS模式表示网络规则将与外部访问集成一起使用以限制传出请求。输入以逗号分隔的标识符列表,在将网络规则添加到网络策略时,将允许或阻止这些标识符。此列表中的标识符必须都是在 Type 下拉列表中指定的类型。
选择 Create Network Policy。
- SQL:
管理员可以执行 CREATE NETWORK RULE 命令来创建新的网络规则,指定网络标识符列表以及这些标识符的类型。
例如,要使用自定义角色创建可用于允许或阻止来自一定范围 IP 地址的流量的网络规则,请执行以下操作:
GRANT USAGE ON DATABASE securitydb TO ROLE network_admin; GRANT USAGE ON SCHEMA securitydb.myrules TO ROLE network_admin; GRANT CREATE NETWORK RULE ON SCHEMA securitydb.myrules TO ROLE network_admin; USE ROLE network_admin; CREATE NETWORK RULE cloud_network TYPE = IPV4 MODE = INGRESS VALUE_LIST = ('47.88.25.32/27');
IPv4 地址¶
指定网络规则的 IP 地址时,Snowflake 支持使用 无类域间路由 (CIDR) 表示法 (https://tools.ietf.org/html/rfc4632) 的 IP 地址范围。
例如,192.168.1.0/24 表示 192.168.1.0 到 192.168.1.255 范围内的所有 IPv4 地址。
识别账户中的网络规则¶
您可以使用 Snowsight 或 SQL 识别账户中的网络规则。
- Snowsight:
登录 Snowsight。
选择 Admin » Security。
选择 Network Rules 选项卡。
- SQL:
调用 NETWORK_RULE_REFERENCES Information Schema 表函数,或者查询 NETWORK_RULES 或 NETWORK_RULE_REFERENCES Account Usage 视图。
修改网络规则¶
您可以修改现有网络规则的标识符和注释,但不能修改其类型、模式、名称或架构。
要使用 Snowsight 或 SQL 从现有网络规则中添加或移除标识符和注释,请执行下列操作之一:
- Snowsight:
登录 Snowsight。
选择 Admin » Security。
选择 Network Rules 选项卡。
找到网络规则,选择 ... 按钮,然后选择 Edit。
修改以逗号分隔的标识符列表或注释。
选择 Update Network Rule。
- SQL:
执行 ALTER NETWORK RULE 语句。
网络规则的复制¶
网络规则是架构级对象,与包含这些规则的数据库一起复制。
有关复制使用网络规则的网络策略的信息,请参阅 复制网络策略。
权限和命令¶
命令 |
权限 |
描述 |
|---|---|---|
CREATE SCHEMA 的 NETWORK RULE |
创建新的网络规则。 |
|
NETWORK RULE 的 OWNERSHIP |
修改现有的网络规则。 |
|
NETWORK RULE 的 OWNERSHIP |
从系统中移除现有的网络规则。 |
|
NETWORK RULE 的 OWNERSHIP |
描述现有网络规则的属性。 |
|
NETWORK RULE 的 OWNERSHIP 或 SCHEMA 的 USAGE |
列出系统中的所有网络规则。 |