ALTER PASSWORD POLICY

Ändert die Eigenschaften einer vorhandenen Kennwortrichtlinie.

Alle an den Eigenschaften der Kennwortrichtlinien vorgenommenen Änderungen werden bei Ausführung der nächsten SQL-Abfrage wirksam, bei der die Kennwortrichtlinie verwendet wird.

Siehe auch:

Verwalten von Kennwortrichtlinien

Syntax

ALTER PASSWORD POLICY [ IF EXISTS ] <name> RENAME TO <new_name>

ALTER PASSWORD POLICY [ IF EXISTS ] <name> SET [ PASSWORD_MIN_LENGTH = <integer> ]
                                               [ PASSWORD_MAX_LENGTH = <integer> ]
                                               [ PASSWORD_MIN_UPPER_CASE_CHARS = <integer> ]
                                               [ PASSWORD_MIN_LOWER_CASE_CHARS = <integer> ]
                                               [ PASSWORD_MIN_NUMERIC_CHARS = <integer> ]
                                               [ PASSWORD_MIN_SPECIAL_CHARS = <integer> ]
                                               [ PASSWORD_MIN_AGE_DAYS = <integer> ]
                                               [ PASSWORD_MAX_AGE_DAYS = <integer> ]
                                               [ PASSWORD_MAX_RETRIES = <integer> ]
                                               [ PASSWORD_LOCKOUT_TIME_MINS = <integer> ]
                                               [ PASSWORD_HISTORY = <integer> ]
                                               [ COMMENT = '<string_literal>' ]

ALTER PASSWORD POLICY [ IF EXISTS ] <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]

ALTER PASSWORD POLICY [ IF EXISTS ] <name> UNSET TAG <tag_name> [ , <tag_name> ... ]

ALTER PASSWORD POLICY [ IF EXISTS ] <name> UNSET [ PASSWORD_MIN_LENGTH ]
                                                 [ PASSWORD_MAX_LENGTH ]
                                                 [ PASSWORD_MIN_UPPER_CASE_CHARS ]
                                                 [ PASSWORD_MIN_LOWER_CASE_CHARS ]
                                                 [ PASSWORD_MIN_NUMERIC_CHARS ]
                                                 [ PASSWORD_MIN_SPECIAL_CHARS ]
                                                 [ PASSWORD_MIN_AGE_DAYS ]
                                                 [ PASSWORD_MAX_AGE_DAYS ]
                                                 [ PASSWORD_MAX_RETRIES ]
                                                 [ PASSWORD_LOCKOUT_TIME_MINS ]
                                                 [ PASSWORD_HISTORY ]
                                                 [ COMMENT ]
Copy

Parameter

name

Bezeichner für die Kennwortrichtlinie. Dieser muss für Ihr Konto eindeutig sein.

Der Bezeichnerwert muss mit einem alphabetischen Zeichen beginnen und darf keine Leer- oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen gesetzt (z. B. "My object"). Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß-/Kleinschreibung zu beachten.

Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.

RENAME TO new_name

Gibt den neuen Bezeichner für die Sitzungsrichtlinie an. Dieser muss für Ihr Konto eindeutig sein.

Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.

Sie können das Objekt in eine andere Datenbank und/oder in ein anderes Schema verschieben und dabei optional das Objekt umbenennen. Geben Sie dazu einen qualifizierten new_name-Wert an, der den neuen Datenbank- und/oder Schemanamen im Format db_name.schema_name.object_name bzw. schema_name.object_name enthält.

Bemerkung

  • Die Zieldatenbank und/oder das Zielschema müssen bereits vorhanden sein. Außerdem darf in der Zieldatenbank nicht bereits ein gleichnamiges Schema vorhanden sein, da die Anweisung sonst einen Fehler zurückgibt.

  • Das Verschieben eines Objekts in ein verwaltetes Zugriffsschema ist nicht zulässig, es sei denn, der Objekteigentümer (d. h. die Rolle mit der Berechtigung OWNERSHIP für das Objekt) ist auch Eigentümer des Zielschemas.

