Snowflake에서 보안 공유 영역 계정을 사용하는 Tri-Secret Secure¶
Tri-Secret Secure 개요¶
Snowflake의 기본 제공 사용자 인증과 함께 이중 키 암호화 모델을 사용하면 *Tri-Secret Secure*라고 하는 3단계의 데이터 보호가 가능합니다. Tri-Secret Secure는 Snowflake의 표준 암호화보다 높은 수준의 보안과 제어를 제공합니다.
Snowflake의 이중 키 암호화 모델은 Snowflake에서 유지 관리하는 키와 고객 관리형 키(CMK)를 결합하여 Snowflake 데이터를 보호하는 복합 마스터 키를 생성합니다. 이 모델은 Snowflake 데이터를 보호하는 복합 마스터 키를 생성합니다. 이 복합 마스터 키는 계정 계층 구조의 모든 키를 래핑하여 계정 마스터 키 역할을 합니다. 복합 마스터 키는 원시 데이터를 암호화하는 데 사용되지 않습니다. 예를 들어, 복합 마스터 키는 원시 데이터를 암호화하는 파일 키를 파생하는 데 사용되는 테이블 마스터 키를 래핑합니다.
주의
보안 공유 계정에 Tri-Secret Secure 를 활성화하기 전에 :ref:`label-customer-managed-keys`에 설명된 대로 키 보호에 대한 책임을 신중하게 고려해야 합니다. 복합 마스터 키 계층 구조의 고객 관리 키(CMK)가 취소되면 Snowflake가 더 이상 데이터의 암호를 해독할 수 없습니다.
궁금한 점이나 우려 사항이 있는 경우 `Snowflake 지원`_에 문의하세요.
Snowflake도 자체적으로 유지 관리하는 키에 대해 동일한 책임을 집니다. 서비스의 모든 보안 관련 측면과 마찬가지로, Snowflake는 이러한 책임과 관련하여 최대한 주의하고 경계합니다.
Snowflake의 모든 키는 최고의 보안 인증을 획득할 수 있도록 SOC 2 타입 II, PCI-DSS, HIPAA 및 HITRUST CSF 등과 같은 엄격한 정책에 따라 유지됩니다.
하이브리드 테이블과의 Tri-Secret Secure 호환성¶
계정에서 하이브리드 테이블을 생성하고자 하며 TSS가 이미 활성화되어 있거나 활성화할 예정인 경우 전용 저장소 모드를 활성화해야 합니다. 자세한 내용은 TSS용 하이브리드 테이블 전용 저장소 모드 섹션을 참조하십시오.
보안 공유 영역 계정 이해하기¶
목록을 게시하고 클라우드 간 자동 복제를 활성화하는 경우 Snowflake는 컨슈머 리전에 하나 이상의 보안 공유 영역(SSA) 계정을 자동으로 생성할 수 있습니다. 이러한 SSA 계정의 특성은 다음과 같습니다.
사용자가 소유하고 공급자인 사용자에게 청구됩니다.
Snowflake에서 관리하며 사용자가 직접 액세스할 수 없습니다.
다른 리전의 컨슈머가 사용할 수 있도록 데이터 제품의 복제된 복사본을 저장합니다.
SSA 계정에는 데이터가 포함되어 있으므로 기본 계정과 마찬가지로 Tri-Secret Secure를 사용하여 계정을 보호할 수 있습니다. 하지만:
SSA는 각 TSS 계정에서 별도로 활성화해야 합니다.
SSA 계정 내에서 직접 Snowflake 명령을 실행할 수 없습니다.
이러한 계정이 경고 및 감사를 위해 클라우드 공급자 로그에 일관되게 표시되도록 하려면 KMS API 이벤트(예: GenerateDataKeyWithoutPlaintext 및 Decrypt)가 계속 필요할 수 있습니다.
SSA 계정 식별¶
자동 복제를 위한 SSA 계정은 표준 명명 패턴을 따르며 조직에서 전역 계정으로 표시됩니다.
SSA 계정을 나열하려면 다음 명령을 실행합니다.
USE ROLE ORGADMIN; SHOW GLOBAL ACCOUNTS LIKE '%AUTO_FULFILLMENT_AREA%' IN ORGANIZATION <org_name>;Copy
출력은 이름에 ``AUTO_FULFILLMENT_AREA``가 포함된 모든 계정을 반환합니다. 예를 들면 다음과 같습니다.
AUTO_FULFILLMENT_AREA$PUBLIC_AWS_US_EAST_1AUTO_FULFILLMENT_AREA$PUBLIC_AZURE_EASTUS2
이러한 계정 이름은 SSA 계정으로 작업할 때 Tri-Secret Secure 시스템 함수에 전달할 값입니다.
참고
이전 배포에는 이름이 ``SNOWFLAKE_MANAGED$PUBLIC_<CLOUD>_<REGION>``으로 시작하는 SSA 계정이 계속 포함될 수 있습니다. 필요한 경우 필터에 두 패턴을 모두 포함할 수 있습니다.
