Tri-Secret Secure self-service in Snowflake¶
Tri-Secret Secure overview¶
Using a dual-key encryption model together with Snowflake's built-in user authentication enables three levels of data protection, known as Tri-Secret Secure. Tri-Secret Secure offers you a level of security and control above Snowflake's standard encryption.
Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.
注意
Before enabling Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in 顧客が管理するキー. If the CMK in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.
質問や懸念がある場合は、 `Snowflakeサポート `_にお問い合わせください。
Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.
すべてのキーは、SOC 2 Type II、PCI-DSS、HIPAAおよび HITRUST CSF など、最高のセキュリティ認定を取得できるようにする厳格なポリシーの下で維持されています。
Tri-Secret Secure ハイブリッドテーブルとの互換性¶
アカウントにハイブリッドテーブルを作成する予定があり、 TSS がすでに有効になっているかこれから有効にする場合は、専用ストレージモードを有効にする必要があります。詳細については、 TSS向けハイブリッドテーブル専用ストレージモード をご参照ください。
Understanding Tri-Secret Secure self-service¶
You can use Snowflake system functions to first register a CMK and then activate Tri-Secret Secure to use the CMK. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. You can continue to use your account during the rekeying process.
Tri-Secret Secure self-service provides the following benefits to you:
Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.
CMKの登録と認証の手順を合理化します。
CMK 登録と Tri-Secret Secure アクティベーションステータスに透明性を提供します。
Snowflakeアカウントのダウンタイムなしで|tri-secret-secure|を管理できるようにします。
Activate Tri-Secret Secure¶
この手順は、Snowflakeがサポートするすべてのクラウドプロバイダープラットフォームで機能します。クラウドプロバイダーのプラットフォーム上で実行するステップについては、特定のクラウドプロバイダーのドキュメントをご参照ください。
CMKを作成して登録し、 |tri-secret-secure|をアクティブ化するには、次の手順を完了します。
On the cloud provider, create a CMK.
Snowflakeアカウントを使用しているホストするクラウドプラットフォームのキー管理サービス(KMS)でこの手順を実行します。
In Snowflake, call the SYSTEM$REGISTER_CMK_INFO system function.
このシステム関数は CMK Snowflakeアカウントをを登録します
システム関数の引数が再確認され、Snowflakeアカウントをホストするクラウドプラットフォームに対して正しいかどうかを確認します。
SYSTEM$REGISTER_CMK_INFO 関数を呼び出すと、検証済みのメールアドレスを持つアカウント管理者にメールメッセージを送信します。メッセージは、アカウント管理者に SYSTEM$ACTIVATE_CMK_INFO 関数を呼び出して|tri-secret-secure|アクティブ化するタイミングを通知します。
重要
You must wait 72 hours before activating Tri-Secret Secure (step 6). If you attempt to activate Tri-Secret Secure during this waiting period, you see an error message that advises you to wait.
In Snowflake, call the SYSTEM$GET_CMK_INFO system function.
このシステム関数は、登録したCMK の登録ステータスと詳細を返します。
In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function.
このシステム関数は、Snowflakeが CMKにアクセスできるようにするために、クラウドプロバイダーが必要な情報を生成します。
注釈
Microsoft Azure がSnowflakeアカウントをホストしている場合 、関数に:samp:
{tenant_id}値を渡す必要があります。In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function.
このシステム関数は、 Snowflakeアカウントと CMK との接続性を確認します。
In Snowflake, call the SYSTEM$ACTIVATE_CMK_INFO system function.
このシステム関数は |tri-secret-secure|登録済み CMKをアクティブ化します。このシステム関数はキー更新プロセスを開始し、プロセスが終了するとシステム管理者に通知する電子メールメッセージを生成します。キー更新プロセスは1時間以内で完了しますが、最大24時間かかる場合があります。
警告
Snowflakeはキー更新プロセスが完了するまで、古い CMK を使用します。キー更新プロセスが完了したというメール通知を受信するまで、古い CMK へのアクセスを削除しないでください。
Tri-Secret Secure ですでにアクティブ化されている CMK のプライベート接続を有効にするには、 アクティブな CMK のプライベート接続エンドポイントを有効にする をご参照ください。
View the status of your CMK¶
いつでも SYSTEM$GET_CMK_INFO を呼び出して、 CMK の登録とアクティベーションのステータスをチェックできます。
たとえば、 SYSTEM$GET_CMK_INFO をいつ呼び出すかによって、この関数は以下のような出力を返します。
Tri-Secret Secure をアクティブ化した直後は、
...is being activated...を返します。これはキー更新が完了していないことを意味します。Tri-Secret Secure のアクティベーションプロセス完了後は、
...is activated...を含む出力を返します。これは、Snowflakeアカウントが、登録した CMK で Tri-Secret Secure を使用していることを意味します。
Change the CMK for Tri-Secret Secure¶
Snowflake system functions support changing your customer-managed key (CMK), based on your security needs. Use the same steps to register a new CMK as the
steps that you followed to register your initial CMK. When you complete those steps again by using a new key, the output of the system functions
differs. Read the output from each system function that you call during self-registration to confirm that you have changed your key. For
example, when you change your CMK, calling the SYSTEM$GET_CMK_INFO function returns a message that contains ...is being rekeyed....
Use Tri-Secret Secure self-service with automatic key rotation¶
If you use your cloud provider's automatic key rotation feature to maintain the lifecycle of your customer-managed keys (CMKs), you can rekey with
the latest version of your CMK by calling the SYSTEM$ACTIVATE_CMK_INFO function and providing the 'REKEY_SAME_CMK' argument.
詳細については、 顧客が管理するキー をご参照ください。
Deactivate Tri-Secret Secure¶
非アクティブ化するには Tri-Secret Secure アカウントで、 SYSTEM$DEACTIVATE_CMK_INFO システム関数を呼び出します。
Deregister your current CMK¶
CMK と一度に Tri-Secret Secure 登録できるのは1つだけです。CMK を登録する際、異なるCMK が存在するため、 SYSTEM$REGISTER_CMK_INFO 関数が失敗した場合は、プロンプトに従って SYSTEM$DEREGISTER_CMK_INFO システム関数を呼び出してください。
Integrate Tri-Secret Secure with AWS external key stores¶
Snowflakeは Tri-Secret Secure と AWS の外部キーストアとの統合をサポートしており、 AWS の外部で顧客管理キーを安全に保管および管理します。Snowflakeは、Thales Hardware Security Modules(HSM)およびThales CipherTrust Cloud Key Manager(CCKM)データ暗号化製品のみ公式にテストを行い、サポートしています。
For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.