Snowflakeの新規アカウントに対して多要素認証の登録がデフォルトで求められるようになります。¶
この動作変更バンドルを有効にすると、新しく作成されたSnowflakeアカウントは以下のように動作します。
- 変更前:
新しく作成されたSnowflakeアカウントには、ユーザーに多要素認証(MFA)への登録を強制する認証ポリシーが組み込まれていません。
- 変更後:
新規に作成されたSnowflakeアカウントでパスワード認証を使用し、 TYPE プロパティが
PERSONまたはNULLに設定されている場合、 MFA に登録するようユーザーに強制する新しい組み込み認証ポリシー。試用アカウントは、新しい組み込み認証ポリシーの対象外です。試用アカウントから有料アカウントに変更する場合、有料アカウントには、 MFA 登録が必要な認証ポリシーが組み込まれます。
リーダーアカウントは、新しい組み込み認証ポリシーの対象外です。
新しいアカウント用推奨事項¶
新しいアカウントを作成するときは、アカウントに ACCOUNTADMIN を割り当てます。この動作変更は、新しいSnowflakeアカウントに多要素認証(MFA)の登録を強制します。人間またはサービスのいずれが ACCOUNTADMIN ロールを使用するかどうかに応じて、ロックアウトを防止するために、またはアカウントを保護するために、 ACCOUNTADMIN で MFA 登録を強制するかどうかを指定する必要があります。
セットアップに応じて、以下のいずれかのセクションに従います。
人間の ACCOUNTADMIN に MFA を強制する¶
アカウントで人間が直接 ACCOUNTADMIN ロールを使用する場合は、アカウント作成時に MFA の登録を ACCOUNTADMIN に強制してアカウントを保護することができます。
アカウント作成時に以下の SQL ステートメントを実行し、人間が ACCOUNTADMIN ロールを使用し、 MFA への登録が必要であることを指定します。
人間以外の ACCOUNTADMIN に対する MFA の強制を防止する¶
アカウントで人間が ACCOUNTADMIN ロールを使用していない場合は、 ACCOUNTADMIN ロールを使用しているサービスが正常に実行できるように、 MFA の登録が強制されないようにする必要があります。サービスタイプ ACCOUNTADMIN は、認証にパスワードを使用することができず、アカウント作成時に ADMIN_RSA_PUBLIC_KEY を指定する必要があります。
アカウント作成時に以下の SQL ステートメントを実行し、サービスが ACCOUNTADMIN ロールと、認証に RSA キーを使用し、 MFA に登録する必要がないことを指定します。
人間以外の ACCOUNTADMIN でのパスワード認証を許可する¶
アカウントで人間が ACCOUNTADMIN ロールを使用していない場合は、 ACCOUNTADMIN ロールを使用しているサービスが正常に実行できるように、 MFA の登録が強制されないようにする必要があります。サービスタイプ ACCOUNTADMIN の推奨認証方法は、 キーペア認証 ですが、 ACCOUNTADMIN ROLE を使用するサービスがキーペア認証をサポートしていない場合は、レガシーサービスが ACCOUNTADMIN ロールを使用するように指定することができます。
レガシーサービス ACCOUNTADMIN は Snowsight にログインできず、 FIRST_NAME または LAST_NAME パラメーターを設定することができません。
アカウント作成時に以下の SQL ステートメントを実行し、レガシーサービスが ACCOUNTADMIN ロールを使用し、認証にパスワードを使用し、 MFA に登録する必要がないことを指定します。
注釈
LEGACY_SERVICE 型は仮の解決策です。Snowflakeは、キーペア認証の設定を強く推奨します。
ユーザータイプとその制限に関する詳細については、 ユーザータイプ をご参照ください。
参照: 1784