Tri-Secret Secure in Snowflake

Tri-Secret Secure の概要

デュアルキー暗号化モデルをSnowflakeの組み込みユーザー認証とともに使用することで、 Tri-Secret Secure として知られる3つのレベルのデータ保護が可能になります。Tri-Secret Secureは、Snowflakeの標準的な暗号化を上回るレベルのセキュリティとコントロールを提供します。

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

注意

Before engaging with Snowflake to enable Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in 顧客が管理するキー. If the customer managed key (CMK) in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

質問や懸念がある場合は、 `Snowflakeサポート `_にお問い合わせください。

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

すべてのキーは、SOC 2 Type II、PCI-DSS、HIPAAおよび HITRUST CSF など、最高のセキュリティ認定を取得できるようにする厳格なポリシーの下で維持されています。

Tri-Secret Secure ハイブリッドテーブルとの互換性

アカウントにハイブリッドテーブルを作成する予定があり、 TSS がすでに有効になっているかこれから有効にする場合は、専用ストレージモードを有効にする必要があります。詳細については、 TSS向けハイブリッドテーブル専用ストレージモード をご参照ください。

Understanding CMK self-registration with support activation of Tri-Secret Secure

You can register a CMK for use with Tri-Secret Secure using Snowflake system functions. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. After you self-register your CMK, you can contact Snowflake Support to enable your Snowflake account to use Tri-Secret Secure with your CMK.

CMK self-registration with support activation provides the following benefits to you:

  • CMKの登録と認証の手順を合理化します。

  • Tri-Secret Secure で、 CMK 登録とアクティベーションのステータスの透明性を提供します。

  • Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.

  • Enables you to rotate your CMK and register the new CMK for use with Tri-Secret Secure.

以下のリストは、アクティベーションのサポートが付いた CMK セルフ登録の仕組みを示しています。

  1. As the customer, you do the following actions:

    1. CMKを作成します。

    2. CMKを登録します。

    3. クラウドプロバイダーの情報を生成します。

    4. KMSポリシーを適用します。

    5. SnowflakeアカウントとCMKの接続を確認します。

    6. Snowflake サポートに連絡して、Snowflakeアカウントで Tri-Secret Secure を使用できるようにしてください。

  2. Snowflakeサポートは、登録した CMK に基づいて、Snowflakeアカウントが Tri-Secret Secure を使用できるようにします。

The steps in the following section avoid terms like Amazon Resource Number (ARN) to keep the procedure cloud agnostic. The steps are the same regardless of the cloud platform that hosts your Snowflake account. However, the system function arguments for some of the steps are different because each cloud platform service is different.

Self-register a CMK

To self-register your CMK for use with Tri-Secret Secure, complete the following steps:

  1. クラウドプロバイダーで CMK を作成します。

    Do this step in the key management service (KMS) on the cloud platform that hosts your Snowflake account.

  2. Snowflakeでは、 SYSTEM$REGISTER_CMK_INFO システム関数を呼び出して、KMS 統合に CMK を登録します。

    Snowflakeアカウントをホストするクラウドプラットフォームのシステム関数引数を再度確認してください。

  3. In Snowflake, call the SYSTEM$GET_CMK_INFO system function to view the details for the CMK that you registered.

  4. In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function to generate the required information for the cloud provider.

    このポリシーにより、Snowflake はお客様のCMKにアクセスすることができます。

    注釈

    If Microsoft Azure hosts your Snowflake account, you must pass the tenant_id value into the function.

  5. In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function to confirm the connectivity between your Snowflake account and your CMK.

  6. Snowflakeサポート に連絡し、Snowflake アカウントで Tri-Secret Secure を使用できるようにするようリクエストしてください。

    Tri-Secret Secure で使用したい特定のアカウントを必ず明記してください。

すでに Tri-Secret Secure でアクティブ化されている CMK のプライベート接続を有効にしたい場合、詳細については アクティブな CMK のプライベート接続エンドポイントを有効にする をご参照ください。

CMK のステータスを確認する

You can call SYSTEM$GET_CMK_INFO at any time, to check the registration and activation status of your CMK.

たとえば、 SYSTEM$GET_CMK_INFO をいつ呼び出すかによって、この関数は以下のような出力を返します。

  • Tri-Secret Secure をアクティブ化した直後は、 ...is being activated... を返します。これはキー更新が完了していないことを意味します。

  • After the Tri-Secret Secure activation process completes, returns output that includes ...is activated.... This means that your Snowflake account is using Tri-Secret Secure with the CMK that you registered.

Change the CMK for Tri-Secret Secure

Snowflakeのシステム関数は、お客様のセキュリティニーズに基づき、お客様が管理するキー(CMK)の変更をサポートしています。初期登録のステップとして CMK と同じ手順を使用して、新しい CMK を登録します。新しいキーを使用してこれらの手順を再度完了すると、システム関数の出力が変わります。セルフ登録中に呼び出した各システム関数からの出力を読み、キーが変更されていることを確認します。たとえば、 CMK を変更した場合、 SYSTEM$GET_CMK_INFO 関数を呼び出すと、 ...is being rekeyed... を含むメッセージが返されます。

Integrate Tri-Secret Secure with AWS external key stores

Snowflakeは Tri-Secret Secure と AWS の外部キーストアとの統合をサポートしており、 AWS の外部で顧客管理キーを安全に保管および管理します。Snowflakeは、Thales Hardware Security Modules(HSM)およびThales CipherTrust Cloud Key Manager(CCKM)データ暗号化製品のみ公式にテストを行い、サポートしています。

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.

言語: 日本語