CREATE PASSWORD POLICY¶
Erstellt eine neue Kennwortrichtlinie oder ersetzt eine vorhandene Kennwortrichtlinie.
Nachdem Sie eine Kennwortrichtlinie erstellt haben, wenden Sie diese Kennwortrichtlinie mit einer ALTER ACCOUNT-Anweisung auf Ihr Snowflake-Konto oder mit einer ALTER USER-Anweisung auf einen Benutzer an.
Syntax¶
CREATE [ OR REPLACE ] PASSWORD POLICY [ IF NOT EXISTS ] <name>
[ PASSWORD_MIN_LENGTH = <integer> ]
[ PASSWORD_MAX_LENGTH = <integer> ]
[ PASSWORD_MIN_UPPER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_LOWER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_NUMERIC_CHARS = <integer> ]
[ PASSWORD_MIN_SPECIAL_CHARS = <integer> ]
[ PASSWORD_MIN_AGE_DAYS = <integer> ]
[ PASSWORD_MAX_AGE_DAYS = <integer> ]
[ PASSWORD_MAX_RETRIES = <integer> ]
[ PASSWORD_LOCKOUT_TIME_MINS = <integer> ]
[ PASSWORD_HISTORY = <integer> ]
[ COMMENT = '<string_literal>' ]
Erforderliche Parameter¶
name
Bezeichner für die Kennwortrichtlinie. Dieser muss für Ihr Konto eindeutig sein.
Der Bezeichnerwert muss mit einem alphabetischen Zeichen beginnen und darf keine Leer- oder Sonderzeichen enthalten, es sei denn, die gesamte Bezeichnerzeichenfolge wird in doppelte Anführungszeichen gesetzt (z. B.
"My object"
). Bei Bezeichnern, die in doppelte Anführungszeichen eingeschlossen sind, ist auch die Groß-/Kleinschreibung zu beachten.Weitere Details dazu finden Sie unter Anforderungen an Bezeichner.
Optionale Parameter¶
PASSWORD_MIN_LENGTH = integer
Gibt die Mindestanzahl von Zeichen an, die das Kennwort enthalten muss.
Unterstützter Bereich: 8 bis 256, einschließlich.
Standardeinstellung: 8
PASSWORD_MAX_LENGTH = integer
Gibt die maximale Anzahl von Zeichen an, die das Kennwort enthalten darf. Diese Zahl muss größer oder gleich der Summe von
PASSWORD_MIN_LENGTH
,PASSWORD_MIN_UPPER_CASE_CHARS
undPASSWORD_MIN_LOWER_CASE_CHARS
sein.Unterstützter Bereich: 8 bis 256, einschließlich.
Standardeinstellung: 256
PASSWORD_MIN_UPPER_CASE_CHARS = integer
Gibt die Mindestanzahl an Großbuchstaben an, die das Kennwort enthalten muss.
Unterstützter Bereich: 0 bis 256, einschließlich.
Standardeinstellung: 1
PASSWORD_MIN_LOWER_CASE_CHARS = integer
Gibt die Mindestanzahl an Kleinbuchstaben an, die das Kennwort enthalten muss.
Unterstützter Bereich: 0 bis 256, einschließlich.
Standardeinstellung: 1
PASSWORD_MIN_NUMERIC_CHARS = integer
Gibt die Mindestanzahl an numerischen Zeichen an, die das Kennwort enthalten muss.
Unterstützter Bereich: 0 bis 256, einschließlich.
Standardeinstellung: 1
PASSWORD_MIN_SPECIAL_CHARS = integer
Gibt die Mindestanzahl an Sonderzeichen an, die das Kennwort enthalten muss.
Unterstützter Bereich: 0 bis 256, einschließlich.
Standardeinstellung: 0
PASSWORD_MIN_AGE_DAYS = integer
Gibt die Anzahl der Tage an, die der Benutzer warten muss, bevor ein kürzlich geändertes Kennwort erneut geändert werden kann.
Unterstützter Bereich: 0 bis 999, einschließlich.
Standardeinstellung: 0
PASSWORD_MAX_AGE_DAYS = integer
Gibt die maximale Anzahl von Tagen an, bevor das Kennwort geändert werden muss.
Unterstützter Bereich: 0 bis 999, einschließlich.
Ein Wert von
0
bedeutet, dass das Kennwort nicht geändert werden muss. Snowflake empfiehlt, diesen Wert nicht für Standard-Kennwortrichtlinien auf Kontoebene oder für Richtlinien auf Benutzerebene zu verwenden. Verwenden Sie stattdessen einen Wert, der Ihren internen Sicherheitsrichtlinien entspricht.Standard: 90, was bedeutet, dass das Kennwort alle 90 Tage geändert werden muss.
