Esquema:

ACCOUNT_USAGE

Exibição CREDENTIALS

Essa visualização do uso da conta inclui uma linha para cada credencial usada como primeiro ou segundo fator para autenticação. Essa visualização inclui linhas para os seguintes tipos de credenciais:

Nota

Essa visualização não inclui informações sobre Autenticadores Duo (Duo push e senhas).

Para determinar se um usuário configurou o Duo como um segundo fator para autenticação, você pode executar o comando SHOW MFA METHODS.

Essa visualização não inclui as credenciais que foram excluídas.

Colunas

Coluna

Tipo de dados

Descrição

CREDENTIAL_ID

NUMBER

Identificador interno/gerado pelo sistema para a credencial.

NAME

VARCHAR

Nome da credencial.

USER_NAME

VARCHAR

Nome do usuário associado à credencial.

TYPE

VARCHAR

Tipo da credencial. Esses tipos incluem:

DOMAIN

VARCHAR

Domínio da credencial. Os domínios incluem:

Um determinado domínio pode ter um ou mais tipos possíveis (especificados na coluna TYPE).

COMMENT

VARCHAR

Comentário sobre a credencial.

STATUS

VARCHAR

Status da credencial. O status depende do valor na coluna TYPE:

  • Para TYPE = 'PAT' (tokens de acesso programático), o status pode ser uma das seguintes opções:

    • ACTIVE: o token de acesso programático pode ser usado para autenticar e ainda não expirou.

    • EXPIRED: o token de acesso programático não pode ser usado para autenticar porque a data de expiração já passou.

    • DISABLED: o token de acesso programático é desabilitado porque o acesso ao login de usuário está desativado ou o usuário está bloqueado para fazer login.

  • Para outros tipos de credenciais, o status pode ser uma das seguintes opções:

    • PENDING: o usuário iniciou o processo de inscrição em um método MFA, mas não o concluiu. Por exemplo, o usuário começou a registrar um autenticador, mas nunca concluiu o processo de configuração do autenticador. Como resultado, o método MFA ainda não é considerado válido.

    • ENROLLED: o usuário completou o processo de inscrição para a método MFA, e o MFA pode ser usado para autenticação de segundo fator.

ADDITIONAL_DETAILS

OBJECT

Detalhes adicionais sobre a credencial. Os detalhes adicionais dependem do tipo da credencial (o valor na coluna TYPE):

  • Para TYPE = 'PAT' (tokens de acesso programático), a coluna contém um valor de OBJECT com os seguintes pares de chave-valor:

    • Para a chave MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT, o valor é um número inteiro que representa o número de minutos durante os quais o requisito de ter uma política de redes é ignorado. Você pode especificar esse valor ao gerar o token.

    • Para a chave ROLE_RESTRICTION, o valor é uma matriz das funções que são usadas para avaliação de privilégios e criação de objetos durante a sessão autenticada com este token. Você pode especificar essas funções ao gerar o token.

    • Para a chave ROTATED_TO, o valor é o nome do token mais recente pelo qual este token foi substituído durante a rotação.

    Esses pares chave-valor estão presentes somente se as propriedades correspondentes estiverem definidas no token. Por exemplo:

    {
      "MINS_TO_BYPASS_NETWORK_POLICY_REQUIREMENT":
        60,
      "ROLE_RESTRICTION": [
        "MY_ROLE"
      ],
      "ROTATED_TO": "MY_PAT_NAME"
    }
    
    Copy

    Se nenhum deles for especificado para o token, a coluna conterá um objeto vazio ({}).

  • Para TYPE = 'PASSKEY' (chave de acesso), a coluna contém um valor de OBJECT com o par de chave-valor aaguid. Por exemplo:

    {
      "aaguid": "a12345678-..."
    }
    
    Copy
  • Para TYPE = 'TOTP' (senha única baseada em tempo), a coluna contém NULL.

  • Para TYPE = 'AWS' (federação de identidades de cargas de trabalho), a coluna contém um valor de OBJECT com os seguintes pares de chave-valor:

    • Para a chave aws_partition, o valor é a partição da AWS da identidade federada.

    • Para a chave aws_account, o valor é o identificador de conta da AWS da identidade federada.

    • Para a chave type, o valor é o tipo da identidade federada. Esse valor pode ser IAM_USER ou IAM_ROLE.

    • Para a chave iam_role, o valor é o nome da função ou usuário federado do IAM.

  • Para TYPE = 'AZURE' (federação de identidades de cargas de trabalho), a coluna contém um valor de OBJECT com os seguintes pares de chave-valor:

    • Para a chave issuer, o valor é o URL da autoridade do locatário do Entra ID.

    • Para a chave subject, o valor é o ID do objeto (ID da entidade) atribuído à carga de trabalho do Azure que está usando uma identidade gerenciada.

  • Para TYPE = 'GCP' (federação de identidades de cargas de trabalho), a coluna contém um valor de OBJECT com os seguintes pares de chave-valor:

    • Para a chave subject, o valor é a propriedade uniqueId da conta de serviço do Google Cloud associada à carga de trabalho federada.

  • Para TYPE = 'OIDC' (federação de identidades de cargas de trabalho), a coluna contém um valor de OBJECT com os seguintes pares de chave-valor:

    • Para a chave issuer, o valor é o URL do emissor do provedor do OpenID Connect (OIDC).

    • Para a chave subject, o valor é o identificador da carga de trabalho federada.

    • Para a chave audience_list, o valor são os públicos personalizados que são permitidos em um token de ID do OIDC. Um valor vazio significa que o público padrão snowflakecomputing.com é obrigatório.

CREATED_BY

VARCHAR

Nome do usuário que criou a credencial.

LAST_ALTERED_BY

VARCHAR

Nome do usuário que modificou a credencial pela última vez.

CREATED_ON

TIMESTAMP_LTZ

Data e hora em que a credencial foi criada.

LAST_USED_ON

TIMESTAMP_LTZ

Data e hora em que a credencial foi usada pela última vez para autenticação.

LAST_ALTERED

TIMESTAMP_LTZ

Data e hora em que a credencial foi modificada pela última vez.

EXPIRATION_DATE

TIMESTAMP_LTZ

Data e hora em que a credencial expira.

Notas de uso

  • A latência da visualização pode ser de até 3 horas.

  • Se um token de acesso programático for gerado logo após a criação de um usuário, as informações sobre esse usuário nesta exibição podem estar incompletas. Pode levar algum tempo para que as informações do usuário sejam incluídas na exibição.

Exemplos

O exemplo a seguir retorna linhas para tokens de acesso programático:

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.CREDENTIALS WHERE type = 'PAT';
Copy
+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+
| CREDENTIAL_ID | NAME          | USER_NAME    | TYPE | DOMAIN                    | COMMENT           | STATUS | ADDITIONAL_DETAILS | CREATED_BY   | LAST_ALTERED_BY | CREATED_ON              | LAST_USED_ON            | LAST_ALTERED            |
|---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------|
|      19464837 | EXAMPLE_TOKEN | EXAMPLE_USER | PAT  | PROGRAMMATIC_ACCESS_TOKEN | My token for APIs | ACTIVE | {}                 | EXAMPLE_USER | EXAMPLE_USER    | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 | 2025-04-14 22:05:19.661 |
+---------------+---------------+--------------+------+---------------------------+-------------------+--------+--------------------+--------------+-----------------+-------------------------+-------------------------+-------------------------+