Snowflake Postgres Tri-Secret Secure¶
Tri-Secret Secure wird für Snowflake Postgres-Instanzspeicher unterstützt. Der Snowflake Postgres Tri-Secret Secure-Instanzspeicher verwendet einen Self-Service-Registrierungsprozess, ähnlich dem unter Tri-Secret Secure self-service in Snowflake beschriebenen, jedoch mit den folgenden Unterschieden:
Snowflake Postgres Tri-Secret Secure verwendet andere Snowflake-Systemfunktionen für die Aktivierung und CMK-Registrierung.
Snowflake Postgres Tri-Secret Secure unterstützt keine private Konnektivität.
Snowflake Postgres Tri-Secret Secure unterstützt keine Selbstregistrierung mit Supportaktivierung.
Während Snowflake Postgres Tri-Secret Secure die Registrierung und Aktivierung neuer CMKs unterstützt, wird die Wiederverschlüsselung von bestehenden Snowflake Postgres-Instanzen mit neuen CMKs nicht unterstützt.
Achtung
Bevor Sie sich mit Snowflake in Verbindung setzen, um Snowflake Postgres Tri-Secret Secure für Ihr Konto zu aktivieren, sollten Sie sich Ihrer Verantwortung für den Schutz Ihres Schlüssels umfassend bewusst sein, wie unter Kundenverwaltete Schlüssel erläutert. Wenn der kundenverwaltete Schlüssel (CMK) in der zusammengesetzten Hauptschlüsselhierarchie widerrufen wird, können Ihre Daten nicht mehr von Snowflake entschlüsselt werden.
Wenn Sie Fragen oder Bedenken haben, wenden Sie sich an den Snowflake-Support.
Snowflake trägt auch die gleiche Verantwortung für die von uns gewarteten Schlüssel. Wie bei allen sicherheitsrelevanten Aspekten unseres Services stellen wir uns mit größter Sorgfalt und Wachsamkeit dieser Verantwortung.
Alle unsere Schlüssel werden nach strengen Richtlinien verwaltet, die es uns ermöglicht haben, die höchsten Sicherheitsakkreditierungen zu erhalten, einschließlich SOC 2 Typ II, PCI-DSS, HIPAA und HITRUST CSF.
Snowflake Postgres Tri-Secret Secure aktivieren¶
Dieses Verfahren funktioniert auf allen Cloudanbieter-Plattformen, die Snowflake unterstützt. Informationen zu den Schritten auf der Cloudanbieter-Plattform finden Sie in der Dokumentation Ihres Cloudanbieters.
Um Ihren CMK zu erstellen und zu registrieren und anschließend Snowflake Postgres Tri-Secret Secure zu aktivieren, führen Sie die folgenden Schritte aus:
Erstellen Sie beim Cloudanbieter einen CMK.
Führen Sie diesen Schritt im Key Management Service (KMS) auf der Cloudplattform aus, die Ihr Snowflake-Konto hostet.
Rufen Sie in Snowflake die SYSTEM$REGISTER_CMK_INFO_POSTGRES-Systemfunktion auf.
Diese Systemfunktion registriert Ihren CMK mit Ihrem Snowflake-Konto für die Verwendung mit Snowflake Postgres Tri-Secret Secure.
Überprüfen Sie noch einmal die Systemfunktionsargumente, um sicherzustellen, dass sie für die Cloudplattform, die Ihr Snowflake-Konto hostet, korrekt sind.
Rufen Sie in Snowflake die SYSTEM$GET_CMK_INFO_POSTGRES-Systemfunktion auf.
Diese Systemfunktion gibt den Registrierungsstatus und die Details für den CMK zurück, den Sie registriert haben.
Rufen Sie in Snowflake die SYSTEM$GET_CMK_CONFIG_POSTGRES-Systemfunktion auf.
Diese Systemfunktion generiert die Informationen, die Ihr Cloudanbieter benötigt, um Snowflake den Zugriff auf Ihren CMK zu ermöglichen.
Bemerkung
Wenn Microsoft Azure Ihr Snowflake-Konto hostet, müssen Sie den
tenant_id-Wert an die Funktion übergeben.Rufen Sie in Snowflake die SYSTEM$VERIFY_CMK_INFO_POSTGRES-Systemfunktion auf.
Diese Systemfunktion bestätigt die Konnektivität zwischen Ihrem Snowflake-Konto und Ihrem CMK.
Rufen Sie in Snowflake die SYSTEM$ACTIVATE_CMK_INFO_POSTGRES-Systemfunktion auf.
Diese Systemfunktion aktiviert Snowflake Postgres Tri-Secret Secure mit Ihrem registrierten CMK.
Wichtig
Snowflake Postgres Tri-Secret Secure unterstützt keine Wiederverschlüsselung von bestehenden Snowflake Postgres-Instanzen. Dies bedeutet Folgendes:
Snowflake Postgres-Instanzen, die vor dem Aktivieren eines CMK erstellt wurden, verwenden Snowflake Postgres Tri-Secret Secure nicht.
Snowflake Postgres-Instanzen, die erstellt wurden, als ein vorheriger CMK aktiv war, verwenden weiterhin diesen vorherigen CMK.
Nur Snowflake Postgres-Primärinstanzen, die erstellt wurden, nachdem ein CMK aktiviert war, verwendet diesen CMK.
Snowflake Postgres-Replikate und -Forks verwenden immer den CMK, der von ihrer primären Instanz verwendet wird.
Status vom CMK anzeigen¶
Sie können SYSTEM$GET_CMK_INFO_POSTGRES jederzeit aufrufen, um den Registrierungs- und Aktivierungsstatus von Ihrem CMK zu überprüfen.
So gibt die Funktion zum Beispiel abhängig davon, wann Sie SYSTEM$GET_CMK_INFO_POSTGRES nach Abschluss des Snowflake Postgres Tri-Secret Secure-Aktivierungsprozesses aufrufen, eine Ausgabe zurück, die ...is activated... enthält. Das bedeutet, dass Ihr Snowflake-Konto Snowflake Postgres Tri-Secret Secure mit dem von Ihnen registrierten CMK verwendet.
CMK für Snowflake Postgres Tri-Secret Secure ändern¶
Snowflake-Systemfunktionen unterstützen basierend auf Ihren Sicherheitsanforderungen das Ändern Ihres kundenverwalteten Schlüssels (CMK). Um einen neuen CMK zu registrieren, führen Sie die gleichen Schritte aus, die Sie auch zur Registrierung Ihres ersten CMK ausgeführt haben. Wenn Sie diese Schritte mit einem neuen Schlüssel erneut ausführen, unterscheidet sich die Ausgabe der Systemfunktionen. Lesen Sie die Ausgabe jeder Systemfunktion, die Sie während der Selbstregistrierung aufrufen, um zu bestätigen, dass Sie Ihren Schlüssel geändert haben.
Aktuellen CMK deregistrieren¶
Sie können nur einen CMK gleichzeitig mit Snowflake Postgres Tri-Secret Secure registrieren. Wenn Sie Ihren CMK registrieren, falls die SYSTEM$REGISTER_CMK_INFO_POSTGRES-Funktion fehlschlägt, weil ein anderer CMK existiert, rufen Sie die SYSTEM$DEREGISTER_CMK_INFO_POSTGRES-Systemfunktion wie gefordert auf.