ALTER SECRET¶
Modifie les propriétés d’un secret existant.
- Voir aussi :
CREATE SECRET , DESCRIBE SECRET , DROP SECRET , SHOW SECRETS
Syntaxe¶
OAuth avec flux d’identifiants de connexion client :
ALTER SECRET [ IF EXISTS ] <name> SET [ OAUTH_SCOPES = ( '<scope_1>' [ , '<scope_2>' ... ] ) ]
[ COMMENT = '<string_literal>' ]
ALTER SECRET [ IF EXISTS ] <name> UNSET COMMENT
OAuth avec flux d’accord de code d’autorisation :
ALTER SECRET [ IF EXISTS ] <name> SET [ OAUTH_REFRESH_TOKEN = '<token>' ]
[ OAUTH_REFRESH_TOKEN_EXPIRY_TIME = '<string_literal>' ]
[ COMMENT = '<string_literal>' ]
ALTER SECRET [ IF EXISTS ] <name> UNSET COMMENT
Fournisseur Cloud :
Fonctionnalité en avant-première — Ouvrir
Disponible pour tous les comptes.
ALTER SECRET [ IF EXISTS ] <name> SET [ API_AUTHENTICATION = '<cloud_provider_security_integration>' ]
[ COMMENT = '<string_literal>' ]
ALTER SECRET [ IF EXISTS ] <name> UNSET COMMENT
Authentification de base :
ALTER SECRET [ IF EXISTS ] <name> SET [ USERNAME = '<username>' ]
[ PASSWORD = '<password>' ]
[ COMMENT = '<string_literal>' ]
ALTER SECRET [ IF EXISTS ] <name> UNSET COMMENT
Chaîne générique :
ALTER SECRET [ IF EXISTS ] <name> SET [ SECRET_STRING = '<string_literal>' ]
[ COMMENT = '<string_literal>' ]
ALTER SECRET [ IF EXISTS ] <name> UNSET COMMENT
OAuth avec les paramètres de flux d’identifiants de connexion du client¶
nameChaîne spécifiant l’identificateur (c’est-à-dire le nom) du secret ; elle doit être unique dans votre schéma.
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir (séparés par des espaces, des virgules ou de nouvelles lignes).
OAUTH_SCOPES = ( 'scope_1' [ , 'scope_2' ... ] )Spécifie une liste des champs d’application séparés par des virgules à utiliser lors d’une requête à partir du serveur OAuth par un rôle avec USAGE sur l’intégration pendant le flux d””identifiants de connexion client OAuth.
Cette liste doit être un sous-ensemble des champs d’application définis dans la propriété
OAUTH_ALLOWED_SCOPESde l’intégration de sécurité. Si les valeurs de propriétéOAUTH_SCOPESne sont pas spécifiées, le secret hérite de tous les champs d’application spécifiés dans l’intégration de sécurité.
Paramètres requis AWS IAM¶
Fonctionnalité en avant-première — Ouvrir
Disponible pour tous les comptes.
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir (séparés par des espaces, des virgules ou de nouvelles lignes).
TYPE = CLOUD_PROVIDER_TOKENSpécifie qu’il s’agit d’un secret à utiliser avec un fournisseur de cloud, tel qu’Amazon Web Services (AWS).
API_AUTHENTICATION = 'cloud_provider_security_integration'Spécifie la valeur
namede l’intégration de sécurité Snowflake qui connecte Snowflake à un fournisseur cloud.
Paramètres d’authentification de base¶
nameChaîne spécifiant l’identificateur (c’est-à-dire le nom) du secret ; elle doit être unique dans votre schéma.
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir pour la session (séparés par des espaces, des virgules ou de nouvelles lignes).
USERNAME = 'username'Spécifie la valeur du nom d’utilisateur à stocker dans le secret.
Spécifiez cette valeur de propriété lorsque vous utilisez un secret pour l’authentification de base (c’est-à-dire que le secret est
TYPE = PASSWORD).PASSWORD = 'password'Spécifie la valeur du mot de passe à stocker dans le secret.
Spécifiez cette valeur de propriété lorsque vous utilisez un secret pour l’authentification de base (c’est-à-dire que le secret est
TYPE = PASSWORD).
Paramètres de chaîne génériques¶
nameChaîne spécifiant l’identificateur (c’est-à-dire le nom) du secret ; elle doit être unique dans votre schéma.
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir (séparés par des espaces, des virgules ou de nouvelles lignes).
SECRET_STRING = 'string_literal'Spécifie la chaîne à stocker dans le secret.
La chaîne peut être un jeton API ou une chaîne de valeur sensible qui peut être utilisée dans le code du gestionnaire d’une UDF ou d’une procédure stockée. Pour plus de détails, voir Création et utilisation d’une intégration d’accès externe.
Vous ne devez pas utiliser cette propriété pour stocker un quelconque type de jeton OAuth ; utilisez l’un des autres types de secrets pour vos cas d’utilisation OAuth.
Paramètres communs : toutes les syntaxes¶
SET ...Spécifie un (ou plusieurs) paramètre(s) à définir pour la session (séparés par des espaces, des virgules ou de nouvelles lignes).
COMMENT = 'string_literal'Chaîne (littéral) qui spécifie un commentaire pour le secret.
Par défaut : aucune valeur
UNSET ...Spécifie un(e) ou plusieurs paramètres/propriété(s) à désactiver pour le secret, ce qui les réinitialise à leurs valeurs par défaut :
COMMENT
Exigences en matière de contrôle d’accès¶
Un rôle utilisé pour exécuter cette commande SQL doit avoir les privilèges suivants définis au minimum ainsi :
Privilège |
Objet |
Remarques |
|---|---|---|
OWNERSHIP |
Secret |
OWNERSHIP is a special privilege on an object that is automatically granted to the role that created the object, but can also be transferred using the GRANT OWNERSHIP command to a different role by the owning role (or any role with the MANAGE GRANTS privilege). |
Notez que l’exploitation d’un objet dans un schéma requiert également le privilège USAGE sur la base de données et le schéma parents.
Pour obtenir des instructions sur la création d’un rôle personnalisé avec un ensemble spécifique de privilèges, voir Création de rôles personnalisés.
Pour des informations générales sur les rôles et les privilèges accordés pour effectuer des actions SQL sur des objets sécurisables, voir Aperçu du contrôle d’accès.
Notes sur l’utilisation¶
Concernant les métadonnées :
Attention
Les clients doivent s’assurer qu’aucune donnée personnelle (autre que pour un objet utilisateur), donnée sensible, donnée à exportation contrôlée ou autre donnée réglementée n’est saisie comme métadonnée lors de l’utilisation du service Snowflake. Pour plus d’informations, voir Champs de métadonnées dans Snowflake.
Exemples¶
Modifier le commentaire d’un secret :
ALTER SECRET service_now_creds_pw SET COMMENT = 'production secret for servicenow';