カテゴリ:

システム関数 (システム情報)

SYSTEM$GET_CMK_CONFIG

顧客管理キー(CMKs)およびTri-Secret Secureで使用するための構成情報を返します。

こちらもご参照ください。

Tri-Secret Secure のアクティベーションをサポートする CMK セルフ登録の理解

構文

Amazon Web Services および Google Cloud Platform:

SYSTEM$GET_CMK_CONFIG()

Microsoft Azure:

SYSTEM$GET_CMK_CONFIG( '<tenant_id>' )

引数

テナントID

Microsoft Azure サブスクリプションにあるAzure Key Vault テナント の一意の識別子を指定します。

この値は、 GUID などの b3ddabe4-e5ed-4e71-8827-0cefb99af240 形式です。この値は、ポータルにログインし、 Key Vault » Overview に移動すると確認できます。Directory ID 値を選択します。

戻り値

出力は、Snowflakeアカウントをホストするクラウドプラットフォームによって異なります。

  • Amazon Web Services の場合は、 CMK ポリシーのステートメント識別子(Sid)のスニペットです。

    {"Sid": "Allow use of the key by Snowflake","Effect": "Allow","Principal": {"AWS": "my-arn:name/TRISECRETTEST"},"Action": ["kms:Decrypt","kms:GenerateDataKeyWithoutPlaintext"],"Resource": "arn:aws:kms:us-west-2:736112632310:key/ceab36e4-f0e5-4b46-9a78-86e8f17a0f59"},

  • Microsoft Azure の場合は、同意 URL とSnowflakeサービスプリンシパルの名前です。

    Consent url is: https://login.microsoftonline.com/tenantId/oauth2/authorize?client_id=c03edcfb-19f9-435f-92fa-e8ec9e24f40e&response_type=code and Snowflake Service Principal name is: trisec_cmk_azure"

  • Google Cloud Platform の場合は、gcloudコマンドです。

    gcloud kms keys add-iam-policy-binding TriSecretGCPKey --project my-env --location us-west1 --keyring TriSecretTest --member serviceAccount:site-trisecret@my-env.iam.serviceaccount.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter

アクセス制御の要件

この関数を呼び出すことができるのは、アカウント管理者(ACCOUNTADMIN ロールを持つユーザー)または MONITOR SECURITY 権限を付与されたロールのみです。

Microsoft Azure で、Snowflakeアカウントの CMK の構成情報を取得します。

SELECT SYSTEM$GET_CMK_CONFIG('b3ddabe4-e5ed-4e71-8827-0cefb99af240');