신규 Snowflake 계정에 대해 기본적으로 다단계 인증 등록이 적용됨(보류 중)¶
이 동작 변경 번들을 활성화하면 새로 생성된 Snowflake 계정은 다음과 같이 동작합니다.
- 변경 전:
새로 만든 Snowflake 계정에서 사용자가 다단계 인증(MFA)을 등록하도록 강제 적용하는 기본 제공 인증 정책이 없습니다.
- 변경 후:
사용자가 비밀번호 인증을 사용하는 경우 새로 생성된 Snowflake 계정에 MFA를 등록하고 TYPE 속성을
PERSON또는NULL로 설정하도록 강제하는 새로운 기본 제공 인증 정책입니다.평가판 계정에는 새로운 기본 제공 인증 정책이 적용되지 않습니다. 평가판 계정이 유료 계정으로 전환되는 경우 유료 계정에는 MFA 등록이 필요한 인증 정책이 기본으로 제공됩니다.
독자 계정은 새로운 기본 제공 인증 정책에서 제외됩니다.
신규 계정에 대한 권장 사항¶
새 계정을 생성할 때 계정에 ACCOUNTADMIN을 할당합니다. 이 동작 변경을 통해 새 Snowflake 계정에 다단계 인증(MFA) 등록이 적용됩니다. 사람 사용자 또는 서비스가 ACCOUNTADMIN 역할을 사용하는지 여부에 따라 ACCOUNTADMIN에 MFA 등록을 강제 적용하여 잠금을 방지할지, 아니면 계정을 보호할지 지정해야 합니다.
설정에 따라 아래 섹션 중 하나를 따르십시오.
사람 사용자 ACCOUNTADMIN에 MFA 등록 강제 적용¶
사람 사용자가 직접 계정에서 ACCOUNTADMIN 역할을 사용하는 경우 계정 생성 시 ACCOUNTADMIN이 MFA에 등록하도록 강제하여 계정을 보호할 수 있습니다.
계정 생성 중에 다음 SQL 문을 실행하여 사람 사용자가 ACCOUNTADMIN 역할을 사용하며 MFA에 등록해야 함을 지정합니다.
CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;
사람 사용자가 아닌 ACCOUNTADMIN에 MFA 적용 안 함¶
계정에서 ACCOUNTADMIN 역할을 사용하지 않는 사람 사용자가 있는 경우 ACCOUNTADMIN 역할을 사용하는 서비스가 성공적으로 실행될 수 있도록 MFA 등록이 강제 적용되지 않도록 해야 합니다. 서비스 유형 ACCOUNTADMIN은 비밀번호를 사용하여 인증할 수 없으며, 계정을 생성하는 중에 ADMIN_RSA_PUBLIC_KEY 를 지정해야 합니다.
계정을 생성하는 중에 다음 SQL 문을 실행하여 서비스가 ACCOUNTADMIN 역할, RSA 키를 사용하여 인증하고 MFA에 등록할 필요가 없음을 지정합니다.
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = SERVICE
ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';
사람이 아닌 사용자 ACCOUNTADMIN에 대한 비밀번호 인증 허용¶
계정에서 ACCOUNTADMIN 역할을 사용하지 않는 사람 사용자가 있는 경우 ACCOUNTADMIN 역할을 사용하는 서비스가 성공적으로 실행될 수 있도록 MFA 등록이 강제 적용되지 않도록 해야 합니다. 서비스 유형 ACCOUNTADMIN의 권장 인증 방법은 키 페어 인증 이지만, ACCOUNTADMIN ROLE을 사용하는 서비스가 키 페어 인증을 지원하지 않는 경우 레거시 서비스에서 ACCOUNTADMIN 역할을 사용하도록 지정할 수 있습니다.
레거시 서비스 ACCOUNTADMIN은 Snowsight 에 로그인할 수 없으며, FIRST_NAME 또는 LAST_NAME 매개 변수를 설정할 수 없습니다.
계정을 생성하는 중에 다음 SQL 문을 실행하여 레거시 서비스가 ACCOUNTADMIN 역할, 비밀번호를 사용하여 인증하고 MFA에 등록할 필요가 없음을 지정합니다.
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = LEGACY_SERVICE
ADMIN_PASSWORD = 'hunter2';
참고
LEGACY_SERVICE 유형은 일시적인 해결 방법입니다. Snowflake는 키 페어 인증을 설정할 것을 적극 권장합니다.
사용자 유형 및 제한 사항에 대한 자세한 내용은 사용자 유형 섹션을 참조하십시오.
참조: 1784