Snowflake의 Tri-Secret Secure 셀프 서비스¶

Tri-Secret Secure 개요¶

이중 키 암호화 모델을 Snowflake의 기본 제공 사용자 인증과 함께 사용하면 *Tri-Secret Secure*로 불리는 3가지 수준의 데이터 보호가 가능합니다. Tri-Secret Secure는 Snowflake의 표준 암호화보다 높은 수준의 보안과 제어를 제공합니다.

Snowflake의 이중 키 암호화 모델은 Snowflake에서 유지 관리하는 키와 Snowflake 계정을 호스팅하는 클라우드 공급자 플랫폼에서 생성하는 CMK(고객 관리형 키)를 결합합니다. 이 모델은 Snowflake 데이터를 보호하는 복합 마스터 키를 생성합니다. 이 복합 마스터 키는 계정 계층 구조의 모든 키를 래핑하여 계정 마스터 키 역할을 합니다. 복합 마스터 키는 원시 데이터를 암호화하는 데는 절대 사용되지 않습니다. 예를 들어, 복합 마스터 키는 원시 데이터를 암호화하는 파일 키를 파생하는 데 사용되는 테이블 마스터 키를 래핑합니다.

Tri-Secret Secure 활성화¶

이 프로시저는 Snowflake가 지원하는 모든 클라우드 공급자 플랫폼에서 작동합니다. 클라우드 공급자 플랫폼에서 수행한 모든 단계는 해당 클라우드 공급자 설명서를 참조하세요.

CMK를 생성 및 등록한 후 |tri-secret-secure|를 활성화하려면 다음 단계를 완료합니다.

1. 클라우드 공급자에서 CMK를 생성합니다.

   Snowflake 계정을 호스팅하는 클라우드 플랫폼의 키 관리 서비스(KMS)에서 이 단계를 수행합니다.

2. Snowflake에서 SYSTEM$REGISTER_CMK_INFO 시스템 함수를 호출합니다.

   • 이 시스템 함수는 CMK를 Snowflake 계정으로 등록합니다.

   • Snowflake 계정을 호스팅하는 클라우드 플랫폼에 올바른 시스템 함수 인자인지 다시 확인합니다.

   • SYSTEM$REGISTER_CMK_INFO 함수를 호출할 때 Snowflake는 검증된 이메일 주소가 있는 계정 관리자에게 이메일 메시지를 보냅니다. 메시지는 SYSTEM$ACTIVATE_CMK_INFO 함수를 호출하여 |tri-secret-secure|를 활성화할 때 계정 관리자에게 알려줍니다.

   중요

   |tri-secret-secure|를 활성화하려면 72시간을 기다려야 합니다(6단계). 이 대기 기간 동안 |tri-secret-secure|를 활성화하려고 하면 대기하라는 오류 메시지가 표시됩니다.

3. Snowflake에서 SYSTEM$GET_CMK_INFO 시스템 함수를 호출합니다.

   이 시스템 함수는 사용자가 등록한 CMK의 등록 상태와 세부 정보를 반환합니다.

4. Snowflake에서 SYSTEM$GET_CMK_CONFIG 시스템 함수를 호출합니다.

   이 시스템 함수는 클라우드 공급자가 Snowflake가 CMK에 액세스할 수 있도록 허용하는 데 필요한 정보를 생성합니다.

   참고

   |azure|가 Snowflake 계정을 호스팅하는 경우 함수에 tenant_id 값을 전달해야 합니다.

5. Snowflake에서 SYSTEM$VERIFY_CMK_INFO 시스템 함수를 호출합니다.

   이 시스템 함수는 Snowflake 계정 및 CMK 간의 연결을 확인합니다.

6. Snowflake에서 SYSTEM$ACTIVATE_CMK_INFO 시스템 함수를 호출합니다.

   이 시스템 함수는 |tri-secret-secure|를 등록된 CMK에서 활성화합니다. 이 시스템 함수는 키 재생성 프로세스를 시작하고 프로세스가 완료되면 시스템 관리자에게 알리는 이메일 메시지를 생성합니다. 키 재생성 프로세스는 1시간 이내에 완료할 수 있지만, 최대 24시간이 걸릴 수 있습니다.

