Tri-Secret Secure self-service in Snowflake¶

Tri-Secret Secure overview¶

Using a dual-key encryption model together with Snowflake’s built-in user authentication enables three levels of data protection, known as Tri-Secret Secure. Tri-Secret Secure offers you a level of security and control above Snowflake’s standard encryption.

Our dual-key encryption model combines a Snowflake-maintained key and a customer-managed key (CMK), which you create on the cloud provider platform that hosts your Snowflake account. The model creates a composite master key that protects your Snowflake data. This composite master key acts as an account master key by wrapping all of the keys in your account hierarchy. The composite master key is never used to encrypt raw data. For example, the composite master key wraps table master keys, which are used to derive file keys that encrypt the raw data.

Atenção

Before enabling Tri-Secret Secure for your account, you should carefully consider your responsibility for safeguarding your key as mentioned in Chaves gerenciadas pelo cliente. If the CMK in the composite master key hierarchy is revoked, your data can no longer be decrypted by Snowflake.

Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.

Snowflake also bears the same responsibility for the keys that we maintain. As with all security-related aspects of our service, we treat this responsibility with the utmost care and vigilance.

Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.

Compatibilidade do Tri-Secret Secure com tabelas híbridas¶

Você deve habilitar o modo de armazenamento dedicado se pretende criar tabelas híbridas em sua conta e TSS já estiver ativado ou será ativado. Para obter mais informações, consulte Modo de armazenamento dedicado de tabelas híbridas para TSS.

Understanding Tri-Secret Secure self-service¶

You can use Snowflake system functions to first register a CMK and then activate Tri-Secret Secure to use the CMK. If you decide to replace a CMK for use with Tri-Secret Secure, the SYSTEM$GET_CMK_INFO function informs you whether your new CMK is registered and activated. You can continue to use your account during the rekeying process.

Tri-Secret Secure self-service provides the following benefits to you:

Facilitates working with the key management service (KMS) in the cloud platform that hosts your Snowflake account.
Simplifica os passos para registrar e autorizar sua CMK.
Proporciona transparência ao seu registro CMK e ao status de ativação do Tri-Secret Secure.
Permite que você gerencie o Tri-Secret Secure sem qualquer tempo de inatividade da sua conta Snowflake.

Activate Tri-Secret Secure¶

Esse procedimento funciona em todas as plataformas de provedores de nuvem compatíveis com o Snowflake. Consulte a documentação específica do seu provedor de nuvem para saber as etapas realizadas na plataforma do provedor de nuvem.

Para criar e registrar sua CMK e, em seguida, ativar o Tri-Secret Secure, conclua as seguintes etapas:

On the cloud provider, create a CMK.

Execute esta etapa no serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
In Snowflake, call the SYSTEM$REGISTER_CMK_INFO system function.
- Esta função de sistema registra sua CMK na sua conta Snowflake.
- Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
- Quando você chama a função SYSTEM$REGISTER_CMK_INFO, o Snowflake envia uma mensagem de e-mail aos administradores da conta que têm um endereço de e-mail validado. A mensagem notifica o administrador da conta sobre o momento de chamar a função SYSTEM$ACTIVATE_CMK_INFO para ativar Tri-Secret Secure.
Importante

You must wait 72 hours before activating Tri-Secret Secure (step 6). If you attempt to activate Tri-Secret Secure during this waiting period, you see an error message that advises you to wait.
In Snowflake, call the SYSTEM$GET_CMK_INFO system function.

Essa função do sistema retorna o status de registro e os detalhes do CMK que você registrou.
In Snowflake, call the SYSTEM$GET_CMK_CONFIG system function.

Essa função do sistema gera as informações necessárias para que seu provedor de nuvem permita que o Snowflake acesse seu CMK.

Nota

Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor tenant_id para a função.
In Snowflake, call the SYSTEM$VERIFY_CMK_INFO system function.

Essa função do sistema confirma a conectividade entre sua conta Snowflake e seu CMK.
In Snowflake, call the SYSTEM$ACTIVATE_CMK_INFO system function.

Essa função do sistema ativa o Tri-Secret Secure com seu CMK registrado. Essa função do sistema inicia o processo de rechaveamento e gera uma mensagem de e-mail que notifica os administradores do sistema quando o processo é concluído. O processo de rechaveamento pode ser concluído em menos de uma hora, mas pode levar até 24 horas.

Aviso

O Snowflake usa a CMK antiga até que o processo de rechaveamento seja concluído. Não remova o acesso à CMK antiga até receber uma notificação por e-mail informando que o processo de rechaveamento foi concluído.

Para habilitar a conectividade privada para uma CMK já ativada com Tri-Secret Secure, consulte Habilitação de um ponto de extremidade de conectividade privada para uma CMK ativa.

View the status of your CMK¶

Você pode chamar SYSTEM$GET_CMK_INFO a qualquer momento para verificar o status de registro e ativação de sua CMK.

Por exemplo, dependendo de quando você chamar SYSTEM$GET_CMK_INFO, a função retornará o seguinte:

Imediatamente após ativar Tri-Secret Secure, retorna ...is being activated.... Isso significa que o rechaveamento não foi concluído.
Após o processo de ativação do Tri-Secret Secure ser concluído, a saída retornada incluirá ...is activated.... Isso significa que sua conta Snowflake está usando Tri-Secret Secure com a CMK que você registrou.

Change the CMK for Tri-Secret Secure¶

Snowflake system functions support changing your customer-managed key (CMK), based on your security needs. Use the same steps to register a new CMK as the steps that you followed to register your initial CMK. When you complete those steps again by using a new key, the output of the system functions differs. Read the output from each system function that you call during self-registration to confirm that you have changed your key. For example, when you change your CMK, calling the SYSTEM$GET_CMK_INFO function returns a message that contains ...is being rekeyed....

Use Tri-Secret Secure self-service with automatic key rotation¶

If you use your cloud provider’s automatic key rotation feature to maintain the lifecycle of your customer-managed keys (CMKs), you can rekey with the latest version of your CMK by calling the SYSTEM$ACTIVATE_CMK_INFO function and providing the 'REKEY_SAME_CMK' argument.

Para obter mais informações, consulte Chaves gerenciadas pelo cliente.

Deactivate Tri-Secret Secure¶

Para desativar o Tri-Secret Secure na sua conta, chame a função do sistema SYSTEM$DEACTIVATE_CMK_INFO.

Deregister your current CMK¶

Você só pode registrar uma CMK por vez no Tri-Secret Secure. Quando você registra sua CMK, se a função SYSTEM$REGISTER_CMK_INFO falhar devido à existência de uma CMK diferente, chame a função do sistema SYSTEM$DEREGISTER_CMK_INFO, conforme solicitado.

Integrate Tri-Secret Secure with AWS external key stores¶

O Snowflake também oferece suporte à integração do Tri-Secret Secure com armazenamentos de chave externos da AWS para armazenar e gerenciar com segurança uma chave gerenciada pelo cliente fora da AWS. O Snowflake oficialmente testa e oferece suporte apenas aos produtos de criptografia de dados Thales Hardware Security Modules (HSM) e Thales CipherTrust Cloud Keys (CCKM).

For more information about setting up and configuring Tri-Secret Secure with Thales solutions, see How to use Thales External Key Store for Tri-Secret Secure on an AWS Snowflake account.