Tri-Secret Secure self-service in Snowflake

Tri-Secret Secure overview

Using a dual-key encryption model together with Snowflake’s built-in user authentication enables three levels of data protection, known as Tri-Secret Secure. Tri-Secret Secure offers you a level of security and control above Snowflake’s standard encryption.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Attention

Before enabling Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Clés gérées par le client. If the CMK in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité de Tri-Secret Secure avec les tables hybrides

Vous devez activer le mode stockage dédié si vous avez l’intention de créer des tables hybrides dans votre compte et si TSS est déjà activé ou sera activé. Pour plus d’informations, voir Mode de stockage dédié aux tables hybrides pour TSS.

Understanding Tri-Secret Secure self-service

You can use Snowflake system functions to first register a CMK and then activate Tri-Secret Secure to use the CMK. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. You can continue to use your account during the rekeying process.

Tri-Secret Secure self-service provides the following benefits to you:

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Fournit de la transparence sur l’enregistrement de votre CMKet l’état d’activation de Tri-Secret Secure.

  • Permet de gérer Tri-Secret Secure sans aucun temps d’arrêt de votre compte Snowflake.

Activate Tri-Secret Secure

Cette procédure fonctionne sur toutes les plateformes de fournisseurs de cloud prises en charge par Snowflake. Consultez la documentation de votre fournisseur Cloud spécifique pour toutes les étapes effectuées sur la plateforme du fournisseur Cloud.

Pour créer et enregistrer votre CMK, puis activer Tri-Secret Secure, procédez comme suit :

  1. On the cloud provider, create a CMK.

    Effectuez cette étape dans le service de gestion des clés (KMS) sur la plateforme Cloud qui héberge votre compte Snowflake.

  2. In Snowflake, call the SYSTEM$REGISTER_CMK_INFO system function.

    • Cette fonction système enregistre votre CMK avec votre compte Snowflake

    • Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.

    • Lorsque vous appelez la fonction SYSTEM$REGISTER_CMK_INFO, Snowflake envoie un e-mail aux administrateurs du compte dont l’adresse e-mail a été vérifiée. Le message informe l’administrateur du compte du moment où il doit appeler la fonction SYSTEM$ACTIVATE_CMK_INFO pour activer Tri-Secret Secure.

    Important

    You must wait 72 hours before activating Tri-Secret Secure (step 6). If you attempt to activate Tri-Secret Secure during this waiting period, you see an error message that advises you to wait.

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function.

    Cette fonction système renvoie l’état d’enregistrement et les détails pour la CMK que vous avez enregistrée.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function.

    Cette fonction système génère les informations nécessaires à votre fournisseur Cloud pour permettre à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function.

    Cette fonction système confirme la connexion entre votre compte Snowflake et votre CMK.

  6. In Snowflake, call the SYSTEM$ACTIVATE_CMK_INFO system function.

    Cette fonction système active Tri-Secret Secure avec votre CMK enregistrée. Cette fonction système démarre le processus de regénération des clés et génère un e-mail qui informe les administrateurs système lorsque le processus est terminé. Le processus de regénération des clés peut se terminer en moins d’une heure, mais peut nécessiter jusqu’à 24 heures.

    Avertissement

    Snowflake utilise l’ancienne CMK jusqu’à ce que le processus de regénération des clés soit terminé. Ne supprimez pas l’accès à l’ancien CMK jusqu’à la réception d’une notification par e-mail indiquant que le processus de regénération des clés est terminé.

Pour activer la connectivité privée pour une CMK déjà activée avec Tri-Secret Secure, voir Activer un point de terminaison de connectivité privée pour une CMK active.

View the status of your CMK

Vous pouvez appeler SYSTEM$GET_CMK_INFO à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO, la fonction renvoie la sortie suivante :

  • Immédiatement après l’activation de Tri-Secret Secure, elle renvoie ...is being activated.... Cela signifie que la resaisie n’est pas terminée.

  • Une fois que le processus d’activation de Tri-Secret Secure est terminé, la fonction renvoie une sortie qui comprend ...is activated.... Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec la CMK que vous avez enregistrée.

Change the CMK for Tri-Secret Secure

Snowflake system functions support changing your customer-managed key (CMK), based on your security needs. Use the same steps to register a new CMK as the steps that you followed to register your initial CMK. When you complete those steps again by using a new key, the output of the system functions differs. Read the output from each system function that you call during self-registration to confirm that you have changed your key. For example, when you change your CMK, calling the SYSTEM$GET_CMK_INFO function returns a message that contains ...is being rekeyed....

Use Tri-Secret Secure self-service with automatic key rotation

If you use your cloud provider’s automatic key rotation feature to maintain the lifecycle of your customer-managed keys (CMKs), you can rekey with the latest version of your CMK by calling the SYSTEM$ACTIVATE_CMK_INFO function and providing the 'REKEY_SAME_CMK' argument.

Pour plus d’informations, voir Clés gérées par le client.

Deactivate Tri-Secret Secure

Pour désactiver Tri-Secret Secure dans votre compte, appelez la fonction système SYSTEM$DEACTIVATE_CMK_INFO.

Deregister your current CMK

Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO échoue parce qu’un autre CMK existe, appelez la fonction système SYSTEM$DEREGISTER_CMK_INFO, comme indiqué.

Integrate Tri-Secret Secure with AWS external key stores

Snowflake prend également en charge l’intégration de Tri-Secret Secure avec les magasins de clés externes AWS pour stocker et gérer en toute sécurité une clé gérée par le client en dehors d’AWS. Snowflake teste et prend en charge officiellement uniquement les modules de sécurité matérielle Thales (HSM) et les produits de chiffrement de données Thales CipherTrust Cloud Key Manager (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

Langage: Français