Snowflakeの新規アカウントで多要素認証の登録をデフォルトで導入(保留中)¶
この動作変更バンドルを有効にすると、新しく作成されたSnowflakeアカウントは以下のように動作します。
- 変更前:
新しく作成されたSnowflakeアカウントには、ユーザーに多要素認証(MFA)への登録を強制する認証ポリシーが組み込まれていません。
- 変更後:
新規に作成されたSnowflakeアカウントでパスワード認証を使用し、 TYPE プロパティが
PERSONまたはNULLに設定されている場合、 MFA に登録するようユーザーに強制する新しい組み込み認証ポリシー。試用アカウントは、新しい組み込み認証ポリシーの対象外です。試用アカウントから有料アカウントに変更する場合、有料アカウントには、 MFA 登録が必要な認証ポリシーが組み込まれます。
リーダーアカウントは、新しい組み込み認証ポリシーの対象外です。
新しいアカウント用推奨事項¶
新しいアカウントを作成するときは、アカウントに ACCOUNTADMIN を割り当てます。この動作変更は、新しいSnowflakeアカウントに多要素認証(MFA)の登録を強制します。人間またはサービスのいずれが ACCOUNTADMIN ロールを使用するかどうかに応じて、ロックアウトを防止するために、またはアカウントを保護するために、 ACCOUNTADMIN で MFA 登録を強制するかどうかを指定する必要があります。
セットアップに応じて、以下のいずれかのセクションに従います。
人間の ACCOUNTADMIN に MFA を強制する¶
アカウントで人間が直接 ACCOUNTADMIN ロールを使用する場合は、アカウント作成時に MFA の登録を ACCOUNTADMIN に強制してアカウントを保護することができます。
アカウント作成時に以下の SQL ステートメントを実行し、人間が ACCOUNTADMIN ロールを使用し、 MFA への登録が必要であることを指定します。
CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;
人間以外の ACCOUNTADMIN に対する MFA の強制を防止する¶
アカウントで人間が ACCOUNTADMIN ロールを使用していない場合は、 ACCOUNTADMIN ロールを使用しているサービスが正常に実行できるように、 MFA の登録が強制されないようにする必要があります。サービスタイプ ACCOUNTADMIN は、認証にパスワードを使用することができず、アカウント作成時に ADMIN_RSA_PUBLIC_KEY を指定する必要があります。
アカウント作成時に以下の SQL ステートメントを実行し、サービスが ACCOUNTADMIN ロールと、認証に RSA キーを使用し、 MFA に登録する必要がないことを指定します。
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = SERVICE
ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';
人間以外の ACCOUNTADMIN でのパスワード認証を許可する¶
アカウントで人間が ACCOUNTADMIN ロールを使用していない場合は、 ACCOUNTADMIN ロールを使用しているサービスが正常に実行できるように、 MFA の登録が強制されないようにする必要があります。サービスタイプ ACCOUNTADMIN の推奨認証方法は、 キーペア認証 ですが、 ACCOUNTADMIN ROLE を使用するサービスがキーペア認証をサポートしていない場合は、レガシーサービスが ACCOUNTADMIN ロールを使用するように指定することができます。
レガシーサービス ACCOUNTADMIN は Snowsight にログインできず、 FIRST_NAME または LAST_NAME パラメーターを設定することができません。
アカウント作成時に以下の SQL ステートメントを実行し、レガシーサービスが ACCOUNTADMIN ロールを使用し、認証にパスワードを使用し、 MFA に登録する必要がないことを指定します。
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = LEGACY_SERVICE
ADMIN_PASSWORD = 'hunter2';
注釈
LEGACY_SERVICE 型は仮の解決策です。Snowflakeは、キーペア認証の設定を強く推奨します。
ユーザータイプとその制限に関する詳細については、 ユーザータイプ をご参照ください。
参照: 1784