ALTER PASSWORD POLICY¶
既存のパスワードポリシーのプロパティを変更します。
パスワードポリシーのプロパティに加えられた変更は、パスワードポリシーを使用する次の SQL クエリが実行されるときに有効になります。
- こちらもご参照ください。
構文¶
ALTER PASSWORD POLICY [ IF EXISTS ] <name> SET [ PASSWORD_MIN_LENGTH = <integer> ]
[ PASSWORD_MAX_LENGTH = <integer> ]
[ PASSWORD_MIN_UPPER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_LOWER_CASE_CHARS = <integer> ]
[ PASSWORD_MIN_NUMERIC_CHARS = <integer> ]
[ PASSWORD_MIN_SPECIAL_CHARS = <integer> ]
[ PASSWORD_MAX_AGE_DAYS = <integer> ]
[ PASSWORD_MAX_RETRIES = <integer> ]
[ PASSWORD_LOCKOUT_TIME_MINS = <integer> ]
[ COMMENT = '<string_literal>' ]
ALTER PASSWORD POLICY [ IF EXISTS ] <name> UNSET [ PASSWORD_MIN_LENGTH ]
[ PASSWORD_MAX_LENGTH ]
[ PASSWORD_MIN_UPPER_CASE_CHARS ]
[ PASSWORD_MIN_LOWER_CASE_CHARS ]
[ PASSWORD_MIN_NUMERIC_CHARS ]
[ PASSWORD_MIN_SPECIAL_CHARS ]
[ PASSWORD_MAX_AGE_DAYS ]
[ PASSWORD_MAX_RETRIES ]
[ PASSWORD_LOCKOUT_TIME_MINS ]
[ COMMENT ]
パラメーター¶
SET ...
パスワードポリシーに設定する、空白、コンマ、または改行で区切られる1つ以上のパラメーターを指定します。
name
パスワードポリシーの識別子。アカウントに対して一意である必要があります。
識別子の値はアルファベットで始まる必要があり、識別子文字列全体が二重引用符で囲まれていない限り、スペースや特殊文字を含めることはできません(例:
"My object"
)。二重引用符で囲まれた識別子も大文字と小文字が区別されます。詳細については、 識別子の要件 をご参照ください。
PASSWORD_MIN_LENGTH = integer
パスワードに含める必要がある最小文字数を指定します。
サポートされている範囲は8から256までです。
デフォルト: 8
PASSWORD_MAX_LENGTH = integer
パスワードに含める必要がある最大文字数を指定します。この数は、
PASSWORD_MIN_LENGTH
、PASSWORD_MIN_UPPER_CASE_CHARS
、およびPASSWORD_MIN_LOWER_CASE_CHARS
の合計以上にする必要があります。サポートされている範囲は8から256までです。
デフォルト: 256
PASSWORD_MIN_UPPER_CASE_CHARS = integer
パスワードに含める必要がある大文字の最小文字数を指定します。
サポートされている範囲は0から256までです。
デフォルト: 1
PASSWORD_MIN_LOWER_CASE_CHARS = integer
パスワードに含める必要がある小文字の最小文字数を指定します。
サポートされている範囲は0から256までです。
デフォルト: 1
PASSWORD_MIN_NUMERIC_CHARS = integer
パスワードに含める必要がある数字の最小文字数を指定します。
サポートされている範囲は0から256までです。
デフォルト: 1
PASSWORD_MIN_SPECIAL_CHARS = integer
パスワードに含める必要がある特殊文字の最小文字数を指定します。
サポートされている範囲は0から256までです。
デフォルト: 1
PASSWORD_MAX_AGE_DAYS = integer
パスワードの変更が必要になるまでの最大日数を指定します。
サポートされている範囲は0から999までです。
ゼロの値(つまり、
0
)は、パスワードを変更する必要がないことを示します。Snowflakeは、デフォルトのアカウントレベルのパスワードポリシーまたはユーザーレベルのポリシーにこの値を選択することを推奨しません。代わりに、社内のセキュリティガイドラインを満たす値を選択してください。デフォルト: 90。これは、90日ごとにパスワードを変更する必要があることを意味します。
重要
このパラメーターはステートフルです。詳細については、 アカウントおよびユーザーのカスタムパスワードポリシー の注意事項をご参照ください。
PASSWORD_MAX_RETRIES = integer
ロックアウトされるまでのパスワード入力の最大試行回数を指定します。
サポートされている範囲は1から10までです。
デフォルト: 5
重要
このパラメーターはステートフルです。詳細については、 アカウントおよびユーザーのカスタムパスワードポリシー の注意事項をご参照ください。
PASSWORD_LOCKOUT_TIME_MINS = integer
指定されたパスワード再試行回数(つまり、
PASSWORD_MAX_RETRIES
)に達した後、ユーザーアカウントがロックされる分数を指定します。サポートされている範囲は1から999までです。
デフォルト: 15
重要
このパラメーターはステートフルです。詳細については、 アカウントおよびユーザーのカスタムパスワードポリシー の注意事項をご参照ください。
COMMENT = 'string_literal'
パスワードポリシーのコメントを追加するか、既存のコメントを上書きします。
UNSET ...
パスワードポリシーの設定を解除する1つ以上のパラメーターを指定します。これにより、パラメーターはシステムデフォルトにリセットされます。
単一の ALTER ステートメントで複数のプロパティをリセットできます。各プロパティはコンマで区切る 必要があります。プロパティをリセットするときは、名前のみを指定します。プロパティに値を指定すると、エラーが返されます。
アクセス制御の要件¶
この SQL コマンドの実行に使用される ロール には、少なくとも次の 権限 が必要です。
権限 |
オブジェクト |
メモ |
---|---|---|
OWNERSHIP |
パスワードポリシー |
OWNERSHIP is a special privilege on an object that is automatically granted to the role that created the object, but can also be transferred using the GRANT OWNERSHIP command to a different role by the owning role (or any role with the MANAGE GRANTS privilege). |
スキーマ内の任意のオブジェクトを操作するには、親データベースとスキーマに対する USAGE 権限も必要であることに注意してください。
指定された権限のセットを使用してカスタムロールを作成する手順については、 カスタムロールの作成 をご参照ください。
セキュリティ保護可能なオブジェクト に対して SQL アクションを実行するためのロールと権限付与に関する一般的な情報については、 アクセス制御の概要 をご参照ください。
パスワードポリシー DDL と権限の詳細については、 パスワードポリシーの管理 をご参照ください。
使用上の注意¶
このコマンドを実行する前に、 DESCRIBE PASSWORD POLICY コマンドを実行してポリシーの属性値を確認します。
既存のパスワードポリシーを更新するために、ポリシーの現在の定義を確認する必要がある場合は、 GET_DDL 関数を呼び出すか、 DESCRIBE PASSWORD POLICY コマンドを実行します。
パスワードポリシーをマネージドアクセススキーマに移動することは、パスワードポリシーの所有者(つまり、パスワードポリシーの OWNERSHIP 権限を持つロール)がターゲットスキーマも所有している場合を 除き、禁止されています。詳細については、 アクセス制御権限の概要 をご参照ください。
例¶
次の例では、現在のパスワードポリシーについて説明し、パスワードポリシーを更新して、許可されるパスワードの再試行回数を指定します。
DESC PASSWORD POLICY Password_policy_prod_1; ALTER PASSWORD POLICY password_policy_prod_1 SET PASSWORD_MAX_RETRIES = 3;