View a markdown version of this page

Token Akses Terprogram Kepingan Salju - AWS Secrets Manager
Bidang Nilai RahasiaBidang Metadata RahasiaAliran Penggunaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Token Akses Terprogram Kepingan Salju

Bidang Nilai Rahasia

Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:

{
  "account": "Snowflake account identifier",
  "user": "Snowflake username",
  "privateKey": "PEM-encoded private key",
  "passphrase": "private key passphrase (optional)",
  "patTokenName": "PAT name",
  "patTokenValue": "PAT secret value"
}
akun

Pengidentifikasi akun Snowflake Anda (misalnya,). myorg-myaccount Ini adalah bagian sebelumnya .snowflakecomputing.com di URL Snowflake Anda.

user

Nama pengguna Snowflake yang memiliki PAT. Pengguna ini harus memiliki otentikasi pasangan kunci yang dikonfigurasi.

privateKey

PEM-encoded kunci pribadi untuk otentikasi pasangan kunci. Kunci ini tidak diputar - ini digunakan untuk mengautentikasi perintah ROTATE PAT (PAT tidak dapat memutar sendiri).

frasa sandi

(Opsional) Frasa sandi untuk kunci pribadi terenkripsi. Biarkan kosong jika kunci pribadi tidak dienkripsi.

tepuk TokenName

Nama token akses terprogram untuk diputar. Harus cocok dengan nama token di Snowflake.

tepuk TokenValue

Nilai rahasia token akses terprogram. Ini adalah bidang yang diputar.

Bidang Metadata Rahasia

Berikut ini adalah bidang metadata untuk Snowflake Programmatic Access Token:

{
  "daysToExpiry": "15",
  "expireOldTokenAfterHours": "24"
}
hari ToExpiry

(Opsional) Nilai DAYS_TO_EXPIRY PAT ditetapkan pada waktu pembuatan (1—365). Default: 15. Harus cocok dengan pengaturan Snowflake. Digunakan untuk memvalidasi bahwa jadwal rotasi lebih pendek dari TTL token.

kedaluwarsa OldTokenAfterHours

(Opsional) Beberapa jam sebelum token sebelumnya kedaluwarsa setelah rotasi (0—720). Default: 24. Setel ke 0 untuk segera kedaluwarsa token lama.

Aliran Penggunaan

Rotasi ini menggunakan arsitektur rahasia tunggal. Rahasia berisi kredensi pasangan kunci (untuk mengautentikasi perintah rotasi) dan nilai PAT (kredensi yang diputar).

Anda dapat membuat rahasia Anda menggunakan CreateSecretpanggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai SnowflakePat. Konfigurasi rotasi dapat diatur menggunakan RotateSecretpanggilan. Bidang metadata rotasi dapat dibiarkan kosong untuk menggunakan nilai default. Anda harus memberikan peran ARN dalam RotateSecretpanggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Untuk contoh kebijakan izin, lihat Keamanan dan Izin.

Selama rotasi, driver terhubung ke Snowflake melalui otentikasi pasangan kunci dan menjalankan ALTER USER ... ROTATE PAT perintah, yang secara atom menghasilkan token baru dan kedaluwarsa yang lama dengan masa tenggang yang dikonfigurasi. Token baru kemudian diverifikasi dengan menghubungkannya sebagai kata sandi.