Snowflakeのセルフサービス Tri-Secret Secure

デュアルキー暗号化モデルとSnowflakeの組み込みユーザー認証を組み合わせると、|tri-secret-secure|として知られている3つのレベルのデータ保護が可能になります。|tri-secret-secure|は、Snowflakeの標準暗号化よりも高いレベルのセキュリティと制御を提供します。

デュアルキー暗号化モデルは、Snowflakeが管理するキーと顧客が管理するキーを組み合わせたものです(CMK)(Snowflakeアカウントをホストするクラウドプロバイダープラットフォームで作成)を使用して、Snowflakeデータを保護する複合マスターキーを作成します。この複合マスターキーは、アカウント階層内のすべてのキーをラップすることにより、アカウントマスターキーとして機能します。複合マスターキーが生データの暗号化するに使用されることはありません。たとえば、複合マスターキーは、生データを暗号化するファイルキーを取得するために使用されるテーブルマスターキーをラップします。

注意

このトピックの プロシージャを使用すると、|tri-secret-secure|Snowflakeシステム関数を使用が有効になります。|tri-secret-secure| アカウントで有効にする前に、:ref:`label-customer-managed-keys`で述べたように、キーを保護する責任を慎重に検討してください。複合マスターキー階層内の CMK が取り消された場合 、データはSnowflakeによって復号化できなくなります。質問や懸念がある場合は、`Snowflakeサポート`_にお問い合わせください。

Snowflakeは、当社が維持するキーに対しても同じ責任を負います。サービスのセキュリティ関連のすべての側面と同様に、当社では細心の注意を払いこの責任に取り組んでいます。

すべてのキーは、SOC 2 Type II、PCI-DSS、HIPAAおよび HITRUST CSF など、最高のセキュリティ認定を取得できるようにする厳格なポリシーの下で維持されています。

機能の互換性

ハイブリッドテーブル は|tri-secret-secure|と互換性がありません .

Snowflakeアカウントで Tri-Secret Secure の使用が有効になっている場合、 |tri-secret-secure|ハイブリッドテーブル ``_ は使用できません。ハイブリッドテーブルを使用する前に |tri-secret-secure|Snowflakeサポート|tri-secret-secure| に連絡して、 ` に対してSnowflakeアカウントでが有効になっているかどうかを確認してください。

セルフサービスの概要

Tri-Secret Secure セルフサービスプロシージャを利用して、まず CMK を登録し、次に Tri-Secret Secure をアクティブ化することができます。CMK と Tri-Secret Secure を交換することに決めた場合、セルフサービスプロシージャは、新しい CMK が登録され、アクティブ化されているかどうかを通知します。キー更新プロセス中も引き続きアカウントを使用できます。

セルフサービスは以下のようなメリットを提供します。

  • Snowflakeアカウントをホストするクラウドプラットフォームの鍵管理サービス(KMS)サービスとの連携を容易にします。

  • CMKの登録と認証の手順を合理化します。

  • CMK 登録と Tri-Secret Secure アクティベーションステータスに透明性を提供します。

  • Snowflakeアカウントのダウンタイムなしで|tri-secret-secure|を管理できるようにします。

セルフサービスプロシージャ

この手順は、Snowflakeがサポートするすべてのクラウドプロバイダープラットフォームで機能します。クラウドプロバイダーのプラットフォーム上で実行するステップについては、特定のクラウドプロバイダーのドキュメントをご参照ください。

CMKを作成して登録し、 |tri-secret-secure|をアクティブ化するには、次の手順を完了します。

  1. クラウドプロバイダー でCMK を実行します。

    Snowflakeアカウントを使用しているホストするクラウドプラットフォームのキー管理サービス(KMS)でこの手順を実行します。

  2. Snowflakeで: SYSTEM$REGISTER_CMK_INFO システム関数を呼び出します。

    • このシステム関数は CMK Snowflakeアカウントをを登録します

    • システム関数の引数が再確認され、Snowflakeアカウントをホストするクラウドプラットフォームに対して正しいかどうかを確認します。

    • SYSTEM$REGISTER_CMK_INFO 関数を呼び出すと、検証済みのメールアドレスを持つアカウント管理者にメールメッセージを送信します。メッセージは、アカウント管理者に SYSTEM$ACTIVATE_CMK_INFO 関数を呼び出して|tri-secret-secure|アクティブ化するタイミングを通知します。

