View a markdown version of this page

Token de acceso programático de Snowflake - AWS Secrets Manager
Campos de valor secretoCampos de metadatos secretosFlujo de uso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Token de acceso programático de Snowflake

Campos de valor secreto

Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:

{
  "account": "Snowflake account identifier",
  "user": "Snowflake username",
  "privateKey": "PEM-encoded private key",
  "passphrase": "private key passphrase (optional)",
  "patTokenName": "PAT name",
  "patTokenValue": "PAT secret value"
}
inscrita

El identificador de su cuenta de Snowflake (por ejemplo,myorg-myaccount). Es la parte anterior de la URL .snowflakecomputing.com de Snowflake.

usuario

El nombre de usuario de Snowflake propietario del PAT. Este usuario debe tener configurada la autenticación por pares de claves.

privateKey

PEM-encoded clave privada para la autenticación por pares de claves. Esta clave no se gira, sino que se utiliza para autenticar el comando ROTATE PAT (una PAT no puede girar sola).

Frase de contraseña

(Opcional) Frase de contraseña para una clave privada cifrada. Déjelo en blanco si la clave privada no está cifrada.

parte TokenName

El nombre del token de acceso programático que se va a rotar. Debe coincidir con el nombre del token de Snowflake.

Pat TokenValue

El valor secreto del token de acceso programático. Este es el campo que se rota.

Campos de metadatos secretos

Los siguientes son los campos de metadatos del token de acceso programático de Snowflake:

{
  "daysToExpiry": "15",
  "expireOldTokenAfterHours": "24"
}
días ToExpiry

(Opcional) El valor DAYS_TO_EXPIRY del PAT establecido en el momento de la creación (de 1 a 365). Valor predeterminado: 15. Debe coincidir con la configuración Snowflake. Se utiliza para validar que el programa de rotación es más corto que el TTL del token.

caducar OldTokenAfterHours

(Opcional) Horas antes de que el token anterior caduque tras la rotación (0—720). Predeterminado: 24. Establézcalo en 0 para que caduque inmediatamente el token anterior.

Flujo de uso

Esta rotación utiliza una arquitectura de secreto único. El secreto contiene tanto las credenciales del par de claves (para autenticar el comando de rotación) como el valor PAT (la credencial girada).

Puedes crear tu secreto mediante la CreateSecretllamada cuyo valor secreto contenga los campos mencionados anteriormente y cuyo tipo de secreto sea. SnowflakePat Las configuraciones de rotación se pueden configurar mediante una RotateSecretllamada. El campo de metadatos de rotación se puede dejar vacío para utilizar los valores predeterminados. Debe proporcionar un ARN de rol en la RotateSecretllamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta Seguridad y permisos.

Durante la rotación, el controlador se conecta a Snowflake mediante una autenticación por pares de claves y ejecuta el ALTER USER ... ROTATE PAT comando, que genera de forma atómica un nuevo token y hace caducar el anterior con el período de gracia configurado. A continuación, el nuevo token se verifica conectándose a él como contraseña.