强制执行仅限专用链接的访问权限¶
概述¶
每位 Snowflake 客户都可以使用其客户专属的专用账户 URLs 和通用 Snowflake UI URLs 账户访问他们的 Snowflake 账户。启用专用连接可为您的账户设置专用 URLs。建立专用连接后,用于连接到 Snowflake 的专用 URLs 必须包含“专用链接”。例如,主机 URL 可以采用以下格式:
账户名称:
https://<orgname>-<account_name>.privatelink.snowflakecomputing.cn连接名称:
https://<orgname>-<connectionname>.privatelink.snowflakecomputing.cn账户定位器(旧版):
https://<account_locator>.<region>.privatelink.snowflakecomputing.cn
仅使用专用链接与 Snowflake 进行入站连接的账户也被称为“仅限专用链接”账户。有关使用 URLs 连接您的 Snowflake 账户的更多信息,请参阅 与 URL 连接。
您可以通过禁用对仅限专用链接的账户的公开访问来强化您的安全态势。例如,在您禁用对仅限专用链接的账户的公开访问权限后,任何试图通过提供公共 URL“猜测”您的 Snowflake 账户 URL 的人都会看到一个静态网页,显示以下内容的:HTTP - 404 account not found。在请求授权之前,Snowflake Core Service 会检查来自公共互联网的请求。返回 HTTP - 404 account not found 不表示该账户存在。通过这种方式,禁用公共访问可以保护您的仅限专用链接的账户。
重要
使用专用连接连接到账户,然后运行 SYSTEM$ENFORCE_PRIVATELINK_ACCESS_ONLY 命令。禁用对仅限专用链接账户的公开访问后,任何不支持专用连接的 SaaS 服务都无法连接到 Snowflake。
禁用对仅限专用链接的账户的公开访问权限:
仅禁用对所有 Snowflake 服务端点的 公开 访问。
不影响公共对内部暂存区桶的访问。
细化网络访问限制¶
您可以通过创建限制通过特定专用端点 IDs 访问网络的网络规则来定义对账户的精细访问权限。您还可以定义网络规则来限制或拒绝公开路由的会话。有关更多信息,请参阅 CREATE NETWORK RULE。
要强制执行访问定义,您可以创建使用您的网络规则定义的网络策略。有关更多信息,请参阅 使用网络策略控制网络流量。
备注
尚不支持在 Google Cloud 中使用网络规则阻止访问专用端点。
禁用对仅限专用链接的账户的公开访问权限¶
要禁用对您的 Snowflake 账户中所有 Snowflake 服务端点的公开访问,请执行以下操作:
验证或建立与您的账户的专用连接。
恢复对仅限专用链接的账户的公开访问权限¶
要恢复对您的 Snowflake 账户中所有 Snowflake 服务端点的公开访问,请调用 SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY 函数。
限制对恢复公共访问权限的函数的访问权限¶
要限制账户管理员恢复入站网络流量的公共访问权限的客户必须请求 Snowflake 修改其账户。
要限制对 SYSTEM $ DISABLE_PRIVATELINK_ACCESS_ONLY 函数的访问权限,请执行以下操作:
请联系 ` Snowflake 支持部门 `_。
请求 Snowflake 限制对您账户的 SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY 函数的访问权限。