View a markdown version of this page

Programmatisches Zugriffstoken von Snowflake - AWS Secrets Manager
Geheime WertfelderGeheime MetadatenfelderAblauf der Nutzung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Programmatisches Zugriffstoken von Snowflake

Geheime Wertfelder

Die folgenden Felder müssen im Secrets Manager Manager-Geheimnis enthalten sein:

{
  "account": "Snowflake account identifier",
  "user": "Snowflake username",
  "privateKey": "PEM-encoded private key",
  "passphrase": "private key passphrase (optional)",
  "patTokenName": "PAT name",
  "patTokenValue": "PAT secret value"
}
Konto

Ihre Snowflake-Konto-ID (zum Beispielmyorg-myaccount). Dies ist der Teil davor .snowflakecomputing.com in Ihrer Snowflake-URL.

user

Der Snowflake-Benutzername, dem das PAT gehört. Für diesen Benutzer muss die Schlüsselpaar-Authentifizierung konfiguriert sein.

privateKey

PEM-encoded privater Schlüssel für die Schlüsselpaar-Authentifizierung. Dieser Schlüssel wird nicht rotiert — er wird zur Authentifizierung des ROTATE PAT-Befehls verwendet (ein PAT kann sich nicht selbst rotieren).

Passphrase

(Optional) Passphrase für einen verschlüsselten privaten Schlüssel. Lassen Sie das Feld leer, wenn der private Schlüssel unverschlüsselt ist.

Pat TokenName

Der Name des programmatischen Zugriffstokens, das rotiert werden soll. Muss mit dem Tokennamen in Snowflake übereinstimmen.

Pat TokenValue

Der geheime Wert des programmatischen Zugriffstokens. Dies ist das Feld, das gedreht wird.

Geheime Metadatenfelder

Im Folgenden sind die Metadatenfelder für das Snowflake Programmatic Access Token aufgeführt:

{
  "daysToExpiry": "15",
  "expireOldTokenAfterHours": "24"
}
Tage ToExpiry

(Optional) Der DAYS_TO_EXPIRY-Wert des PAT wurde bei der Erstellung festgelegt (1—365). Standard: 15. Muss der Snowflake-Einstellung entsprechen. Wird verwendet, um zu überprüfen, ob der Rotationsplan kürzer als die TTL des Tokens ist.

ablaufen OldTokenAfterHours

(Optional) Stunden, bevor das vorherige Token nach der Rotation abläuft (0—720). Standard: 24. Auf 0 setzen, damit das alte Token sofort abläuft.

Ablauf der Nutzung

Diese Rotation verwendet eine Architektur mit nur einem geheimen Geheimnis. Das Geheimnis enthält sowohl die Anmeldeinformationen für das Schlüsselpaar (zur Authentifizierung des Rotationsbefehls) als auch den PAT-Wert (die rotierten Anmeldeinformationen).

Sie können Ihr Geheimnis mithilfe des CreateSecretAufrufs erstellen, wobei der geheime Wert die oben genannten Felder und den Geheimtyp als enthält. SnowflakePat Die Rotationskonfigurationen können mithilfe eines RotateSecretAnrufs festgelegt werden. Das Metadatenfeld für die Rotation kann leer gelassen werden, um Standardwerte zu verwenden. Sie müssen in dem RotateSecretAnruf einen Rollen-ARN angeben, der dem Dienst die erforderlichen Berechtigungen für die Rotation des Secrets gewährt. Ein Beispiel für eine Berechtigungsrichtlinie finden Sie unter Sicherheit und Berechtigungen.

Während der Rotation stellt der Treiber über die Schlüsselpaar-Authentifizierung eine Verbindung zu Snowflake her und führt den ALTER USER ... ROTATE PAT Befehl aus, der atomar ein neues Token generiert und das alte mit der konfigurierten Kulanzzeit abläuft. Das neue Token wird dann verifiziert, indem es als Passwort verwendet wird.