Inscription à l’authentification multifactorielle appliquée par défaut pour les nouveaux comptes Snowflake (en attente)¶
Attention
Ce changement de comportement est présent dans le bundle 2024_08.
Pour connaître le statut actuel du bundle, reportez-vous à Historique du bundle.
Lorsque ce bundle de changements de comportement est activé, les comptes Snowflake nouvellement créés se comportent comme suit :
- Avant la modification:
Aucune politique d’authentification intégrée obligeant les utilisateurs à s’inscrire à l’authentification multifactorielle (MFA) sur les comptes Snowflake nouvellement créés.
- Après la modification:
Une nouvelle politique d’authentification intégrée qui oblige les utilisateurs à s’inscrire à MFA dans les comptes Snowflake nouvellement créés si l’utilisateur utilise l’authentification par mot de passe et dispose de sa propriété TYPE définie sur
PERSONouNULL.Les comptes d’essai sont exemptés de la nouvelle politique d’authentification intégrée. Si un compte d’essai se transforme en compte payant, le compte payant dispose d’une politique d’authentification intégrée qui nécessite une inscription à MFA.
Les comptes de lecteur sont exemptés de la nouvelle politique d’authentification intégrée.
Recommandations pour les nouveaux comptes¶
Lorsque vous créez un nouveau compte, vous attribuez un ACCOUNTADMIN pour votre compte. Ce changement de comportement impose une inscription à l’authentification multifactorielle (MFA) pour les nouveaux comptes Snowflake. Selon qu’un humain ou un service utilise ou non le rôle ACCOUNTADMIN, vous devez spécifier si vous souhaitez appliquer l’inscription à MFA sur un rôle ACCOUNTADMIN pour éviter les blocages ou pour sécuriser votre compte.
Suivez l’une des sections ci-dessous, en fonction de votre configuration :
Appliquer l’inscription à MFA pour un rôle ACCOUNTADMIN humain
Empêcher l’application de MFA à un rôle ACCOUNTADMIN non humain
Autoriser l’authentification par mot de passe pour un rôle ACCOUNTADMIN non humain
Appliquer l’inscription à MFA pour un rôle ACCOUNTADMIN humain¶
Si un humain utilise directement le rôle ACCOUNTADMIN sur votre compte, vous pouvez sécuriser votre compte en imposant à un rôle ACCOUNTADMIN de s’inscrire à MFA lors de la création du compte.
Exécutez l’instruction SQL suivante lors de la création du compte pour spécifier qu’un humain utilise le rôle ACCOUNTADMIN et est tenu de s’inscrire à MFA :
CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;
Empêcher l’application de MFA à un rôle ACCOUNTADMIN non humain¶
Si un humain n’utilise pas le rôle ACCOUNTADMIN sur votre compte, vous devez empêcher l’inscription à MFA pour permettre au service qui utilise le rôle ACCOUNTADMIN de s’exécuter avec succès. Un type de service ACCOUNTADMIN ne peut pas utiliser de mots de passe pour s’authentifier et doit spécifier une ADMIN_RSA_PUBLIC_KEY lors de la création du compte.
Exécutez l’instruction SQL suivante lors de la création du compte pour spécifier qu’un service utilise le rôle ACCOUNTADMIN, une clé RSA pour s’authentifier et n’est pas obligé de s’inscrire à MFA :
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = SERVICE
ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';
Autoriser l’authentification par mot de passe pour un rôle ACCOUNTADMIN non humain¶
Si un humain n’utilise pas le rôle ACCOUNTADMIN sur votre compte, vous devez empêcher l’inscription à MFA pour permettre au service qui utilise le rôle ACCOUNTADMIN de s’exécuter avec succès. La méthode d’authentification recommandée pour un rôle ACCOUNTADMIN de type service est l’authentification par paire de clés, mais si le service utilisant le ROLE ACCOUNTADMIN ne prend pas en charge l’authentification par paire de clés, vous pouvez alors spécifier qu’un service hérité utilise le rôle ACCOUNTADMIN.
Un service hérité ACCOUNTADMIN ne peut pas se connecter à Snowsight, et vous ne pouvez pas définir les paramètres FIRST_NAME ou LAST_NAME.
Exécutez l’instruction SQL suivante lors de la création du compte pour spécifier qu’un service existant utilise le rôle ACCOUNTADMIN, un mot de passe pour s’authentifier et n’est pas obligé de s’inscrire à MFA :
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = LEGACY_SERVICE
ADMIN_PASSWORD = 'hunter2';
Note
Le type LEGACY_SERVICE est une solution temporaire. Snowflake vous recommande fortement de configurer l’authentification par paire de clés.
Voir types d’utilisateurs pour plus d’informations sur les types d’utilisateurs et leurs limites.
Réf : 1784