Snowflake Postgres Tri-Secret Secure

Tri-Secret Secure est pris en charge pour le stockage d’instances Snowflake Postgres. Le stockage d’instances Snowflake Postgres Tri-Secret Secure utilise un processus d’enregistrement en libre-service similaire à celui décrit dans Tri-Secret Secure self-service in Snowflake, avec les différences suivantes :

  • Snowflake Postgres Tri-Secret Secure utilise différentes fonctions système Snowflake pour l’activation et l’enregistrement de la CMK.

  • Snowflake Postgres Tri-Secret Secure ne prend pas en charge la connexion privée.

  • Snowflake Postgres Tri-Secret Secure ne prend pas en charge l’auto-enregistrement avec activation de la prise en charge.

  • Alors que Snowflake Postgres Tri-Secret Secure prend en charge l’enregistrement et l’activation de nouvelles CMKs, il ne prend pas en charge la re-saisie des instances existantes de Snowflake Postgres avec de nouvelles CMKs.

Attention

Avant de vous engager avec Snowflake pour activer Snowflake Postgres Tri-Secret Secure pour votre compte, nous vous conseillons d’évaluer votre responsabilité concernant la gestion de votre clé comme expliqué dans Clés gérées par le client. Si la clé gérée par le client (CMK) dans la hiérarchie de la clé maîtresse composite est révoquée, vos données ne peuvent plus être déchiffrées par Snowflake.

Si vous avez des questions ou des préoccupations, contactez le support Snowflake.

Notez que Snowflake assume également la même responsabilité pour les clés que nous gérons. Comme pour tous les aspects liés à la sécurité de notre service, nous traitons cette responsabilité avec le plus grand soin et la plus grande vigilance.

Toutes nos clés sont gérées selon des politiques strictes qui nous ont permis d’obtenir les accréditations de sécurité les plus élevées, y compris SOC type 2 II, PCI-DSS, HIPAA et HITRUST CSF.

Activer Snowflake Postgres Tri-Secret Secure

Cette procédure fonctionne sur toutes les plateformes de fournisseurs de cloud prises en charge par Snowflake. Consultez la documentation de votre fournisseur Cloud spécifique pour toutes les étapes effectuées sur la plateforme du fournisseur Cloud.

Pour créer et enregistrer votre CMK, puis activer Snowflake Postgres Tri-Secret Secure, procédez comme suit :

  1. Sur le fournisseur cloud : créez une CMK.

    Effectuez cette étape dans le service de gestion des clés (KMS) sur la plateforme Cloud qui héberge votre compte Snowflake.

  2. Dans Snowflake : appelez la fonction système SYSTEM$REGISTER_CMK_INFO_POSTGRES.

    • Cette fonction système enregistre votre CMK avec votre compte Snowflake pour l’utiliser avec Snowflake Postgres Tri-Secret Secure.

    • Vérifiez à nouveau les arguments de la fonction système pour vous assurer qu’ils sont corrects pour la plateforme cloud qui héberge votre compte Snowflake.

  3. Dans Snowflake : appelez la fonction système SYSTEM$GET_CMK_INFO_POSTGRES.

    Cette fonction système renvoie l’état d’enregistrement et les détails pour la CMK que vous avez enregistrée.

  4. Dans Snowflake :appelez la fonction système SYSTEM$GET_CMK_CONFIG_POSTGRES.

    Cette fonction système génère les informations nécessaires à votre fournisseur Cloud pour permettre à Snowflake d’accéder à votre CMK.

    Note

    Si Microsoft Azure héberge votre compte Snowflake, vous devez transmettre la valeur tenant_id dans la fonction.

  5. Dans Snowflake :appelez la fonction système SYSTEM$VERIFY_CMK_INFO_POSTGRES.

    Cette fonction système confirme la connexion entre votre compte Snowflake et votre CMK.

  6. Dans Snowflake : appelez la fonction système SYSTEM$ACTIVATE_CMK_INFO_POSTGRES.

    Cette fonction système active Snowflake Postgres Tri-Secret Secure avec votre CMK nouvellement enregistrée.

    Important

    Snowflake Postgres Tri-Secret Secure ne prend pas en charge la re-saisie des instances existantes de Snowflake Postgres. Cela signifie que :

    • Les instances Snowflake Postgres qui ont créées avant l’activation d’une CMK n’utiliseront pas Snowflake Postgres Tri-Secret Secure.

    • Les instances Snowflake Postgres qui ont été créées alors qu’une CMK antérieure était active continueront d’utiliser cette CMK antérieure.

    • Seules les instances primaires Snowflake Postgres qui ont été créées après l’activation d’une CMK utiliseront cette CMK.

    • Les répliques et les forks Snowflake Postgres utiliseront toujours la CMK utilisée par leur instance principale.

Afficher le statut de votre CMK

Vous pouvez appeler SYSTEM$GET_CMK_INFO_POSTGRES à tout moment, pour vérifier le statut d’enregistrement et d’activation de votre CMK.

Par exemple, en fonction du moment où vous appelez SYSTEM$GET_CMK_INFO_POSTGRES une fois le processus d’activation Snowflake Postgres Tri-Secret Secure terminé, la fonction renvoie une sortie qui comprend ...is activated.... Cela signifie que votre compte Snowflake utilise Snowflake Postgres Tri-Secret Secure avec la CMK que vous avez enregistrée.

Modifier la CMK pour Snowflake Postgres Tri-Secret Secure

Les fonctions système Snowflake prennent en charge la modification de votre clé gérée par le client (CMK), en fonction de vos besoins en matière de sécurité. Suivez les mêmes étapes pour enregistrer une nouvelle CMK comme étapes que vous avez suivies pour enregistrer votre première CMK. Lorsque vous effectuez à nouveau ces étapes avec une nouvelle clé, la sortie des fonctions système diffère. Lisez la sortie de chaque fonction système que vous appelez lors de l’enregistrement en libre-service pour confirmer que vous avez bien modifié votre clé.

Désenregistrer votre CMK actuelle

Vous ne pouvez enregistrer qu’une seule CMK à la fois avec Snowflake Postgres Tri-Secret Secure. Lorsque vous enregistrez votre CMK, si la fonction SYSTEM$REGISTER_CMK_INFO_POSTGRES échoue parce qu’un autre CMK existe, appelez la fonction système SYSTEM$DEREGISTER_CMK_INFO_POSTGRES, comme indiqué.

Langage: Français