Inscrição de autenticação multifator aplicada por padrão a novas contas Snowflake (pendente)¶
Atenção
Essa mudança de comportamento está no pacote 2024_08.
Para saber o status atual do pacote, consulte Histórico do pacote.
Quando esse pacote de mudança de comportamento é habilitado, as contas Snowflake recém-criadas se comportam da seguinte forma:
- Antes da mudança:
Nenhuma política de autenticação integrada que force os usuários a se inscreverem na autenticação multifator (MFA) em contas Snowflake recém-criadas.
- Após a mudança:
Uma nova política de autenticação integrada que obriga os usuários a se inscreverem em MFA em contas Snowflake recém-criadas se o usuário utilizar autenticação de senha e tiver sua propriedade TYPE definida como
PERSONouNULL.Contas de teste estão isentas da nova política de autenticação integrada. Se uma conta de avaliação for convertida em uma conta paga, a conta paga terá uma política de autenticação integrada que exige registro em MFA.
Contas de leitores estão isentas da nova política de autenticação integrada.
Recomendações para novas contas¶
Ao criar uma nova conta, você atribui um ACCOUNTADMIN para sua conta. Essa mudança de comportamento impõe a inscrição de autenticação multifator (MFA) em novas contas Snowflake. Dependendo se um humano ou um serviço usa a função ACCOUNTADMIN, você precisa especificar se deseja impor o registro em MFA em ACCOUNTADMIN para evitar bloqueios ou proteger sua conta.
Siga uma das seções abaixo, dependendo da sua configuração:
Como impedir que MFA seja imposta a um ACCOUNTADMIN não humano
Permissão da autenticação de senha em um ACCOUNTADMIN não humano
Imposição do registro em MFA em um ACCOUNTADMIN humano¶
Se um humano usar diretamente a função ACCOUNTADMIN em sua conta, é possível protegê-la obrigando que ACCOUNTADMIN se registre em MFA durante a criação da conta.
Execute a seguinte instrução SQL durante a criação da conta para especificar que um humano use a função ACCOUNTADMIN e exigi-la par se registrar em MFA:
CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;
Como impedir que MFA seja imposta a um ACCOUNTADMIN não humano¶
Se um humano não usar a função ACCOUNTADMIN em sua conta, é necessário impedir que a inscrição em MFA seja aplicada para permitir que o serviço que está usando a função ACCOUNTADMIN seja executado com sucesso. Um tipo de serviço ACCOUNTADMIN não pode usar senhas para autenticação e deve especificar uma ADMIN_RSA_PUBLIC_KEY durante a criação da conta.
Execute a seguinte instrução SQL durante a criação da conta para especificar que um serviço usa a função ACCOUNTADMIN, uma chave RSA para autenticação e que não é necessário se registrar em MFA:
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = SERVICE
ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';
Permissão da autenticação de senha em um ACCOUNTADMIN não humano¶
Se um humano não usar a função ACCOUNTADMIN em sua conta, é necessário impedir que a inscrição em MFA seja aplicada para permitir que o serviço que está usando a função ACCOUNTADMIN seja executado com sucesso. O método de autenticação recomendado para um ACCOUNTADMIN de tipo de serviço é a autenticação de par de chaves, mas se o serviço que está utilizando a ACCOUNTADMIN ROLE não oferecer suporte à autenticação de par de chaves, será possível especificar que um serviço legado use a função ACCOUNTADMIN.
Um serviço legado ACCOUNTADMIN não pode fazer login em Snowsight e não é possível definir os parâmetros FIRST_NAME ou LAST_NAME.
Execute a seguinte instrução SQL durante a criação da conta para especificar que um serviço legado usa a função ACCOUNTADMIN, uma senha para autenticação e que não é necessário se registrar em MFA:
CREATE ACCOUNT my_admin
ADMIN_USER_TYPE = LEGACY_SERVICE
ADMIN_PASSWORD = 'hunter2';
Nota
O tipo LEGACY_SERVICE é uma solução temporária. A Snowflake recomenda fortemente que você defina a autenticação de par de chaves.
Consulte tipos de usuário para obter mais informações sobre tipos de usuário e suas limitações.
Ref.: 1784