Schéma :

ACCOUNT_USAGE

Vue CREDENTIALS

Cette vue Utilisation du compte comprend une ligne pour chaque identifiant de connexion utilisé comme premier ou deuxième facteur pour l’authentification. Cette vue comprend des lignes pour les types d’identifiants de connexion suivants :

Note

Cette vue ne comprend pas d’informations sur les authentificateurs Duo (Duo push et codes d’accès).

Pour déterminer si un utilisateur a configuré Duo comme deuxième facteur d’authentification, vous pouvez exécuter la commande SHOW MFA METHODS.

Cette vue n’inclut pas les identifiants de connexion qui ont été supprimés.

Colonnes

Colonne

Type de données

Description

CREDENTIAL_ID

NUMBER

Identificateur interne/généré par le système pour l’identifiant de connexion.

NAME

VARCHAR

Nom de l’identifiant de connexion.

USER_NAME

VARCHAR

Nom de l’utilisateur associé à l’identifiant de connexion.

TYPE

VARCHAR

Type de l’identifiant de connexion. Ces types comprennent :

DOMAIN

VARCHAR

Domaine des identifiants de connexion. Les domaines comprennent :

Un domaine donné peut avoir un ou plusieurs types possibles (spécifiés dans la colonne TYPE).

COMMENT

VARCHAR

Commentaire sur l’identifiant de connexion.

STATUS

VARCHAR

Statut de l’identifiant de connexion. Le statut dépend de la valeur dans la colonne TYPE :

  • Pour TYPE = 'PAT' (jeton d’accès programmatique), le statut peut être l’un des suivants :

    • ACTIVE : Le jeton d’accès programmatique peut être utilisé pour s’authentifier et n’a pas encore expiré.

    • EXPIRED : Le jeton d’accès programmatique ne peut pas être utilisé pour l’authentification, car la date d’expiration est passée.

    • DISABLED : Le jeton d’accès programmatique est désactivé car l’accès à la connexion de l’utilisateur est désactivé ou l’utilisateur ne peut plus se connecter.

  • Pour d’autres types d’identifiants de connexion, le statut peut être l’un des suivants :

    • PENDING : L’utilisateur a commencé le processus d’inscription pour une méthode MFA, mais ne l’a pas terminé. Par exemple, l’utilisateur a commencé à enregistrer un authentificateur, mais n’a jamais terminé le processus de configuration de l’authentificateur. Par conséquent, la méthode MFA n’est pas encore considérée comme valide.

    • ENROLLED : L’utilisateur a terminé le processus d’inscription pour la méthode MFA, et la méthode MFA peut être utilisée pour l’authentification à deux facteurs.

ADDITIONAL_DETAILS

OBJECT

Détails supplémentaires sur les identifiants de connexion. Les détails supplémentaires dépendent du type des identifiants (la valeur dans la colonne TYPE) :

  • Pour TYPE = 'PAT' (jetons d’accès programmatiques), la colonne contient une valeur OBJECT avec les paires clé-valeur suivantes :

    • Pour la clé MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT, la valeur est un entier représentant le nombre de minutes pendant lesquelles l”exigence d’une politique réseau est contournée. Vous pouvez spécifier cette valeur lors de la génération du jeton.

    • Pour la clé ROLE_RESTRICTION, la valeur est un tableau des rôles qui sont utilisés pour l’évaluation des privilèges et la création d’objets pendant la session authentifiée avec ce jeton. Vous pouvez spécifier ces rôles lors de la génération du jeton.

    • Pour la clé ROTATED_TO, la valeur est le nom du jeton plus récent par lequel ce jeton a été remplacé lors de la rotation.

    Ces paires clé-valeur ne sont présentes que si les propriétés correspondantes sont définies dans le jeton. Par exemple :

    {
  "MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT":
    60,
  "ROLE_RESTRICTION": [
    "MY_ROLE"
  ],
  "ROTATED_TO": "MY_PAT_NAME"
}

    Si aucune de celles-ci n’est spécifiée pour le jeton, la colonne contient un objet vide ({}).

  • Pour TYPE = 'PASSKEY' (clé d’accès), la colonne contient une valeur OBJECT avec la paire clé-valeur aaguid. Par exemple :

    {
  "aaguid": "a12345678-..."
}

  • Pour TYPE = 'TOTP' (code d’accès unique limité dans le temps), la colonne contient NULL.

  • Pour TYPE = 'AWS' (fédération d’identité de charge de travail), la colonne contient une valeur OBJECT avec les paires clé-valeur suivantes :

    • Pour la clé aws_partition, la valeur est la partition AWS pour l’identité fédérée.

    • Pour la clé aws_account, la valeur est l’identificateur de compte AWS pour l’identité fédérée.

    • Pour la clé type, la valeur est le type de l’identité fédérée. Cela peut être IAM_USER ou IAM_ROLE.

    • Pour la clé iam_role, la valeur est le nom du rôle ou utilisateur IAM fédéré.

  • Pour TYPE = 'AZURE' (fédération d’identité de charge de travail), la colonne contient une valeur OBJECT avec les paires clé-valeur suivantes :

    • Pour la clé issuer, la valeur est l’URL d’autorité du locataire Entra ID.

    • Pour la clé subject, la valeur est l’ID d’objet (ID principale) attribuée à la charge de travail Azure qui utilise une identité gérée.

  • Pour TYPE = 'GCP' (fédération d’identité de charge de travail), la colonne contient une valeur OBJECT avec les paires clé-valeur suivantes :

    • Pour la clé subject, la valeur est l”uniqueId de la propriété du compte de service Google Cloud associé à la charge de travail fédérée.

  • Pour TYPE = 'OIDC' (fédération d’identité de charge de travail), la colonne contient une valeur OBJECT avec les paires clé-valeur suivantes :

    • Pour la clé issuer, la valeur est l’URL de l’émetteur du fournisseur OpenID Connect (OIDC).

    • Pour la clé subject, la valeur est l’identificateur de la charge de travail fédérée.

    • Pour la clé audience_list, la valeur correspond aux audiences personnalisées autorisées dans un jeton OIDC ID. Une valeur vide signifie que l’audience par défaut snowflakecomputing.com est nécessaire.

CREATED_BY

VARCHAR

Nom de l’utilisateur qui a créé les identifiants de connexion.

LAST_ALTERED_BY

VARCHAR

Nom de l’utilisateur qui a modifié les identifiants de connexion en dernier lieu.

CREATED_ON

TIMESTAMP_LTZ

Date et heure de création de l’identifiant de connexion.

LAST_USED_ON

TIMESTAMP_LTZ

Date et heure de la dernière utilisation de l’identifiant de connexion pour l’authentification.

LAST_ALTERED

TIMESTAMP_LTZ

Date et heure de la dernière modification de l’identifiant de connexion.

EXPIRATION_DATE

TIMESTAMP_LTZ

Date et heure d’expiration de l’identifiant de connexion.

Notes sur l’utilisation

  • La latence de la vue peut atteindre jusqu’à deux heures.

  • Si un jeton d’accès programmatique est généré peu après la création d’un utilisateur, les informations sur cet utilisateur dans cette vue peuvent être incomplètes. L’affichage des informations utilisateur peut prendre un certain temps.

Exemples

L’exemple suivant renvoie des lignes pour les jetons d’accès programmatiques :

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.CREDENTIALS WHERE type = 'PAT';

+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+
| CREDENTIAL_ID | NAME          | USER_NAME    | TYPE | DOMAIN                    | COMMENT           | STATUS | ADDITIONAL_DETAILS | CREATED_BY   | LAST_ALTERED_BY | CREATED_ON              | LAST_USED_ON            | LAST_ALTERED            |
|---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------|
|      19464837 | EXAMPLE_TOKEN | EXAMPLE_USER | PAT  | PROGRAMMATIC_ACCESS_TOKEN | My token for APIs | ACTIVE | {}                 | EXAMPLE_USER | EXAMPLE_USER    | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 |
+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+