SET ...

Gibt einen (oder mehrere) Parameter an, die für die Kennwortrichtlinie festgelegt werden sollen (getrennt durch Leerzeichen, Kommas oder Neue-Zeile-Zeichen).

PASSWORD_MIN_LENGTH = integer

Gibt die Mindestanzahl von Zeichen an, die das Kennwort enthalten muss.

Unterstützter Bereich: 8 bis 256, einschließlich.

Standardeinstellung: 8

PASSWORD_MAX_LENGTH = integer

Gibt die maximale Anzahl von Zeichen an, die das Kennwort enthalten darf. Diese Zahl muss größer oder gleich der Summe von PASSWORD_MIN_LENGTH, PASSWORD_MIN_UPPER_CASE_CHARS und PASSWORD_MIN_LOWER_CASE_CHARS sein.

Unterstützter Bereich: 8 bis 256, einschließlich.

Standardeinstellung: 256

PASSWORD_MIN_UPPER_CASE_CHARS = integer

Gibt die Mindestanzahl an Großbuchstaben an, die das Kennwort enthalten muss.

Unterstützter Bereich: 0 bis 256, einschließlich.

Standardeinstellung: 1

PASSWORD_MIN_LOWER_CASE_CHARS = integer

Gibt die Mindestanzahl an Kleinbuchstaben an, die das Kennwort enthalten muss.

Unterstützter Bereich: 0 bis 256, einschließlich.

Standardeinstellung: 1

PASSWORD_MIN_NUMERIC_CHARS = integer

Gibt die Mindestanzahl an numerischen Zeichen an, die das Kennwort enthalten muss.

Unterstützter Bereich: 0 bis 256, einschließlich.

Standardeinstellung: 1

PASSWORD_MIN_SPECIAL_CHARS = integer

Gibt die Mindestanzahl an Sonderzeichen an, die das Kennwort enthalten muss.

Unterstützter Bereich: 0 bis 256, einschließlich.

Standardeinstellung: 0

PASSWORD_MIN_AGE_DAYS = integer

Gibt die Anzahl der Tage an, die der Benutzer warten muss, bevor ein kürzlich geändertes Kennwort erneut geändert werden kann.

Unterstützter Bereich: 0 bis 999, einschließlich.

Standardeinstellung: 0

PASSWORD_MAX_AGE_DAYS = integer

Gibt die maximale Anzahl von Tagen an, bevor das Kennwort geändert werden muss.

Unterstützter Bereich: 0 bis 999, einschließlich.

Ein Wert von 0 bedeutet, dass das Kennwort nicht geändert werden muss. Snowflake empfiehlt, diesen Wert nicht für Standard-Kennwortrichtlinien auf Kontoebene oder für Richtlinien auf Benutzerebene zu verwenden. Verwenden Sie stattdessen einen Wert, der Ihren internen Sicherheitsrichtlinien entspricht.

Standard: 90, was bedeutet, dass das Kennwort alle 90 Tage geändert werden muss.

Wichtig

Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.

PASSWORD_MAX_RETRIES = integer

Gibt die maximale Anzahl von Versuchen für die Eingabe eines Kennworts an, bevor das Konto gesperrt wird.

Unterstützter Bereich: 1 bis 10, einschließlich.

Standardeinstellung: 5

Wichtig

Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.

PASSWORD_LOCKOUT_TIME_MINS = integer

Gibt die Anzahl der Minuten an, wie lange das Benutzerkonto gesperrt wird, nachdem die festgelegte Anzahl von Eingabeversuchen für das Kennwort (d. h. PASSWORD_MAX_RETRIES) erreicht wurde.

Unterstützter Bereich: 1 bis 999, einschließlich.

Standardeinstellung: 15.

Wichtig

Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.

PASSWORD_HISTORY = integer

Gibt die Anzahl der letzten Kennwörter an, die Snowflake speichert. Diese gespeicherten Kennwörter können nicht erneut verwendet werden, wenn ein Benutzer seinen Kennwortwert aktualisiert.