    重要

    アクティブ化 |tri-secret-secure|(ステップ6)する前に72時間待つ必要があります。この待機時間中に|tri-secret-secure| をアクティブ化しようとすると、待機することを推奨するエラーメッセージが表示されます。

  3. Snowflakeで: SYSTEM$GET_CMK_INFO システム関数を呼び出します。

    このシステム関数は、登録したCMK の登録ステータスと詳細を返します。

  4. Snowflakeで: SYSTEM$GET_CMK_CONFIG システム関数を呼び出します。

    このシステム関数は、Snowflakeが CMKにアクセスできるようにするために、クラウドプロバイダーが必要な情報を生成します。

    注釈

    Microsoft Azure がSnowflakeアカウントをホストしている場合 、関数に:samp:{tenant_id} 値を渡す必要があります。

  5. Snowflakeで: SYSTEM$VERIFY_CMK_INFO システム関数を呼び出します。

    このシステム関数は、 Snowflakeアカウントと CMK との接続性を確認します。

  6. Snowflakeで: SYSTEM$ACTIVATE_CMK_INFO システム関数を呼び出します。

    このシステム関数は |tri-secret-secure|登録済み CMKをアクティブ化します。このシステム関数はキー更新プロセスを開始し、プロセスが終了するとシステム管理者に通知する電子メールメッセージを生成します。キー更新プロセスは1時間以内で完了しますが、最大24時間かかる場合があります。

    警告

    Snowflakeはキー更新プロセスが完了するまで、古い CMK を使用します。キー更新プロセスが完了したというメール通知を受信するまで、古い CMK へのアクセスを削除しないでください。

CMKのステータスの表示

オプションで、セルフサービス手順を完了する前後に、 /sql-reference/functions/system_get_cmk_info`システム関数を呼び出し、CMKの登録とアクティベーションステータスを確認できます。たとえば、|tri-secret-secure| が無効になっている状態でSYSTEM$ACTIVATE_CMK_INFO を呼び出した直後に SYSTEM$GET_CMK_INFO を呼び出すと、``is being activated` が返され、キー更新が完了していないことを示します。プロセスが完了すると、 SYSTEM$GET_CMK_INFO 関数の出力には is activated が含まれます。これは、Snowflakeアカウントが、登録した Tri-Secret Secure で CMK を使用していることを意味します。

CMK を |tri-secret-secure|に変更します

セルフサービスプロセスでは、セキュリティのニーズに応じて CMKを変更することができます。初期登録のステップとして CMK と同じ手順を使用して、新しい CMK を登録します。 新しい キーを使用してこれらの手順を再度実行すると、システム関数の出力が異なります。セルフサービスプロシージャ中に呼び出す各システム関数の出力を読み取り、キーを変更したことを確認します。たとえば、 CMK を変更した場合、 SYSTEM$GET_CMK_INFO 関数を呼び出すと ...is being rekeyed... を返します。

Tri-Secret Secure 自動キーローテーションを使用した セルフサービスの使用

クラウドプロバイダーの自動キーローテーション機能を使用して label-customer-managed-keys`のライフサイクルを管理している場合、 SYSTEM$ACTIVATE_CMK_INFO システム関数を呼び出し、 `'REKEY_SAME_CMK'`` 引数を指定することで、 CMK の。最新バージョンでキーを更新できます。

非アクティブ化しています Tri-Secret Secure

非アクティブ化するには Tri-Secret Secure アカウントで、 SYSTEM$DEACTIVATE_CMK_INFO システム関数を呼び出します。

現在の CMKの登録

You can only register one CMK at a time with Tri-Secret Secure. When you register your CMK, if the SYSTEM$REGISTER_CMK_INFO function fails because a different CMK exists, call the SYSTEM$DEREGISTER_CMK_INFO system function, as prompted.

Tri-Secret Secure を AWS 外部キーストアと統合する

Snowflakeは Tri-Secret Secure とAWSの外部キーストアとの統合もサポートしており、 AWS の外部で顧客管理キーを安全に保管および管理します。SnowflakeはThales HSM およびThales CCKM データ暗号化製品のみ公式にテストを行い、サポートしています。Thalesのソリューションを使用した|tri-secret-secure| のセットアップと構成の詳細については、` SnowflakeアカウントAWSでTri-Secret SecureのThales外部キーストアを使用する方法 <https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_ をご参照ください。