Campos de valor secreto Campos de metadados secretos Fluxo de uso

Token de acesso programático Snowflake

Campos de valor secreto

A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:


{
  "account": "Snowflake account identifier",
  "user": "Snowflake username",
  "privateKey": "PEM-encoded private key",
  "passphrase": "private key passphrase (optional)",
  "patTokenName": "PAT name",
  "patTokenValue": "PAT secret value"
}

account: Seu identificador de conta do Snowflake (por exemplo,myorg-myaccount). Essa é a parte anterior .snowflakecomputing.com em seu URL do Snowflake.
usuário: O nome de usuário do Snowflake que possui o PAT. Esse usuário deve ter a autenticação por par de chaves configurada.
privateKey: PEM-encoded chave privada para autenticação por par de chaves. Essa chave não é girada — ela é usada para autenticar o comando ROTATE PAT (um PAT não pode girar sozinho).
frase secreta: (Opcional) Frase secreta para uma chave privada criptografada. Deixe em branco se a chave privada não estiver criptografada.
tapinha TokenName: O nome do token de acesso programático a ser rotacionado. Deve corresponder ao nome do token em Snowflake.
tapinha TokenValue: O valor secreto do token de acesso programático. Esse é o campo que é rotacionado.

Campos de metadados secretos

A seguir estão os campos de metadados do Snowflake Programmatic Access Token:


{
  "daysToExpiry": "15",
  "expireOldTokenAfterHours": "24"
}

dias ToExpiry: (Opcional) O valor DAYS_TO_EXPIRY do PAT definido no momento da criação (1—365). Padrão: 15. Deve corresponder à configuração do Snowflake. Usado para validar se o cronograma de rotação é menor que o TTL do token.
expirar OldTokenAfterHours: (Opcional) Horas antes do token anterior expirar após a rotação (0—720). Padrão: 24. Defina como 0 para expiração imediata do token antigo.

Fluxo de uso

Essa rotação usa uma arquitetura de segredo único. O segredo contém as credenciais do par de chaves (para autenticar o comando de rotação) e o valor PAT (a credencial girada).

Você pode criar seu segredo usando a CreateSecretchamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como SnowflakePat. As configurações de rotação podem ser definidas usando uma RotateSecretchamada. O campo de metadados de rotação pode ser deixado vazio para usar valores padrão. Você deve fornecer um ARN de função na RotateSecretchamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte Segurança e permissões.

Durante a rotação, o motorista se conecta ao Snowflake por meio da autenticação por par de chaves e executa o ALTER USER ... ROTATE PAT comando, que gera atomicamente um novo token e expira o antigo com o período de carência configurado. O novo token é então verificado conectando-se a ele como uma senha.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Chave de administração do Datadog

Segurança e permissões