默认对 Snowflake 新账户执行多重身份验证注册（待定）¶

注意

此行为变更包含在 2024_08 捆绑包中。

有关捆绑包的当前状态，请参阅捆绑包历史记录。

启用此行为变更捆绑包后，新创建的 Snowflake 账户行为如下：

变更前:

没有内置身份验证策略，无法强制用户在新创建的 Snowflake 账户上注册多重身份验证 (MFA)。

变更后:

新的内置身份验证策略，如果用户使用密码身份验证，则强制用户在新创建的 Snowflake 账户中注册 MFA，并将其 TYPE 属性设置为 PERSON 或 NULL。

试用账户不受新的内置身份验证策略的限制。如果试用账户转换为付费账户，则付费账户具有内置的身份验证策略，要求 MFA 注册。

阅读者账户不受新的内置身份验证策略的限制。

对新账户的建议¶

创建新账户时，您可以为您的账户分配一个 ACCOUNTADMIN。此行为变更强制在新的 Snowflake 账户上执行多重身份验证 (MFA) 注册。根据人员外或服务是否使用 ACCOUNTADMIN 角色，您需要指定是否要在 ACCOUNTADMIN 上强制执行 MFA 注册，以防止账户锁定或确保账户安全。

根据您的设置，按照以下其中一个部分进行操作：

对人类 ACCOUNTADMIN 强制执行 MFA 注册
防止对非人类 ACCOUNTADMIN 强制执行 MFA
允许在非人类 ACCOUNTADMIN 上进行密码身份验证

对人类 ACCOUNTADMIN 强制执行 MFA 注册¶

如果有人在您的账户上直接使用 ACCOUNTADMIN 角色，您可以在创建账户时强制 ACCOUNTADMIN 注册 MFA，以确保账户安全。

在创建账户时执行以下 SQL 语句，以指定人类使用 ACCOUNTADMIN 角色，并要求注册 MFA：

CREATE ACCOUNT my_admin ADMIN_USER_TYPE = PERSON;

Copy

防止对非人类 ACCOUNTADMIN 强制执行 MFA¶

如果有人不在您的账户上使用 ACCOUNTADMIN 角色，则必须防止执行 MFA 注册，以允许使用 ACCOUNTADMIN 角色的服务能成功运行。服务类型的 ACCOUNTADMIN 不能使用密码进行身份验证，必须在创建账户时指定 ADMIN_RSA_PUBLIC_KEY。

在创建账户时执行以下 SQL 语句，以指定服务使用 ACCOUNTADMIN 角色并使用 RSA 密钥进行身份验证，而不需要注册 MFA：

CREATE ACCOUNT my_admin
  ADMIN_USER_TYPE = SERVICE
  ADMIN_RSA_PUBLIC_KEY = 'MIIBIj...';

Copy

允许在非人类 ACCOUNTADMIN 上进行密码身份验证¶

如果有人不在您的账户上使用 ACCOUNTADMIN 角色，则必须防止执行 MFA 注册，以允许使用 ACCOUNTADMIN 角色的服务能成功运行。对于服务类型 ACCOUNTADMIN，推荐身份验证方法是密钥对身份验证，但是如果使用 ACCOUNTADMIN ROLE 的服务不支持密钥对身份验证，那么您可以指定旧服务使用 ACCOUNTADMIN 角色。

旧服务 ACCOUNTADMIN 无法登录 Snowsight，也无法设置 FIRST_NAME 或 LAST_NAME 参数。

在创建账户时执行以下 SQL 语句，以指定旧服务使用 ACCOUNTADMIN 角色并使用密码进行身份验证，而不需要注册 MFA：

CREATE ACCOUNT my_admin
  ADMIN_USER_TYPE = LEGACY_SERVICE
  ADMIN_PASSWORD = 'hunter2';

Copy

备注

LEGACY_SERVICE 类型是一种临时解决方案。Snowflake 强烈建议您设置密钥对身份验证。

有关用户类型及其限制的更多信息，请参阅用户类型。

参考：1784