   경고

   Snowflake는 키 재생성 프로세스가 완료될 때까지 이전 CMK를 사용합니다. 키 재생성 프로세스가 완료되었다는 이메일 알림을 받을 때까지 이전 CMK에 대한 액세스 권한을 제거하지 마세요.

|tri-secret-secure|로 이미 활성화된 CMK에 대한 비공개 연결을 활성화하려면 활성 CMK에 대한 비공개 연결 엔드포인트 활성화 섹션을 참조하세요.

CMK 상태 보기¶

언제든지 :doc:`/sql-reference/functions/system_get_cmk_info`를 호출하여 CMK의 등록 및 활성화 상태를 확인할 수 있습니다.

예를 들어, SYSTEM$GET_CMK_INFO 호출 시점에 따라 이 함수는 다음 출력을 반환합니다.

• Tri-Secret Secure 활성화 직후 ``…is being activated…``가 반환됩니다. 즉, 키 재생성이 완료되지 않았습니다.

• Tri-Secret Secure 활성화 프로세스가 완료되면 ``…is activated…``가 포함된 출력이 반환됩니다. 이는 사용자의 Snowflake 계정에서 등록한 CMK와 함께 |tri-secret-secure|가 사용되고 있음을 의미합니다.

|tri-secret-secure|용 CMK 변경¶

Snowflake 시스템 함수는 보안 요구 사항에 따라 CMK(고객 관리형 키)를 변경하도록 지원합니다. 초기 CMK를 등록할 때 사용했던 동일한 단계에 따라 새 CMK를 등록하세요. 새 키를 사용하여 해당 단계를 다시 완료하면 시스템 함수의 출력이 달라집니다. 자체 등록 중에 호출하는 각 시스템 함수의 출력을 읽고 키가 변경되었는지 확인합니다. 예를 들어, CMK를 변경할 때, SYSTEM$GET_CMK_INFO 함수를 호출하면 ``…is being rekeyed…``가 포함된 메시지가 반환됩니다.

자동 키 순환을 사용한 Tri-Secret Secure 셀프 서비스 사용¶

클라우드 공급자의 자동 키 순환 기능을 사용하여 CMKs(고객 관리형 키)의 수명 주기를 유지하는 경우 SYSTEM$ACTIVATE_CMK_INFO 함수를 호출하고 'REKEY_SAME_CMK' 인자를 제공하여 CMK의 최신 버전으로 키를 재생성할 수 있습니다.

자세한 내용은 고객 관리 키 섹션을 참조하십시오.

Tri-Secret Secure 비활성화¶

계정에서 |tri-secret-secure|를 비활성화하려면 SYSTEM$DEACTIVATE_CMK_INFO 시스템 함수를 호출합니다.

현재 CMK 등록 취소¶

한 번에 하나의 CMK만 |tri-secret-secure|에 등록할 수 있습니다. CMK를 등록할 때 다른 CMK의 존재로 인해 SYSTEM$REGISTER_CMK_INFO 함수가 실패한 경우 프롬프트에 따라 SYSTEM$DEREGISTER_CMK_INFO 시스템 함수를 호출합니다.

|tri-secret-secure|와 AWS 외부 키 저장소 통합¶

또한 Snowflake는 |tri-secret-secure|와 AWS 외부 키 저장소를 통합하여 고객 관리형 키를 AWS 외부에서 안전하게 저장하고 관리할 수 있도록 지원합니다. Snowflake는 Thales HSM(하드웨어 보안 모듈) 및 Thales CCKM(CipherTrust 클라우드 키 관리자) 데이터 암호화 제품만 공식적으로 테스트하고 지원합니다.

Thales 솔루션을 사용하여 |tri-secret-secure|를 설정하고 구성하는 방법에 대한 자세한 내용은 `AWS Snowflake 계정에서 Tri-Secret Secure에 Thales 외부 키 저장소를 사용하는 방법<https://community.snowflake.com/s/article/thales-xks-for-tss-aws#e3>`_ 섹션을 참조하세요.