Zugriff nur auf Privatelink erzwingen¶
Übersicht¶
Jeder Snowflake-Kunde kann auf sein Snowflake-Konto unter Verwendung seiner kundenspezifischen, dedizierten Konto-URLs und generischen Snowflake-UI URLs zugreifen. Durch die Aktivierung der privaten Konnektivität werden die privaten URLs für Ihr Konto eingerichtet. Nach dem Herstellen der privaten Konnektivität müssen die privaten URLs, die Sie verwenden, um eine Verbindung mit Snowflake herzustellen, „privatelink“ enthalten. Zum Beispiel kann die Host-URL die folgenden Formate haben:
Kontoname:
https://<Name_der_Organisation>-<Name_des_Kontos>.privatelink.snowflakecomputing.comVerbindungsname:
https://<Name_der_Organisation>-<Name_der_Verbindung>.privatelink.snowflakecomputing.comKonto-Locator (alt):
https://<Konto-Locator>.<Region>.privatelink.snowflakecomputing.com
Konten, die nur Privatelink für eingehende Verbindungen mit Snowflake verwenden, werden auch als „Nur Privatelink“-Konten bezeichnet. Weitere Informationen zur Verwendung von URLs, um eine Verbindung mit Ihrem Snowflake-Konto herzustellen, finden Sie unter Verbinden mittels URL.
Sie können Ihre Sicherheitsvorkehrungen verstärken, indem Sie den öffentlichen Zugriff auf Ihre Nur-Privatelink-Konten deaktivieren. Nachdem Sie beispielsweise den öffentlichen Zugriff auf Ihre Nur-Privatelink-Konten deaktiviert haben, kann jeder, der versucht, Ihre Snowflake-Konto-URL durch Bereitstellung einer öffentlichen URL zu „erraten“, eine statische Webseite sehen, die Folgendes anzeigt: HTTP - 404 account not found. Der Snowflake Core Service prüft Anforderungen, die aus dem öffentlichen Internet eingehen, bevor eine Autorisierung angefragt wird. Die Rückgabe von HTTP - 404 account not found liefert keinen Hinweis darauf, dass das Konto existiert. Auf diese Weise werden durch das Deaktivieren des öffentlichen Zugriffs Ihre Nur-Privatelink-Konten geschützt.
Wichtig
Sie müssen die private Konnektivität zum Snowflake-Dienst aktivieren, bevor Sie den öffentlichen Zugriff auf Ihre Nur-Privatelink-Konten deaktivieren. Sie müssen sich mindestens einmal über einen privaten Endpunkt bei Snowflake angemeldet haben, bevor Sie den öffentlichen Zugriff deaktivieren. Ein beliebiger SaaS-Dienst, der die private Konnektivität nicht unterstützt, kann keine Verbindung zu Snowflake herstellen, nachdem der öffentliche Zugriff auf Ihre Nur-Privatelink-Konten deaktiviert wurde.
Deaktivieren des öffentlichen Zugriffs auf Ihre Nur-Privatelink-Konten:
Deaktiviert nur den Zugriff auf alle Snowflake-Dienstendpunkte.
Beeinflusst nicht den öffentlichen Zugriff auf interne Stagingbereich-Buckets.
Trennt keine bestehenden Verbindungen zu Ihrem Kundenkonto.
Detaillierte Einschränkungen des Netzwerkzugriffs¶
Sie können den Zugriff auf Ihr Konto detailliert definieren, indem Sie Netzwerkregeln erstellen, die den Zugriff auf das Netzwerk über bestimmte private Endpunkt-IDs beschränken. Sie können auch Netzwerkregeln definieren, um öffentlich geroutete Sitzungen zu beschränken oder abzulehnen. Weitere Informationen dazu finden Sie unter CREATE NETWORK RULE.
Um die Zugriffsdefinitionen durchzusetzen, können Sie Netzwerkrichtlinien erstellen, die Ihre Netzwerkregeldefinitionen verwenden. Weitere Informationen dazu finden Sie unter Steuern des Netzwerkdatenverkehrs mit Netzwerkrichtlinien.
Bemerkung
Das Blockieren des Zugriffs auf private Endpunkte mithilfe von Netzwerkregeln wird in Google Cloud (noch) nicht unterstützt.
Öffentlichen Zugriff auf Ihre Nur-Privatelink-Konten deaktivieren¶
So deaktivieren Sie den öffentlichen Zugriff auf alle Snowflake-Dienstendpunkte in Ihrem Snowflake-Konto:
Überprüfen Sie die private Konnektivität, oder stellen Sie die private Konnektivität zu Ihrem Konto her.
Rufen Sie die Funktion SYSTEM$ENFORCE_PRIVATELINK_ACCESS_ONLY auf.
Öffentlichen Zugriff auf Ihre Nur-Privatelink-Konten wiederherstellen¶
Um den öffentlichen Zugriff auf alle Snowflake-Dienstendpunkte in Ihrem Snowflake-Konto wiederherzustellen, rufen Sie die Funktion SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY auf.
Zugriff auf die Funktion beschränken, die den öffentlichen Zugriff wiederherstellt¶
Kunden, die ihre Kontoadministratoren daran hindern möchten, den öffentlichen Zugriff für eingehenden Netzwerkdatenverkehr wiederherzustellen, müssen bei Snowflake eine Änderung ihres Kontos anfordern.
So beschränken Sie den Zugriff auf die SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY-Funktion:
Wenden Sie sich an den Snowflake-Support.
Fordern Sie an, dass Snowflake den Zugriff auf die SYSTEM$DISABLE_PRIVATELINK_ACCESS_ONLY-Funktion für Ihr Konto beschränkt.