Schema:

ACCOUNT_USAGE

Ansicht CREDENTIALS

Diese Account Usage-Ansicht enthält eine Zeile für jede Anmeldeinformation, die als erster oder zweiter Faktor für die Authentifizierung verwendet wird. Diese Ansicht enthält Zeilen für die folgenden Typen von Anmeldeinformationen:

Bemerkung

Diese Ansicht enthält keine Informationen über Duo-Authentifikatoren (Duo-Push und Kennungen).

Um festzustellen, ob ein Benutzer Duo als zweiten Faktor für die Authentifizierung konfiguriert hat, können Sie den SHOW MFA METHODS-Befehl ausführen.

Diese Ansicht enthält keine gelöschten Anmeldeinformationen.

Spalten

Spalte

Datentyp

Beschreibung

CREDENTIAL_ID

NUMBER

Interner/systemgenerierter Bezeichner für die Anmeldeinformationen.

NAME

VARCHAR

Name der Anmeldeinformationen.

USER_NAME

VARCHAR

Name des Benutzers, der mit den Anmeldeinformationen verknüpft ist.

TYPE

VARCHAR

Typ der Anmeldeinformationen. Zu diesen Typen gehören:

DOMAIN

VARCHAR

Domäne der Anmeldeinformation. Zu den Domänen gehören:

Eine bestimmte Domäne kann einen oder mehrere mögliche Typen haben (angegeben in der TYPE-Spalte).

COMMENT

VARCHAR

Kommentar zu der Anmeldeinformation.

STATUS

VARCHAR

Status der Anmeldeinformation. Der Status hängt von dem Wert in der TYPE-Spalte:

  • Für TYPE = 'PAT' (programmgesteuerte Zugriffstoken) kann der Status einer der folgenden sein:

    • ACTIVE: Das programmgesteuerte Zugriffstoken kann zur Authentifizierung verwendet werden und ist noch nicht abgelaufen.

    • EXPIRED: Das programmgesteuerte Zugriffstoken kann nicht zur Authentifizierung verwendet werden, da das Ablaufdatum überschritten wurde.

    • DISABLED: Das programmgesteuerte Zugriffstoken ist deaktiviert, weil der Zugriff auf die Benutzeranmeldung deaktiviert ist oder der Benutzer gesperrt wurde und sich nicht anmelden kann.

  • Bei anderen Arten von Anmeldeinformationen kann der Status einer der folgenden sein:

    • PENDING: Der Benutzer hat den Registrierungsprozess für eine MFA-Methode gestartet, aber der Vorgang ist noch nicht abgeschlossen. Beispiel: Der Benutzer hat mit der Registrierung eines Authentifikators begonnen, den Einrichtungsvorgang für den Authentifikator aber nie abgeschlossen. Infolgedessen wird die MFA-Methode noch nicht als gültig betrachtet.

    • ENROLLED: Der Benutzer hat den Registrierungsprozess für die MFA-Methode abgeschlossen, und die MFA-Methode kann für die zweistufige Authentifizierung verwendet werden.

ADDITIONAL_DETAILS

OBJECT

Zusätzliche Details zu der Anmeldeinformation. Die zusätzlichen Details hängen von der Art der Anmeldeinformation ab (der Wert in der TYPE-Spalte):

  • Für TYPE = 'PAT' (programmgesteuerte Zugriffstoken) enthält die Spalte einen OBJECT-Wert mit den folgenden Schlüssel-Wert-Paaren:

    • Der Wert des MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT-Schlüssels ist eine Ganzzahl, die die Anzahl der Minuten angibt, in denen die -Anforderung für eine Netzwerkrichtlinie umgangen wird. Sie können diesen Wert beim Generieren des Tokens angeben.

    • Der Wert des ROLE_RESTRICTION-Schlüssels ist ein Array mit den Rollen, die während der mit diesem Token authentifizierten Sitzung zur Bewertung von Berechtigungen und zur Erstellung von Objekten verwendet werden. Sie können diese Rollen beim Generieren des Tokens angeben.

    • Für die ROTATED_TO-Schlüssel ist der Wert der Name des neueren Tokens, mit dem dieses Token während der -Rotation ersetzt wurde.

    Diese Schlüssel-Wert-Paare sind nur vorhanden, wenn die entsprechenden Eigenschaften im Token eingestellt sind. Beispiel:

    {
      "MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT":
        60,
      "ROLE_RESTRICTION": [
        "MY_ROLE"
      ],
      "ROTATED_TO": "MY_PAT_NAME"
    }
    
    Copy

    Wenn für das Token keine dieser Angaben angegeben ist, enthält die Spalte ein leeres Objekt ({}).