보안 공유 영역 계정을 사용하는 Tri-Secret Secure 이해하기¶
SSA 계정으로 Tri-Secret Secure 를 사용하여 SSAs를 통해 공유되는 데이터에 대한 보안을 개선할 수 있습니다. SSA 계정은 표준 계정과 동일한 3계층 암호화 보호의 이점을 활용하며, 고객 관리 키(CMK)는 암호화 키에 대한 추가 제어 계층을 제공합니다.
보안 공유 영역 계정을 사용하는 Tri-Secret Secure 는 다음과 같은 이점을 제공합니다.
보안 공유 영역을 통해 공유되는 데이터에 대한 보안 강화
보안 공유 영역 데이터를 위한 암호화 키 제어
데이터 보호에 대한 규정 요구 사항 준수
CMK를 취소하여 암호화된 데이터에 대한 액세스를 취소하는 기능
보안 공유 영역 계정을 위해 Tri-Secret Secure 활성화¶
SSA 계정에 Tri-Secret Secure 를 활성화하려면 다음 단계를 완료합니다. 이 단계에서는 사용자가 이미 :ref:`CMK를 등록 <label-self_register_a_cmk>`했다고 가정합니다.
Snowflake에서 SYSTEM$GET_CMK_INFO 시스템 함수를 호출하여 등록된 CMK에 대한 세부 정보를 확인하고 SSA 계정 이름을 포함합니다.
Snowflake에서 SYSTEM$GET_CMK_CONFIG 시스템 함수를 호출하여 클라우드 공급자에게 필요한 정보를 생성합니다.
이 정책을 통해 Snowflake가 사용자의 CMK에 액세스할 수 있습니다.
참고
|azure|가 Snowflake 계정을 호스팅하는 경우 함수에
tenant_id값을 전달해야 합니다.클라우드 공급자 플랫폼에서 SYSTEM$GET_CMK_CONFIG 함수의 출력을 사용하여 CMK에 권한을 부여합니다.
Snowflake에서 SYSTEM$VERIFY_CMK_INFO 시스템 함수를 호출하고 SSA 계정 이름을 포함하여 Snowflake 계정과 CMK 간의 연결을 확인합니다.
Snowflake에서 SYSTEM$ACTIVATE_CMK_INFO 시스템 함수를 호출하여 보안 공유 영역 계정에 Tri-Secret Secure 를 활성화합니다.
이 시스템 함수는 Tri-Secret Secure 를 등록된 CMK에서 활성화합니다. 이 시스템 함수는 키 재생성 프로세스를 시작하고 프로세스가 완료되면 시스템 관리자에게 알리는 이메일 메시지를 생성합니다. 키 재생성 프로세스는 1시간 이내에 완료할 수 있지만, 최대 24시간이 걸릴 수 있습니다.
경고
Snowflake는 키 재생성 프로세스가 완료될 때까지 이전 CMK를 사용합니다. 키 재생성 프로세스가 완료되었음을 나타내는 이메일 알림을 받을 때까지 이전 CMK 키에 대한 액세스 권한을 제거하지 마세요.
CMK 상태 보기¶
언제든지 :doc:`/sql-reference/functions/system_get_cmk_info`를 호출하여 CMK의 등록 및 활성화 상태를 확인할 수 있습니다.
예를 들어, SYSTEM$GET_CMK_INFO 호출 시점에 따라 이 함수는 다음 출력을 반환합니다.
Tri-Secret Secure 에 대한 CMK 변경¶
Snowflake 시스템 함수는 보안 요구 사항에 따라 고객 관리형 키(CMK)를 변경하도록 지원합니다. 초기 CMK 등록에 사용한 단계와 동일한 단계를 사용하여 새 CMK를 등록합니다. 새 키를 사용하여 해당 단계를 다시 완료하면 시스템 함수의 출력이 달라집니다. 자체 등록 중에 호출하는 각 시스템 함수의 출력을 읽고 키가 변경되었는지 확인합니다. 예를 들어, CMK를 변경하고 SYSTEM$GET_CMK_INFO 함수를 호출하면 ``…is being rekeyed…``가 포함된 메시지가 반환됩니다.
Tri-Secret Secure 비활성화¶
보안 공유 영역 계정에서 Tri-Secret Secure 를 비활성화하려면 SYSTEM$DEACTIVATE_CMK_INFO 시스템 함수를 호출합니다.
현재 CMK 등록 취소¶
한 번에 하나의 CMK만 Tri-Secret Secure 에 등록할 수 있습니다. CMK를 등록할 때 다른 CMK의 존재로 인해 SYSTEM$REGISTER_CMK_INFO 함수가 실패한 경우 프롬프트에 따라 SYSTEM$DEREGISTER_CMK_INFO 시스템 함수를 호출합니다.