Mehrstufige Authentifizierung wird standardmäßig für neue Snowflake-Konten erzwungen (ausstehend)¶
Achtung
Diese Verhaltensweisen sind im Bundle 2024_08 enthalten.
Den aktuellen Status des Bundles finden Sie unter Bundle-Verlauf.
Wenn dieses Verhaltensänderungs-Bundle aktiviert ist, verhalten sich neu erstellte Snowflake-Konten wie folgt:
- Vor der Änderung:
Keine integrierte Authentifizierungsrichtlinie, die Benutzer dazu zwingt, sich bei mehrstufigen Authentifizierungen (MFA) für neu erstellte Snowflake-Konten anzumelden.
- Nach der Änderung:
Eine neue integrierte Authentifizierungsrichtlinie, die Benutzer dazu zwingt, sich mit MFA in neu erstellten Snowflake-Konten anzumelden, wenn der Benutzer die Authentifizierung per Kennwort verwendet und die Eigenschaft TYPE für
PERSONoderNULLeingestellt ist.Testkonten sind von der neuen integrierten Authentifizierung ausgenommen. Wenn ein Testkonto in ein kostenpflichtiges Konto umgewandelt wird, verfügt das kostenpflichtige Konto über eine integrierte Authentifizierung, die die MFA erfordert.
Leserkonten sind von der neuen integrierten Authentifizierung ausgenommen.
Empfehlungen für neue Konten¶
Wenn Sie ein neues Konto erstellen, weisen Sie Ihrem Konto einen ACCOUNTADMIN zu. Diese Verhaltensänderung erzwingt die mehrstufige Authentifizierung (MFA) bei neuen Snowflake-Konten. Je nachdem, ob ein Mensch oder ein Dienst die Rolle ACCOUNTADMIN verwendet, müssen Sie angeben, ob Sie eine Anmeldung mit MFA für den ACCOUNTADMIN erzwingen möchten, um Aussperrungen zu verhindern oder um Ihr Konto zu sichern.
Folgen Sie einem der folgenden Abschnitte, abhängig von Ihrer Einrichtung:
Erzwingen Sie die Anmeldung MFA bei einem menschlichen ACCOUNTADMIN
Verhindern, dass die MFA einem nicht menschlichen ACCOUNTADMIN aufgezwungen wird
Kennwortauthentifizierung für einen nicht-menschlichen ACCOUNTADMIN zulassen
Erzwingen Sie die Anmeldung MFA bei einem menschlichen ACCOUNTADMIN¶
Wenn ein Mensch direkt die Rolle ACCOUNTADMIN auf Ihrem Konto verwendet, können Sie Ihr Konto absichern, indem Sie bei der Erstellung des Kontos den ACCOUNTADMIN zwingen, sich mit MFA anzumelden.
Führen Sie die folgende SQL-Anweisung bei der Erstellung eines Kontos aus, um festzulegen, dass ein Mensch die Rolle ACCOUNTADMIN verwendet und die Anforderung hat, sich mit MFA zu registrieren:
CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;
Verhindern, dass die MFA einem nicht menschlichen ACCOUNTADMIN aufgezwungen wird¶
Wenn ein Mensch nicht die Rolle ACCOUNTADMIN auf Ihrem Konto verwendet, müssen Sie verhindern, dass die Anmeldung mit MFA erzwungen wird, damit der Dienst, der die Rolle ACCOUNTADMIN verwendet, erfolgreich ausgeführt werden kann. Ein Dienst vom Typ ACCOUNTADMIN kann keine Kennwörter zur Authentifizierung verwenden und muss bei der Erstellung eines Kontos einen ADMIN_RSA_PUBLIC_KEY angeben.
Führen Sie die folgende SQL-Anweisung bei der Erstellung eines Kontos aus, um festzulegen, dass ein Dienst die Rolle ACCOUNTADMIN nutzt, einen RSA-Schlüssel zur Authentifizierung verwendet und keine Anmeldung mit MFA erforderlich ist:
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = SERVICE
ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';
Kennwortauthentifizierung für einen nicht-menschlichen ACCOUNTADMIN zulassen¶
Wenn ein Mensch nicht die Rolle ACCOUNTADMIN auf Ihrem Konto verwendet, müssen Sie verhindern, dass die Anmeldung mit MFA erzwungen wird, damit der Dienst, der die Rolle ACCOUNTADMIN verwendet, erfolgreich ausgeführt werden kann. Die empfohlene Authentifizierungsmethode für den Diensttyp ACCOUNTADMIN ist Schlüsselpaarauthentifizierung. Doch wenn der Dienst, dieACCOUNTADMIN-ROLE verwendet und die Schlüsselpaarauthentifizierung nicht unterstützt, dann können Sie angeben, dass ein älterer Dienst die Rolle ACCOUNTADMIN verwendet.
Der ältere Dienst ACCOUNTADMIN kann sich nicht bei Snowsight anmelden, und Sie können die Parameter FIRST_NAME oder LAST_NAME nicht einstellen.
Führen Sie die folgende SQL-Anweisung bei der Erstellung eines Kontos aus, um festzulegen, dass ein älterer Dienst die Rolle ACCOUNTADMIN und ein Kennwort zur Authentifizierung verwendet und keine Anmeldung mit MFA erforderlich ist:
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = LEGACY_SERVICE
ADMIN_PASSWORD = 'hunter2';
Bemerkung
Der LEGACY_SERVICE-Typ ist eine vorübergehende Lösung. Snowflake empfiehlt Ihnen dringend, eine Authentifizierung mit einem Schlüsselpaar einzurichten.
Siehe Benutzertypen für weitere Informationen über Benutzertypen und deren Beschränkungen.
Ref.: 1784