Der aktuelle Kennwortwert wird nicht in den Verlauf aufgenommen.

Wenn Sie den Verlaufswert erhöhen, speichert Snowflake die vorherigen Werte.

Wenn Sie den Wert verringern, speichert Snowflake die gespeicherten Werte bis zu dem eingestellten Wert. Wenn der Verlaufswert beispielsweise 8 ist und Sie den Verlaufswert auf 3 ändern, speichert Snowflake die jüngsten 3 Kennwortwerte und löscht die 5 älteren Kennwortwerte aus dem Verlauf.

Standardeinstellung: 0

Max: 24

COMMENT = 'string_literal'

Fügt einen Kommentar hinzu oder überschreibt einen vorhandenen Kommentar zu der Kennwortrichtlinie.

TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]

Gibt den Namen des Tags und den Wert der Tag-Zeichenfolge an.

Der Tag-Wert ist immer eine Zeichenfolge, die maximale 256 Zeichen lang sein kann.

Weitere Informationen zur Angabe von Tags in einer Anweisung finden Sie unter Tag-Kontingente für Objekte und Spalten.

UNSET ...

Gibt einen oder mehrere Parameter an, die für die Kennwortrichtlinie nicht festgelegt werden sollen, wodurch diese auf die Standardwerte des Systems zurückgesetzt werden.

Sie können mehrere Eigenschaften mit einer einzigen ALTER-Anweisung zurücksetzen. Jede Eigenschaft muss durch ein Komma getrennt werden. Wenn Sie eine Eigenschaft zurücksetzen, geben Sie nur den Namen an. Wenn Sie einen Wert für die Eigenschaft angeben, wird ein Fehler zurückgegeben.

Anforderungen an die Zugriffssteuerung

Eine Rolle, die zur Ausführung dieses SQL-Befehls verwendet wird, muss mindestens die folgenden Berechtigungen haben:

Berechtigung

Objekt

Anmerkungen

OWNERSHIP

Kennwortrichtlinie

OWNERSHIP is a special privilege on an object that is automatically granted to the role that created the object, but can also be transferred using the GRANT OWNERSHIP command to a different role by the owning role (or any role with the MANAGE GRANTS privilege).

Beachten Sie, dass für die Bearbeitung eines Objekts in einem Schema auch die Berechtigung USAGE für die übergeordnete Datenbank und das Schema erforderlich ist.

Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.

Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.

Weitere Informationen zur DDL und zu Berechtigungen von Kennwortrichtlinien finden Sie unter Verwalten von Kennwortrichtlinien.

Nutzungshinweise

  • Bevor Sie diesen Befehl ausführen, führen Sie den Befehl DESCRIBE PASSWORD POLICY aus, um die Attributwerte der Richtlinie zu ermitteln.

    Wenn Sie eine bestehende Kennwortrichtlinie aktualisieren möchten und dazu die aktuelle Definition der Richtlinie anzeigen müssen, können Sie die Funktion GET_DDL aufrufen oder den Befehl DESCRIBE PASSWORD POLICY ausführen.

  • Das Verschieben einer Kennwortrichtlinie in ein verwaltetes Zugriffsschema ist nicht zulässig, es sei denn, der Eigentümer der Kennwortrichtlinie (d. h. die Rolle mit OWNERSHIP-Berechtigung für die Kennwortrichtlinie) ist auch Eigentümer des Zielschemas. Weitere Informationen dazu finden Sie unter Übersicht zu Zugriffssteuerungsrechten.

Beispiele

Im folgenden Beispiel wird die aktuelle Kennwortrichtlinie beschrieben und dann die Kennwortrichtlinie aktualisiert, um die Anzahl der zulässigen Eingabeversuche für das Kennwort anzugeben:

DESC PASSWORD POLICY password_policy_prod_1;

ALTER PASSWORD POLICY password_policy_prod_1 SET PASSWORD_MAX_RETRIES = 3;
Copy