Snowflake Postgres Tri-Secret Secure

|tri-secret-secure-link|는 Snowflake Postgres 인스턴스 저장소에 지원됩니다. |snowpg-tri-secret-secure| 인스턴스 저장소는 :doc:`/user-guide/security-encryption-tss-self-serve`에 설명된 것과 유사한 셀프 서비스 등록 프로세스를 사용하며, 다음과 같은 차이점이 있습니다.

  • |snowpg-tri-secret-secure|는 활성화 및 CMK 등록을 위해 다양한 Snowflake 시스템 함수를 사용합니다.

  • |snowpg-tri-secret-secure|는 비공개 연결을 지원하지 않습니다.

  • |snowpg-tri-secret-secure|는 지원 활성화를 통한 자체 등록을 지원하지 않습니다.

  • |snowpg-tri-secret-secure|는 새 CMKs 등록 및 활성화를 지원하지만, 기존 Snowflake Postgres 인스턴스를 새 CMKs로 키 재생성하는 작업은 지원하지 않습니다.

주의

계정에 Snowflake Postgres Tri-Secret Secure 를 활성화하기 위해 Snowflake를 사용하기 전에 고객 관리 키 의 설명과 같이 키를 안전하게 보호할 책임을 신중하게 고려해야 합니다. 복합 마스터 키 계층 구조의 고객 관리 키(CMK)가 취소되면 Snowflake가 더 이상 데이터의 암호를 해독할 수 없습니다.

궁금한 점이나 우려 사항이 있는 경우 `Snowflake 지원`_에 문의하세요.

Snowflake도 자체적으로 유지 관리하는 키에 대해 동일한 책임을 집니다. 서비스의 모든 보안 관련 측면과 마찬가지로, Snowflake는 이러한 책임과 관련하여 최대한 주의하고 경계합니다.

Snowflake의 모든 키는 최고의 보안 인증을 획득할 수 있도록 SOC 2 타입 II, PCI-DSS, HIPAA 및 HITRUST CSF 등과 같은 엄격한 정책에 따라 유지됩니다.

Snowflake Postgres Tri-Secret Secure 활성화

이 프로시저는 Snowflake가 지원하는 모든 클라우드 공급자 플랫폼에서 작동합니다. 클라우드 공급자 플랫폼에서 수행한 모든 단계는 해당 클라우드 공급자 설명서를 참조하세요.

CMK를 생성 및 등록한 후 |snowpg-tri-secret-secure|를 활성화하려면 다음 단계를 완료합니다.

  1. 클라우드 공급자에서 CMK를 생성합니다.

    Snowflake 계정을 호스팅하는 클라우드 플랫폼의 키 관리 서비스(KMS)에서 이 단계를 수행합니다.

  2. Snowflake에서 SYSTEM$REGISTER_CMK_INFO_POSTGRES 시스템 함수를 호출합니다.

    • 이 시스템 함수는 CMK를 |snowpg-tri-secret-secure|에 사용하기 위해 Snowflake 계정으로 등록합니다.

    • Snowflake 계정을 호스팅하는 클라우드 플랫폼에 올바른 시스템 함수 인자인지 다시 확인합니다.

  3. Snowflake에서 SYSTEM$GET_CMK_INFO_POSTGRES 시스템 함수를 호출합니다.

    이 시스템 함수는 사용자가 등록한 CMK의 등록 상태와 세부 정보를 반환합니다.

  4. Snowflake에서 SYSTEM$GET_CMK_CONFIG_POSTGRES 시스템 함수를 호출합니다.

    이 시스템 함수는 클라우드 공급자가 Snowflake가 CMK에 액세스할 수 있도록 허용하는 데 필요한 정보를 생성합니다.

    참고

    |azure|가 Snowflake 계정을 호스팅하는 경우 함수에 tenant_id 값을 전달해야 합니다.

  5. Snowflake에서 SYSTEM$VERIFY_CMK_INFO_POSTGRES 시스템 함수를 호출합니다.

    이 시스템 함수는 Snowflake 계정 및 CMK 간의 연결을 확인합니다.

  6. Snowflake에서 SYSTEM$ACTIVATE_CMK_INFO_POSTGRES 시스템 함수를 호출합니다.

    이 시스템 함수는 |snowpg-tri-secret-secure|를 새로 등록된 CMK에서 활성화합니다.

    중요

    |snowpg-tri-secret-secure|는 기존 Snowflake Postgres 인스턴스의 키 재생성을 지원하지 않습니다. 그 의미는 다음과 같습니다.

    • CMK가 활성화되기 이전에 생성된 Snowflake Postgres 인스턴스는 |snowpg-tri-secret-secure|를 사용하지 않습니다.

    • 이전 CMK가 활성 상태일 때 생성된 Snowflake Postgres 인스턴스는 이전의 해당 CMK를 계속 사용합니다.

    • CMK가 활성화된 이후에 생성된 Snowflake Postgres 기본 인스턴스는 해당 CMK를 사용합니다.

    • Snowflake Postgres 복제본과 포크는 항상 기본 인스턴스에서 사용 중인 CMK를 사용합니다.

CMK 상태 보기

언제든지 :doc:`/sql-reference/functions/system_get_cmk_info_postgres`를 호출하여 CMK의 등록 및 활성화 상태를 확인할 수 있습니다.

예를 들어, Snowflake Postgres Tri-Secret Secure 활성화 프로세스가 완료된 후 SYSTEM$GET_CMK_INFO_POSTGRES를 호출하는 시점에 따라 함수는 ``…is activated…``를 포함하는 출력을 반환합니다. 이는 사용자의 Snowflake 계정에서 등록한 CMK와 함께 |snowpg-tri-secret-secure|가 사용되고 있음을 의미합니다.

|snowpg-tri-secret-secure|에 대한 CMK 변경

Snowflake 시스템 함수는 보안 요구 사항에 따라 고객 관리형 키(CMK)를 변경하도록 지원합니다. 초기 CMK 등록에 사용한 단계와 동일한 단계를 사용하여 새 CMK를 등록합니다. 새 키를 사용하여 해당 단계를 다시 완료하면 시스템 함수의 출력이 달라집니다. 셀프 서비스 등록 중에 호출하는 각 시스템 함수의 출력을 읽고 키가 변경되었는지 확인합니다.

현재 CMK 등록 취소

한 번에 하나의 CMK만 |snowpg-tri-secret-secure|에 등록할 수 있습니다. CMK를 등록할 때 다른 CMK의 존재로 인해 SYSTEM$REGISTER_CMK_INFO_POSTGRES 함수가 실패한 경우 프롬프트에 따라 SYSTEM$DEREGISTER_CMK_INFO_POSTGRES 시스템 함수를 호출합니다.

언어: 한국어