Snowflake Postgres Tri-Secret Secure

Tri-Secret Secure はSnowflake Postgresインスタンスストレージでサポートされています。 Snowflake Postgres Tri-Secret Secure インスタンスストレージは、 Tri-Secret Secure self-service in Snowflake で概説されているものと似たセルフサービス登録プロセスを使用しますが、次のような違いがあります。

  • Snowflake Postgres Tri-Secret Secure はアクティベーションと CMK 登録に異なるSnowflakeシステム関数を使用します。

  • Snowflake Postgres Tri-Secret Secure はプライベート接続をサポートしていません。

  • Snowflake Postgres Tri-Secret Secure は、アクティベーションをサポートするセルフ登録をサポートしていません。

  • Snowflake Postgres Tri-Secret Secure は、新しい CMKs の登録とアクティベーションをサポートしますが、新しい CMKs を持つ既存のSnowflake Postgresインスタンスのキー更新はサポートしていません。

注意

Snowflakeを使用してアカウントで Snowflake Postgres Tri-Secret Secure を有効にする前に、 顧客が管理するキー で言及されたキーを保護する責任について慎重に検討する必要があります。複合マスターキー階層内のお客様が管理するキー(CMK)が取り消されると、Snowflakeでデータを復号化できなくなります。

質問や懸念がある場合は、 `Snowflakeサポート `_にお問い合わせください。

Snowflakeは、当社が維持するキーに対しても同じ責任を負います。サービスのセキュリティ関連のすべての側面と同様に、当社では細心の注意を払いこの責任に取り組んでいます。

すべてのキーは、SOC 2 Type II、PCI-DSS、HIPAAおよび HITRUST CSF など、最高のセキュリティ認定を取得できるようにする厳格なポリシーの下で維持されています。

Snowflake Postgres Tri-Secret Secure のアクティブ化

この手順は、Snowflakeがサポートするすべてのクラウドプロバイダープラットフォームで機能します。クラウドプロバイダーのプラットフォーム上で実行するステップについては、特定のクラウドプロバイダーのドキュメントをご参照ください。

CMKを作成して登録し、 |snowpg-tri-secret-secure|をアクティブ化するには、次の手順を完了します。

  1. クラウドプロバイダーで CMK を作成します。

    Snowflakeアカウントを使用しているホストするクラウドプラットフォームのキー管理サービス(KMS)でこの手順を実行します。

  2. Snowflakeで、 SYSTEM$REGISTER_CMK_INFO_POSTGRES システム関数を呼び出します。

    • このシステム関数は、 Snowflake Postgres Tri-Secret Secure と使用するために CMK をSnowflakeアカウントに登録します。

    • システム関数の引数が再確認され、Snowflakeアカウントをホストするクラウドプラットフォームに対して正しいかどうかを確認します。

  3. Snowflakeで、 SYSTEM$GET_CMK_INFO_POSTGRES システム関数を呼び出します。

    このシステム関数は、登録したCMK の登録ステータスと詳細を返します。

  4. Snowflakeで、 SYSTEM$GET_CMK_CONFIG_POSTGRES システム関数を呼び出します。

    このシステム関数は、Snowflakeが CMKにアクセスできるようにするために、クラウドプロバイダーが必要な情報を生成します。

    注釈

    Microsoft Azure がSnowflakeアカウントをホストしている場合 、関数に:samp:{tenant_id} 値を渡す必要があります。

  5. Snowflakeで、 SYSTEM$VERIFY_CMK_INFO_POSTGRES システム関数を呼び出します。

    このシステム関数は、 Snowflakeアカウントと CMK との接続性を確認します。

  6. Snowflakeで、 SYSTEM$ACTIVATE_CMK_INFO_POSTGRES システム関数を呼び出します。

    このシステム関数は、新しく登録された CMK で Snowflake Postgres Tri-Secret Secure をアクティベーションします。

    重要

    Snowflake Postgres Tri-Secret Secure は、既存のSnowflake Postgresインスタンスのキー更新をサポートしていません。 これは、

    • CMK がアクティベーションされる前に作成されたSnowflake Postgresインスタンスは Snowflake Postgres Tri-Secret Secure を使用しません。

    • 前の CMK がアクティブなときに作成されたSnowflake Postgresインスタンスは、以前の CMK を引き続き使用します。

    • CMK がアクティベーションされた後に作成されたSnowflake Postgresプライマリインスタンスのみ、その CMK を使用します。

    • Snowflake Postgresのレプリカとフォークは常に、プライマリインスタンスが使用している CMK を使用します。

CMK のステータスを確認する

いつでも SYSTEM$GET_CMK_INFO_POSTGRES を呼び出して、 CMK の登録とアクティベーションのステータスをチェックできます。

たとえば、Snowflake Postgres Tri-Secret Secure アクティベーションプロセスが完了した後いつ SYSTEM$GET_CMK_INFO_POSTGRES を呼び出すかに応じて、関数は ...is activated... を含む出力を返します。これは、Snowflakeアカウントが、登録した CMK で Snowflake Postgres Tri-Secret Secure を使用していることを意味します。

Snowflake Postgres Tri-Secret Secure の CMK を変更する

Snowflakeのシステム関数は、お客様のセキュリティニーズに基づき、お客様が管理するキー(CMK)の変更をサポートしています。初期登録のステップとして CMK と同じ手順を使用して、新しい CMK を登録します。新しいキーを使用してこれらの手順を再度完了すると、システム関数の出力が変わります。セルフサービス登録中に呼び出した各システム関数からの出力を読み、キーが変更されていることを確認します。

現在の CMK を登録解除する

You can only register one CMK at a time with Snowflake Postgres Tri-Secret Secure. When you register your CMK, if the SYSTEM$REGISTER_CMK_INFO_POSTGRES function fails because a different CMK exists, call the SYSTEM$DEREGISTER_CMK_INFO_POSTGRES system function, as prompted.

言語: 日本語