如何提高用于正在进行的日常流程（例如 Tableau 计划数据提取）的本地 Snowflake 用户帐户（未连接到 SSO/MFA）的安全性？

Posted 2023-03-29

【中文标题】如何提高用于正在进行的日常流程（例如 Tableau 计划数据提取）的本地 Snowflake 用户帐户（未连接到 SSO/MFA）的安全性？

【英文标题】：How to improve security of local Snowflake user accounts (not connected to SSO/MFA) used for ongoing, daily processes (eg Tableau scheduled extracts)?

【发布时间】：2021-07-16 15:43:16

【问题描述】：

我有一个本地 Snowflake 用户帐户，用于计划进程，例如 Tableau 连接等。普通 Snowflake 用户拥有自己的凭据，这些凭据与 SSO/MFA 系统相关联（注意：SSO/MFA 不是 Snowflake 的本机 SSO /MFA 功能。）我使用本地用户帐户来利用外部系统（例如 Tableau）中 SQL 语句的调度和自动化，以避免每次建立连接或执行查询时都需要 MFA。

我想加强有关此本地帐户的安全措施，因为它不受保护单个 Snowflake 用户的 SSO/MFA 架构的保护。目前我发现的唯一选择是创建一个分配给本地用户帐户的 Snowflake 网络策略，仅限于外部系统调用的 IP 范围。

还有哪些其他选项可以保护这些本地用户帐户？

【问题讨论】：

我建议对本地用户帐户使用密钥对身份验证方法，该方法仅在单台计算机上使用。这将比使用直接密码更安全。

一些应用程序还可以利用 OAuth 到您的 SSO 提供商并为您处理令牌管理。

【参考方案1】：

以下文章将帮助您了解 Snowflake 中可用的所有安全措施以及最佳做法。

https://community.snowflake.com/s/article/Snowflake-Security-Overview-and-Best-Practices