ALTER USER … ROTATE PROGRAMMATIC ACCESS TOKEN (PAT)¶
Rotiert ein programmatisches Zugriffstoken, erzeugt ein neues Token-Geheimnis mit einer verlängerten Ablaufzeit und lässt das bestehende Token-Geheimnis ablaufen. Das neue Geheimnis wird mit der gleichen DAYS_TO_EXPIRY-Eigenschaft erzeugt, die bei der ersten Erstellung des Tokens festgelegt wurde.
- Siehe auch:
ALTER USER … ADD PROGRAMMATIC ACCESS TOKEN (PAT), ALTER USER … MODIFY PROGRAMMATIC ACCESS TOKEN (PAT), ALTER USER … REMOVE PROGRAMMATIC ACCESS TOKEN (PAT), SHOW USER PROGRAMMATIC ACCESS TOKENS
Syntax¶
ALTER USER [ IF EXISTS ] [ <username> ] ROTATE { PROGRAMMATIC ACCESS TOKEN | PAT } <token_name>
[ EXPIRE_ROTATED_TOKEN_AFTER_HOURS = <integer> ]
Parameter¶
usernameDer Name des Benutzers, dem das Token zugeordnet ist.
Wenn Sie diesen Parameter weglassen, rotiert der Befehl das Token für den Benutzer, der gerade angemeldet ist (der aktive Benutzer in der aktuellen Sitzung).
ROTATE { PROGRAMMATIC ACCESS TOKEN | PAT } token_nameRotiert ein programmatisches Zugriffstoken mit dem angegebenen Namen.
Sie können das Schlüsselwort PAT als eine kürzere Form der Angabe der Schlüsselwörter PROGRAMMATIC ACCESS TOKEN verwenden.
EXPIRE_ROTATED_TOKEN_AFTER_HOURS = integerLegt die Ablaufzeit des bestehenden Token-Geheimnisses so fest, dass es nach der angegebenen Anzahl von Stunden abläuft.
Sie können dies auf den Wert
0setzen, um das aktuelle Token-Geheimnis sofort ablaufen zu lassen.Sie können hier einen Wert zwischen
0und der Anzahl der verbleibenden Stunden bis zum Ablauf des aktuellen Geheimnisses eingeben.Standard:
24
Anforderungen an die Zugriffssteuerung¶
Eine Rolle, die zur Ausführung dieser Operation verwendet wird, muss mindestens die folgenden Berechtigungen haben:
Berechtigung |
Objekt |
Anmerkungen |
|---|---|---|
MODIFY PROGRAMMATIC AUTHENTICATION METHODS |
Benutzer |
Nur erforderlich, wenn Sie ein programmatisches Zugriffstoken für einen anderen menschlichen Benutzer als sich selbst oder einen Dienstbenutzer rotieren. |
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Ausgabe¶
Die Befehlsausgabe enthält in den folgenden Spalten Informationen über das rotierte programmatische Zugriffstoken:
Spalte |
Beschreibung |
|---|---|
|
Name des rotierten Tokens. |
|
Das Token selbst. Verwenden Sie dies, um sich bei einem Endpunkt zu authentifizieren. Bemerkung Das Token erscheint nur in der Ausgabe des Befehls ALTER USER … ROTATE PROGRAMMATIC ACCESS TOKEN. Kein anderer SQL-Befehl oder keine andere Funktion gibt das Token aus oder zurück. Wenn Sie programmatisch auf dieses Token zugreifen müssen, können Sie Snowflake Scripting verwenden, um diesen Befehl auszuführen und das Token aus dem RESULTSET abzurufen. |
|
Name des Tokens, der das vorherige Geheimnis darstellt. Sie können dieses Token-Objekt verwenden, um zu bestimmen, wie lange das vorherige Geheimnis gültig bleibt. Sie können das Token auch ablaufen lassen, falls erforderlich. Sie können keine anderen Arten von Änderungen an diesem Token vornehmen. Beachten Sie, dass dieses Token-Objekt auf die maximal zulässige Anzahl von Token pro Benutzer angerechnet wird. |
Nutzungshinweise¶
Sie können ein programmatisches Zugriffstoken nicht in einer Sitzung rotieren, in der Sie ein programmatisches Zugriffstoken zur Authentifizierung verwendet haben.
Beispiele¶
Rotieren Sie ein programmatisches Zugriffstoken, das dem Benutzer example_user zugeordnet ist:
ALTER USER IF EXISTS example_user ROTATE PROGRAMMATIC ACCESS TOKEN token_name;
Rotieren Sie ein programmatisches Zugriffstoken, das dem Benutzer example_user zugeordnet ist, und lassen Sie das bestehende Token-Geheimnis sofort ablaufen:
ALTER USER IF EXISTS example_user ROTATE PROGRAMMATIC ACCESS TOKEN token_name
EXPIRE_ROTATED_TOKEN_AFTER_HOURS=0;