Compréhension des coûts de Tri-Secret Secure dans Snowflake

Tri-Secret Secure est la combinaison d’une clé maintenue par Snowflake et d’une clé gérée par le client dans la plateforme du fournisseur Cloud qui héberge votre compte Snowflake afin de créer une clé master composite pour protéger vos données Snowflake. La clé master composite fait office de clé master de compte et englobe toutes les clés de la hiérarchie ; toutefois, la clé master composite ne chiffre jamais les données brutes.

Si la clé gérée par le client dans la hiérarchie des clés master composites est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake, offrant ainsi un niveau de sécurité et de contrôle supérieur au chiffrement standard de Snowflake. Ce modèle de chiffrement à double clé, associé à l’authentification utilisateur intégrée de Snowflake, permet les trois niveaux de protection des données offerts par Tri-Secret Secure.

Attention

Avant de vous engager avec Snowflake pour activer Tri-Secret Secure pour votre compte, nous vous conseillons d’évaluer votre responsabilité concernant la gestion de votre clé comme expliqué dans Clés gérées par le client. Si vous avez des questions ou des préoccupations, veuillez contacter le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Compatibilité des fonctionnalités

Les fonctionnalités suivantes ne sont pas compatibles avec Tri-Secret Secure :

Vue d’ensemble de l’auto-inscription

Vous pouvez utiliser le processus d’auto-inscription CMK pour enregistrer et activer un CMK à utiliser avec Tri-Secret Secure. En outre, si vous décidez de remplacer un CMK pour l’utiliser avec Tri-Secret Secure, la procédure d’auto-inscription vous informe si votre nouveau CMK est enregistré et activé. Après avoir terminé le processus d’auto-enregistrement, vous pouvez contacter le support Snowflake pour permettre à votre compte Snowflake d’utiliser Tri-Secret Secure.

Le processus d’auto-enregistrement vous permet de bénéficier de ces avantages :

  • Simplifie les étapes d’enregistrement et d’autorisation de votre CMK.

  • Permet de connaître le statut de l’enregistrement de votre CMK et de votre activation avec Tri-Secret Secure.

  • Facilite le travail avec le service de gestion des clés (KMS) de la plateforme cloud qui héberge votre compte Snowflake.

  • Permet de faire pivoter votre CMK et d’enregistrer le nouveau CMK pour l’utiliser avec Tri-Secret Secure.

Procédure d’auto-enregistrement

La procédure d’auto-enregistrement est la suivante :

  1. En tant que client, faites ce qui suit :

    1. Créez l’CMK.

    2. Enregistrez le CMK.

    3. Générez des informations pour le fournisseur cloud.

    4. Appliquez la politique de KMS.

    5. Confirmez la connectivité entre votre compte Snowflake et votre CMK.

    6. Contactez le support Snowflake pour permettre à votre compte Snowflake d’utiliser Tri-Secret Secure.

  2. Le support Snowflake permet à votre compte Snowflake d’utiliser Tri-Secret Secure en fonction du CMK que vous enregistrez.

Les étapes de cette section évitent les termes tels que « Amazon Resource Number » (ARN) afin que la procédure ne soit pas orientée cloud. Les étapes sont les mêmes quelle que soit la plateforme cloud qui héberge votre compte Snowflake. Cependant, les arguments de la fonction système pour certaines étapes sont différents, car chaque service de plateforme cloud est différent.

Suivez les étapes suivantes pour enregistrer votre CMK et l’utiliser avec Tri-Secret Secure :

  1. Dans le service KMS de la plateforme cloud qui héberge votre compte Snowflake, créez un CMK.

  2. Dans Snowflake, appelez la fonction système SYSTEM$REGISTER_CMK_INFO pour enregistrer votre CMK avec l’intégration KMS.

    Vérifiez deux fois les arguments de la fonction système de la plateforme cloud qui héberge votre compte Snowflake.

  3. Appelez la fonction système SYSTEM$GET_CMK_INFO pour voir les détails du CMK que vous avez enregistré.

  4. Appelez la fonction système SYSTEM$GET_CMK_CONFIG pour générer les informations requises pour le fournisseur cloud.

    Cette politique permet à Snowflake d’accéder à votre CMK.

    Si votre compte Snowflake se trouve sur Microsoft Azure, transmettez la valeur tenant_id à la fonction.

  5. Appelez la fonction système SYSTEM$VERIFY_CMK_INFO pour confirmer la connectivité entre votre compte Snowflake et votre CMK.

  6. Contactez le support Snowflake et demandez que votre compte Snowflake soit autorisé à utiliser Tri-Secret Secure.

    Veillez à mentionner le compte spécifique que vous souhaitez utiliser avec Tri-Secret Secure.

Astuce

Après avoir contacté le support Snowflake, vous pouvez appeler la fonction système SYSTEM$GET_CMK_INFO pour voir le statut d’activation.

Une fois que le support Snowflake a permis à votre compte d’utiliser Tri-Secret Secure, la sortie de la fonction SYSTEM$GET_CMK_INFO inclut is activated. Cela signifie que votre compte Snowflake utilise Tri-Secret Secure avec le CMK que vous avez enregistré.

Définition d’un autre CMK pour Tri-Secret Secure

Le processus d’auto-enregistrement vous permet d’enregistrer un CMK différent en fonction de vos besoins en matière de sécurité. La procédure d’enregistrement d’un nouveau CMK est identique à la procédure d’auto-enregistrement que vous avez suivie pour enregistrer et activer votre premier CMK.

Vous pouvez à tout moment suivre la procédure d’auto-enregistrement pour mettre à jour ou remplacer le CMK utilisé avec Tri-Secret Secure. Lorsque vous recommencez la procédure d’auto-enregistrement avec une nouvelle clé, les résultats des fonctions du système sont différents. La différence est que vous avez déjà un CMK qui est enregistré et utilisé avec Tri-Secret Secure et que vous êtes en train d’activer un nouveau CMK. Pour plus de détails, voir les sorties possibles pour chaque fonction du système.

Langage: Français