Wichtig
Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.
PASSWORD_MAX_RETRIES = integer
Gibt die maximale Anzahl von Versuchen für die Eingabe eines Kennworts an, bevor das Konto gesperrt wird.
Unterstützter Bereich: 1 bis 10, einschließlich.
Standardeinstellung: 5
Wichtig
Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.
PASSWORD_LOCKOUT_TIME_MINS = integer
Gibt die Anzahl der Minuten an, wie lange das Benutzerkonto gesperrt wird, nachdem die festgelegte Anzahl von Eingabeversuchen für das Kennwort (d. h.
PASSWORD_MAX_RETRIES
) erreicht wurde.Unterstützter Bereich: 1 bis 999, einschließlich.
Standardeinstellung: 15.
Wichtig
Dieser Parameter ist zustandsabhängig. Weitere Informationen dazu finden Sie im Hinweis unter Kundenspezifische Kennwortrichtlinie für Konto und Benutzer.
PASSWORD_HISTORY = integer
Gibt die Anzahl der letzten Kennwörter an, die Snowflake speichert. Diese gespeicherten Kennwörter können nicht erneut verwendet werden, wenn ein Benutzer seinen Kennwortwert aktualisiert.
Der aktuelle Kennwortwert wird nicht in den Verlauf aufgenommen.
Wenn Sie den Verlaufswert erhöhen, speichert Snowflake die vorherigen Werte.
Wenn Sie den Wert verringern, speichert Snowflake die gespeicherten Werte bis zu dem eingestellten Wert. Wenn der Verlaufswert beispielsweise 8 ist und Sie den Verlaufswert auf 3 ändern, speichert Snowflake die jüngsten 3 Kennwörter und löscht die 5 älteren Kennwortwerte aus dem Verlauf.
Standardeinstellung: 0
Max: 24
COMMENT = 'string_literal'
Fügt einen Kommentar hinzu oder überschreibt einen vorhandenen Kommentar zu der Kennwortrichtlinie.
Anforderungen an die Zugriffssteuerung¶
Eine Rolle, die zur Ausführung dieses SQL-Befehls verwendet wird, muss mindestens die folgenden Berechtigungen haben:
Berechtigung |
Objekt |
Anmerkungen |
---|---|---|
CREATE PASSWORD POLICY |
Schema |
Beachten Sie, dass für die Bearbeitung eines Objekts in einem Schema auch die Berechtigung USAGE für die übergeordnete Datenbank und das Schema erforderlich ist.
Eine Anleitung zum Erstellen einer kundenspezifischen Rolle mit einer bestimmten Gruppe von Berechtigungen finden Sie unter Erstellen von kundenspezifischen Rollen.
Allgemeine Informationen zu Rollen und Berechtigungen zur Durchführung von SQL-Aktionen auf sicherungsfähigen Objekten finden Sie unter Übersicht zur Zugriffssteuerung.
Weitere Informationen zur DDL und zu Berechtigungen von Kennwortrichtlinien finden Sie unter Verwalten von Kennwortrichtlinien.
Nutzungshinweise¶
Wenn Sie eine bestehende Kennwortrichtlinie ersetzen möchten und dazu die aktuelle Definition der Richtlinie anzeigen müssen, können Sie die Funktion GET_DDL aufrufen oder den Befehl DESCRIBE PASSWORD POLICY ausführen.
CREATE OR REPLACE <Objekt>-Anweisungen sind atomar. Das heißt, wenn ein Objekt ersetzt wird, erfolgt das Löschen des alten Objekts und das Erstellen des neuen Objekts in einer einzigen Transaktion.
Beispiele¶
Erstellen einer Kennwortrichtlinie namens password_policy_prod_1
für Ihr aktuelles Konto:
CREATE PASSWORD POLICY PASSWORD_POLICY_PROD_1 PASSWORD_MIN_LENGTH = 12 PASSWORD_MAX_LENGTH = 24 PASSWORD_MIN_UPPER_CASE_CHARS = 2 PASSWORD_MIN_LOWER_CASE_CHARS = 2 PASSWORD_MIN_NUMERIC_CHARS = 2 PASSWORD_MIN_SPECIAL_CHARS = 2 PASSWORD_MIN_AGE_DAYS = 1 PASSWORD_MAX_AGE_DAYS = 30 PASSWORD_MAX_RETRIES = 3 PASSWORD_LOCKOUT_TIME_MINS = 30 PASSWORD_HISTORY = 5 COMMENT = 'production account password policy';