ALTER USER … ROTATE PROGRAMMATIC ACCESS TOKEN (PAT)¶
Rotiert ein programmatisches Zugriffstoken, erzeugt ein neues Token-Geheimnis mit einer verlängerten Ablaufzeit und lässt das bestehende Token-Geheimnis ablaufen. Das neue Geheimnis wird mit der gleichen DAYS_TO_EXPIRY-Eigenschaft erzeugt, die bei der ersten Erstellung des Tokens festgelegt wurde.
Bemerkung
Sie können ein programmgesteuertes Zugriffstoken in einer Sitzung nicht rotieren, in der Sie ein programmgesteuertes Zugriffstoken für denselben Benutzenden zur Authentifizierung verwendet haben.
- Siehe auch:
ALTER USER … ADD PROGRAMMATIC ACCESS TOKEN (PAT), ALTER USER … MODIFY PROGRAMMATIC ACCESS TOKEN (PAT), ALTER USER … REMOVE PROGRAMMATIC ACCESS TOKEN (PAT), SHOW USER PROGRAMMATIC ACCESS TOKENS
Syntax¶
Parameter¶
usernameDer Name des Benutzers, dem das Token zugeordnet ist.
Wenn Sie diesen Parameter weglassen, rotiert der Befehl das Token für den Benutzer, der gerade angemeldet ist (der aktive Benutzer in der aktuellen Sitzung).
ROTATE { PROGRAMMATIC ACCESS TOKEN | PAT } token_nameRotiert ein programmatisches Zugriffstoken mit dem angegebenen Namen.
Sie können das Schlüsselwort PAT als eine kürzere Form der Angabe der Schlüsselwörter PROGRAMMATIC ACCESS TOKEN verwenden.
EXPIRE_ROTATED_TOKEN_AFTER_HOURS = integerLegt die Ablaufzeit des bestehenden Token-Geheimnisses so fest, dass es nach der angegebenen Anzahl von Stunden abläuft.
Sie können dies auf den Wert
0setzen, um das aktuelle Token-Geheimnis sofort ablaufen zu lassen.Sie können hier einen Wert zwischen
0und der Anzahl der verbleibenden Stunden bis zum Ablauf des aktuellen Geheimnisses eingeben.Standard:
24
Anforderungen an die Zugriffssteuerung¶
Eine Rolle, die zur Ausführung dieser Operation verwendet wird, muss mindestens die folgenden Berechtigungen haben:
Berechtigung |
Objekt |
Anmerkungen |
|---|---|---|
MODIFY PROGRAMMATIC AUTHENTICATION METHODS |
Benutzer |
Nur erforderlich, wenn Sie ein programmatisches Zugriffstoken für einen anderen menschlichen Benutzer als sich selbst oder einen Dienstbenutzer rotieren. |
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Ausgabe¶
Die Befehlsausgabe enthält in den folgenden Spalten Informationen über das rotierte programmatische Zugriffstoken:
Spalte |
Beschreibung |
|---|---|
|
Name des rotierten Tokens. |
|
Das Token selbst. Verwenden Sie dies, um sich bei einem Endpunkt zu authentifizieren. Bemerkung Das Token erscheint nur in der Ausgabe des Befehls ALTER USER … ROTATE PROGRAMMATIC ACCESS TOKEN. Kein anderer SQL-Befehl oder keine andere Funktion gibt das Token aus oder zurück. Wenn Sie programmatisch auf dieses Token zugreifen müssen, können Sie Snowflake Scripting verwenden, um diesen Befehl auszuführen und das Token aus dem RESULTSET abzurufen. |
|
Name des Tokens, der das vorherige Geheimnis darstellt. Sie können dieses Token-Objekt verwenden, um zu bestimmen, wie lange das vorherige Geheimnis gültig bleibt. Sie können das Token auch ablaufen lassen, falls erforderlich. Sie können keine anderen Arten von Änderungen an diesem Token vornehmen. Beachten Sie, dass dieses Token-Objekt auf die maximal zulässige Anzahl von Token pro Benutzer angerechnet wird. |
Nutzungshinweise¶
Wenn Sie ein programmgesteuertes Zugriffstoken rotieren:
Snowflake verifiziert nicht, dass die Anforderungen an die Netzwerkrichtlinie und die Authentifizierungsrichtlinie erfüllt sind.
Wenn das programmgesteuerte Zugriffstoken auf eine Rolle beschränkt ist, überprüft Snowflake nicht, ob dem mit dem Token verbundenen Benutzenden diese Rolle zugewiesen wurde.
Beispiele¶
Rotieren Sie ein programmatisches Zugriffstoken, das dem Benutzer example_user zugeordnet ist:
Rotieren Sie ein programmatisches Zugriffstoken, das dem Benutzer example_user zugeordnet ist, und lassen Sie das bestehende Token-Geheimnis sofort ablaufen: