ALTER PASSWORD POLICY¶
Modifie les propriétés d’une politique de mot de passe existante.
Toutes les modifications apportées aux propriétés de politiques de mot de passe entrent en vigueur lors de l’exécution de la requête SQL suivante qui utilise la politique de mot de passe.
- Voir aussi :
Syntaxe¶
ALTER PASSWORD POLICY [ IF EXISTS ] <name> RENAME TO <new_name>
ALTER PASSWORD POLICY [ IF EXISTS ] <name> SET [ PASSWORD_MIN_LENGTH = <integer> ]
[ PASSWORD_MAX_LENGTH = <integer> ]
[ PASSWORD_MIN_UPPER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_LOWER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_NUMERIC_CHARS = <integer> ]
[ PASSWORD_MIN_SPECIAL_CHARS = <integer> ]
[ PASSWORD_MIN_AGE_DAYS = <integer> ]
[ PASSWORD_MAX_AGE_DAYS = <integer> ]
[ PASSWORD_MAX_RETRIES = <integer> ]
[ PASSWORD_LOCKOUT_TIME_MINS = <integer> ]
[ PASSWORD_HISTORY = <integer> ]
[ COMMENT = '<string_literal>' ]
ALTER PASSWORD POLICY [ IF EXISTS ] <name> SET TAG <tag_name> = '<tag_value>' [ , <tag_name> = '<tag_value>' ... ]
ALTER PASSWORD POLICY [ IF EXISTS ] <name> UNSET TAG <tag_name> [ , <tag_name> ... ]
ALTER PASSWORD POLICY [ IF EXISTS ] <name> UNSET [ PASSWORD_MIN_LENGTH ]
[ PASSWORD_MAX_LENGTH ]
[ PASSWORD_MIN_UPPER_CASE_CHARS ]
[ PASSWORD_MIN_LOWER_CASE_CHARS ]
[ PASSWORD_MIN_NUMERIC_CHARS ]
[ PASSWORD_MIN_SPECIAL_CHARS ]
[ PASSWORD_MIN_AGE_DAYS ]
[ PASSWORD_MAX_AGE_DAYS ]
[ PASSWORD_MAX_RETRIES ]
[ PASSWORD_LOCKOUT_TIME_MINS ]
[ PASSWORD_HISTORY ]
[ COMMENT ]
Paramètres¶
nameIdentificateur de la politique de mot de passe ; doit être unique pour votre compte.
La valeur de l’identificateur doit commencer par un caractère alphabétique et ne peut pas contenir d’espaces ou de caractères spéciaux à moins que toute la chaîne d’identificateur soit délimitée par des guillemets doubles (p. ex.
"My object"). Les identificateurs entre guillemets doubles sont également sensibles à la casse.Pour plus de détails, voir Exigences relatives à l’identificateur.
RENAME TO new_nameSpécifie le nouvel identificateur de la politique de session ; doit être unique pour votre compte.
Pour plus de détails, voir Exigences relatives à l’identificateur.
Vous pouvez déplacer l’objet vers une autre base de données et/ou un autre schéma tout en renommant éventuellement l’objet. Pour ce faire, spécifiez une valeur
new_namequalifiée qui inclut le nouveau nom de la base de données et/ou du schéma sous la formedb_name.schema_name.object_nameouschema_name.object_name, respectivement.Note
La base de données et/ou le schéma de destination doivent déjà exister. En outre, un objet portant le même nom ne peut pas déjà exister dans le nouvel emplacement ; sinon, l’instruction renvoie une erreur.
Le déplacement d’un objet vers un schéma d’accès géré est interdit sauf si le propriétaire de l’objet (c’est-à-dire le rôle qui a le privilège OWNERSHIP sur l’objet) est également propriétaire du schéma cible.
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir pour la politique de mot de passe (séparés par des espaces, des virgules ou des sauts de ligne) :
PASSWORD_MIN_LENGTH = integerSpécifie le nombre minimum de caractères que le mot de passe doit contenir.
Plage prise en charge : 8 à 256, inclus.
Par défaut : 8
PASSWORD_MAX_LENGTH = integerSpécifie le nombre maximum de caractères que le mot de passe doit contenir. Ce nombre doit être supérieur ou égal à la somme de
PASSWORD_MIN_LENGTH,PASSWORD_MIN_UPPER_CASE_CHARSetPASSWORD_MIN_LOWER_CASE_CHARS.Plage prise en charge : 8 à 256, inclus.
Par défaut : 256
PASSWORD_MIN_UPPER_CASE_CHARS = integerSpécifie le nombre minimum de caractères majuscules que le mot de passe doit contenir.
Plage prise en charge : de 0 à 256, inclus.
Par défaut : 1
PASSWORD_MIN_LOWER_CASE_CHARS = integerSpécifie le nombre minimum de caractères minuscules que le mot de passe doit contenir.
Plage prise en charge : de 0 à 256, inclus.
Par défaut : 1
PASSWORD_MIN_NUMERIC_CHARS = integerSpécifie le nombre minimum de caractères numériques que le mot de passe doit contenir.
Plage prise en charge : de 0 à 256, inclus.
Par défaut : 1
PASSWORD_MIN_SPECIAL_CHARS = integerSpécifie le nombre minimum de caractères spéciaux que le mot de passe doit contenir.
Plage prise en charge : de 0 à 256, inclus.
Par défaut : 0
PASSWORD_MIN_AGE_DAYS = integerSpécifie le nombre de jours que l’utilisateur doit attendre avant de pouvoir modifier à nouveau un mot de passe récemment changé.
Plage prise en charge : de 0 à 999, inclus.
Par défaut : 0
PASSWORD_MAX_AGE_DAYS = integerSpécifie le nombre maximum de jours avant que le mot de passe ne doive être modifié.
Plage prise en charge : de 0 à 999, inclus.
Une valeur de zéro (c’est-à-dire
0) indique que le mot de passe n’a pas besoin d’être modifié. Snowflake ne recommande pas de choisir cette valeur pour une politique de mot de passe de niveau compte par défaut ou pour toute politique de niveau utilisateur. Choisissez plutôt une valeur qui répond à vos directives de sécurité internes.Valeur par défaut : 90, ce qui signifie que le mot de passe doit être modifié tous les 90 jours.
Important
Ce paramètre est à état. Pour plus de détails, voir la note dans Politique de mot de passe personnalisée pour le compte et les utilisateurs.
PASSWORD_MAX_RETRIES = integerSpécifie le nombre maximum de tentatives pour saisir un mot de passe avant le verrouillage.
Plage prise en charge : de 1 à 10, inclus.
Par défaut : 5
Important
Ce paramètre est à état. Pour plus de détails, voir la note dans Politique de mot de passe personnalisée pour le compte et les utilisateurs.
PASSWORD_LOCKOUT_TIME_MINS = integerSpécifie le nombre de minutes pendant lesquelles le compte utilisateur sera verrouillé après avoir épuisé le nombre désigné de tentatives de mot de passe (c’est-à-dire
PASSWORD_MAX_RETRIES).Plage prise en charge : de 1 à 999, inclus.
Par défaut : 15
Important
Ce paramètre est à état. Pour plus de détails, voir la note dans Politique de mot de passe personnalisée pour le compte et les utilisateurs.
PASSWORD_HISTORY = integerSpécifie le nombre de mots de passe les plus récents que Snowflake stocke. Ces mots de passe stockés ne peuvent pas être répétés lorsqu’un utilisateur met à jour la valeur de son mot de passe.
La valeur actuelle du mot de passe n’est pas prise en compte dans l’historique.
Lorsque vous augmentez la valeur de l’historique, Snowflake sauvegarde les valeurs précédentes.
Lorsque vous diminuez la valeur, Snowflake enregistre les valeurs stockées jusqu’à la valeur définie. Par exemple, si la valeur de l’historique est 8 et que vous modifiez la valeur de l’historique par 3, Snowflake stocke les trois valeurs de mot de passe les plus récentes et supprime les cinq valeurs de mot de passe les plus anciennes de l’historique.
Par défaut : 0
Max : 24
COMMENT = 'string_literal'Ajoute un commentaire ou remplace un commentaire existant pour la politique de mot de passe.
TAG tag_name = 'tag_value' [ , tag_name = 'tag_value' , ... ]Spécifie le nom de la balise et la valeur de la chaîne de la balise.
La valeur de la balise est toujours une chaîne de caractères et le nombre maximum de caractères pour la valeur de la balise est 256.
Pour plus de détails sur la spécification des balises dans une instruction, voir Quotas de balises pour les objets et les colonnes.
UNSET ...Spécifie un (ou plusieurs) paramètre(s) à désactiver pour la politique de mot de passe, ce qui les réinitialise aux valeurs par défaut.
Vous pouvez réinitialiser plusieurs propriétés avec une seule instruction ALTER. Chaque propriété doit être séparée par une virgule. Lorsque vous réinitialisez une propriété, ne spécifiez que le nom. Si vous spécifiez une valeur pour la propriété, vous obtiendrez une erreur.
Exigences en matière de contrôle d’accès¶
Un rôle utilisé pour exécuter cette commande SQL doit avoir les privilèges suivants définis au minimum ainsi :
Privilège |
Objet |
Remarques |
|---|---|---|
OWNERSHIP |
Politique de mot de passe |
OWNERSHIP is a special privilege on an object that is automatically granted to the role that created the object, but can also be transferred using the GRANT OWNERSHIP command to a different role by the owning role (or any role with the MANAGE GRANTS privilege). |
Notez que l’exploitation d’un objet dans un schéma requiert également le privilège USAGE sur la base de données et le schéma parents.
Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.
Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.
Pour plus de détails sur la DDL de politique de mot de passe et les privilèges, voir Gestion des politiques de mots de passe.
Notes sur l’utilisation¶
Avant d’exécuter cette commande, exécutez la commande DESCRIBE PASSWORD POLICY pour déterminer les valeurs des attributs de la politique.
Si vous souhaitez mettre à jour une politique de mot de passe existante et si vous avez besoin de voir la définition actuelle de cette politique, appelez la fonction GET_DDL ou exécutez la commande DESCRIBE PASSWORD POLICY.
Le déplacement d’une politique de mot de passe vers un schéma d’accès géré est interdit sauf si le propriétaire de la politique de mot de passe (c’est-à-dire le rôle qui a le privilège OWNERSHIP sur la politique de mot de passe) est également propriétaire du schéma cible. Pour plus d’informations, voir Aperçu des privilèges de contrôle d’accès.
Exemples¶
L’exemple suivant décrit la politique de mot de passe actuelle, puis met à jour la politique de mot de passe pour spécifier le nombre de tentatives de mot de passe autorisées :
DESC PASSWORD POLICY password_policy_prod_1; ALTER PASSWORD POLICY password_policy_prod_1 SET PASSWORD_MAX_RETRIES = 3;