Erläuterungen zu Tri-Secret Secure in Snowflake

Tri-Secret Secure ist die Kombination aus einem von Snowflake verwalteten Schlüssel und einem vom Kunden verwalteten Schlüssel über die Plattform des Cloudanbieters, der Ihr Snowflake-Konto hostet, um einen zusammengesetzten Hauptschlüssel zum Schutz Ihrer Snowflake-Daten bereitzustellen. Der zusammengesetzte Hauptschlüssel fungiert als Kontohauptschlüssel und umschließt alle Schlüssel in der Hierarchie. Der zusammengesetzte Hauptschlüssel verschlüsselt jedoch niemals Rohdaten.

Wenn der kundenverwaltete Schlüssel in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden, was eine höhere Sicherheits- und Kontrollebene als die Standardverschlüsselung von Snowflake bietet. Dieses Verschlüsselungsmodell mit dualen Schlüsseln ergibt zusammen mit der integrierten Benutzerauthentifizierung von Snowflake die drei Ebenen des Datenschutzes von Tri-Secret Secure.

Achtung

Bevor Sie sich mit Snowflake in Verbindung setzen, um Tri-Secret Secure für Ihr Konto zu aktivieren, sollten Sie sich Ihrer Verantwortung für den Schutz Ihres Schlüssels umfassend bewusst sein, wie unter Kundenverwaltete Schlüssel erläutert. Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.

Beachten Sie, dass Snowflake die gleiche Verantwortung für die von uns gewarteten Schlüssel trägt. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.

Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.

Feature-Kompatibilität

Die folgenden Features sind nicht mit Tri-Secret Secure kompatibel:

  • Image-Registry.

  • Hybridtabellen:

    Sie können keine Hybridtabellen verwenden, wenn Ihr Snowflake-Konto für die Verwendung von Tri-Secret Secure aktiviert ist. Bevor Sie Hybridtabelle verwenden, überprüfen Sie, ob Ihr Snowflake-Konto für Tri-Secret Secure aktiviert ist. Wenden Sie sich dazu an den Snowflake-Support.

Übersicht zur Selbstregistrierung

Sie können den CMK-Selbstregistrierungsprozess verwenden, um einen CMK für die Verwendung mit Tri-Secret Secure zu registrieren und zu aktivieren. Wenn Sie sich dazu entschließen, einen CMK zur Verwendung mit Tri-Secret Secure zu ersetzen, informiert Sie der Selbstregistrierungsprozess darüber, ob Ihr neuer CMK registriert und aktiviert wurde. Nachdem Sie die Selbstregistrierung abgeschlossen haben, können Sie sich an den Snowflake-Support wenden, um Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure zu aktivieren.

Der Prozess der Selbstregistrierung bietet Ihnen folgende Vorteile:

  • Vereinfacht die Schritte zur Registrierung und Autorisierung Ihres CMK.

  • Bietet Transparenz zum Status Ihrer CMK-Registrierung und -Aktivierung mit Tri-Secret Secure.

  • Erleichtert die Arbeit mit dem Schlüsselverwaltungsdienst (KMS) der Cloudplattform, die Ihr Snowflake-Konto hostet.

  • Ermöglicht es Ihnen, Ihren CMK zu rotieren und gleichzeitig den neuen CMK für die Verwendung mit Tri-Secret Secure zu registrieren.

Verfahren zur Selbstregistrierung

Der Prozess der Selbstregistrierung läuft wie folgt ab:

  1. Gehen Sie als Kunde wie folgt vor:

    1. Erstellen Sie den CMK.

    2. Registrieren Sie den CMK.

    3. Generieren Sie Informationen für den Cloudanbieter.

    4. Wenden Sie die KMS-Richtlinie an.

    5. Bestätigen Sie die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.

    6. Wenden Sie sich an den Snowflake-Support, um Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure zu aktivieren.

  2. Snowflake-Support ermöglicht Ihrem Snowflake-Konto die Nutzung von Tri-Secret Secure basierend auf dem von Ihnen registrierten CMK.

Die Schritte in diesem Abschnitt vermeiden Begriffe wie „Amazon Resource Number“ (ARN), um das Verfahren Cloud-unabhängig zu halten. Die Schritte sind dieselben, unabhängig von der Cloud-Plattform, auf der Ihr Snowflake-Konto gehostet wird. Die Systemfunktionsargumente für einige der Schritte sind jedoch unterschiedlich, da jeder Cloudplattformdienst anders ist.

Führen Sie die folgenden Schritte aus, um Ihren CMK für die Verwendung mit Tri-Secret Secure selbst zu registrieren:

  1. Erstellen Sie im KMS-Dienst auf der Cloudplattform, die Ihr Snowflake-Konto hostet, einen CMK.

  2. Rufen Sie in Snowflake die Systemfunktion SYSTEM$REGISTER_CMK_INFO auf, um Ihren CMK bei der KMS-Integration zu registrieren.

    Überprüfen Sie die Systemfunktionsargumente für die Cloudplattform, die Ihr Snowflake-Konto hostet.

  3. Rufen Sie die Systemfunktion SYSTEM$GET_CMK_INFO auf, um die Details zu dem von Ihnen registrierten CMK anzuzeigen.

  4. Rufen Sie die Systemfunktion SYSTEM$GET_CMK_CONFIG auf, um die erforderlichen Informationen für den Cloudanbieter zu generieren.

    Diese Richtlinie ermöglicht Snowflake den Zugriff auf Ihren CMK.

    Wenn Ihr Snowflake-Konto auf Microsoft Azure ist, übergeben Sie den Wert tenant_id an die Funktion.

  5. Rufen Sie die Systemfunktion SYSTEM$VERIFY_CMK_INFO auf, um die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK zu bestätigen.

  6. Wenden Sie sich an den Snowflake-Support, und beantragen Sie, dass Ihr Snowflake-Konto für die Nutzung von Tri-Secret Secure freigeschaltet wird.

    Geben Sie unbedingt das Konto an, das Sie mit Tri-Secret Secure verwenden möchten.

Tipp

Nachdem Sie sich an den Snowflake-Support gewandt haben, können Sie die Systemfunktion SYSTEM$GET_CMK_INFO aufrufen, um den Aktivierungsstatus einzusehen.

Sobald der Snowflake-Support Ihr Snowflake-Konto für die Verwendung von Tri-Secret Secure freigibt, enthält die Ausgabe der Funktion SYSTEM$GET_CMK_INFO die Funktion is activated. Das bedeutet, dass Ihr Snowflake-Konto Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.

Einstellen eines anderen CMK für Tri-Secret Secure

Bei der Selbstregistrierung können Sie je nach Ihren Sicherheitsanforderungen einen anderen CMK registrieren. Das Verfahren zur Registrierung eines neuen CMK ist dasselbe wie bei der Selbstregistrierung, die Sie bei der Registrierung und Aktivierung Ihres ersten CMK durchgeführt haben.

Sie können die Selbstregistrierung abschließen, um den mit Tri-Secret Secure verwendeten CMK jederzeit zu aktualisieren oder zu ersetzen. Wenn Sie den Selbstregistrierungsprozess mit einem neuen Schlüssel erneut durchlaufen, sind die Ausgaben der Systemfunktionen anders. Der Unterschied besteht darin, dass Sie bereits einen CMK haben, der bei Tri-Secret Secure registriert ist und verwendet wird, und Sie dabei sind, eine neue CMK zu aktivieren. Weitere Informationen dazu finden Sie unter den möglichen Ausgaben für jede Systemfunktion.

Sprache: Deutsch