  • Für TYPE = 'PASSKEY' (Kennung) enthält die Spalte einen OBJECT-Wert mit dem Schlüssel-Wert-Paar aaguid. Beispiel:

    {
      "aaguid": "a12345678-..."
    }
    
    Copy
  • Für TYPE = 'TOTP' (zeitbasierte einmalige Kennung) enthält die Spalte NULL.

  • Für TYPE = 'AWS' (Workload Identity Federation) enthält die Spalte einen OBJECT-Wert mit den folgenden Schlüssel-Wert-Paaren:

    • Der Wert des aws_partition-Schlüssels ist die AWS-Partition für die Verbundidentität.

    • Der Wert des aws_account-Schlüssels ist der AWS-Kontobezeichner für die Verbundidentität.

    • Der Wert des type-Schlüssels ist der Typ der Verbundidentität. Dies kann IAM_USER oder IAM_ROLE sein.

    • Der Wert des iam_role-Schlüssels ist der Name der IAM-Rolle oder des Benutzers.

  • Für TYPE = 'AZURE' (Workload Identity Federation) enthält die Spalte einen OBJECT-Wert mit den folgenden Schlüssel-Wert-Paaren:

    • Der Wert des issuer-Schlüssels ist die Autorisierungs-URL des Entra ID-Mandanten.

    • Der Wert des subject-Schlüssels ist das Objekt ID (Prinzipal-ID), das der Azure-Workload zugewiesen ist, die eine verwaltete Identität verwendet.

  • Für TYPE = 'GCP' (Workload Identity Federation) enthält die Spalte einen OBJECT-Wert mit den folgenden Schlüssel-Wert-Paaren:

    • Der Wert des subject -Schlüssels ist die uniqueId-Eigenschaft des Google Cloud-Dienstkontos, das mit der Verbund-Workload verbunden ist.

  • Für TYPE = 'OIDC' (Workload Identity Federation) enthält die Spalte einen OBJECT-Wert mit den folgenden Schlüssel-Wert-Paaren:

    • Der Wert des issuer-Schlüssels ist die Aussteller-URL des OpenID Connect (OIDC)-Anbieters.

    • Der Wert des subject-Schlüssels ist der Bezeichner der Verbund-Workload.

    • Der Wert des audience_list-Schlüssels sind die benutzerdefinierten Zielgruppen, die in einem OIDC ID -Token zulässig sind. Ein leerer Wert bedeutet, dass die Standard-Zielgruppe snowflakecomputing.com erforderlich ist.

CREATED_BY

VARCHAR

Name des Benutzers, der die Anmeldeinformationen erstellt hat.

LAST_ALTERED_BY

VARCHAR

Name des Benutzers, der die Anmeldeinformationen zuletzt geändert hat.

CREATED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit der Erstellung der Anmeldeinformationen.

LAST_USED_ON

TIMESTAMP_LTZ

Datum und Uhrzeit, zu der die Anmeldeinformation zuletzt zur Authentifizierung verwendet wurde.

LAST_ALTERED

TIMESTAMP_LTZ

Datum und Uhrzeit der letzten Änderung der Anmeldeinformationen.

EXPIRATION_DATE

TIMESTAMP_LTZ

Datum und Uhrzeit, zu der die Anmeldeinformationen ablaufen.

Nutzungshinweise

  • Die Latenz der Ansicht kann bis zu zwei Stunden betragen.

  • Wenn kurz nach dem Erstellen eines Benutzers ein programmgesteuertes Zugriffstoken generiert wird, sind die Informationen zu diesem Benutzer in dieser Ansicht möglicherweise unvollständig. Es kann einige Zeit dauern, bis die Benutzerinformationen in die Ansicht aufgenommen werden.

Beispiele

Das folgende Beispiel gibt Zeilen für programmgesteuerte Zugriffstoken zurück:

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.CREDENTIALS WHERE type = 'PAT';
Copy
+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+
| CREDENTIAL_ID | NAME          | USER_NAME    | TYPE | DOMAIN                    | COMMENT           | STATUS | ADDITIONAL_DETAILS | CREATED_BY   | LAST_ALTERED_BY | CREATED_ON              | LAST_USED_ON            | LAST_ALTERED            |
|---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------|
|      19464837 | EXAMPLE_TOKEN | EXAMPLE_USER | PAT  | PROGRAMMATIC_ACCESS_TOKEN | My token for APIs | ACTIVE | {}                 | EXAMPLE_USER | EXAMPLE_USER    | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 |
+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+