Snowflake Postgres Tri-Secret Secure¶
Tri-Secret Secure é compatível com o armazenamento de instâncias do Snowflake Postgres. O armazenamento de instâncias Snowflake Postgres Tri-Secret Secure usa um processo de registro de autoatendimento semelhante ao descrito em Tri-Secret Secure self-service in Snowflake com as seguintes diferenças:
Snowflake Postgres Tri-Secret Secure usa funções do sistema Snowflake diferentes para ativação e registro da CMK.
Snowflake Postgres Tri-Secret Secure não oferece suporte à conectividade privada.
Snowflake Postgres Tri-Secret Secure não oferece suporte a autorregistro com ativação de suporte.
O Snowflake Postgres Tri-Secret Secure oferece suporte ao registro e à ativação de novas CMKs, mas não oferece suporte para recodificação das instâncias existentes do Snowflake Postgres com novas CMKs.
Atenção
Antes de entrar em contato com a Snowflake para ativar o Snowflake Postgres Tri-Secret Secure para sua conta, você deve considerar cuidadosamente sua responsabilidade de proteger sua chave, conforme mencionado em Chaves gerenciadas pelo cliente. Se a chave gerenciada pelo cliente (CMK) na hierarquia de chaves mestras compostas for revogado, seus dados não poderão mais ser descriptografados pelo Snowflake.
Se você tiver alguma dúvida ou preocupação, entre em contato com o suporte Snowflake.
A Snowflake também tem a mesma responsabilidade pelas chaves que mantemos. Como em todos os aspectos relacionados à segurança de nossos serviços, tratamos esta responsabilidade com o máximo cuidado e vigilância.
Todas as nossas chaves são mantidas sob políticas rigorosas que nos permitiram obter os mais altos credenciamentos de segurança, incluindo SOC 2 Type II, PCI-DSS, HIPAA e HITRUST CSF.
Ativar Snowflake Postgres Tri-Secret Secure¶
Esse procedimento funciona em todas as plataformas de provedores de nuvem compatíveis com o Snowflake. Consulte a documentação específica do seu provedor de nuvem para saber as etapas realizadas na plataforma do provedor de nuvem.
Para criar e registrar sua CMK e, em seguida, ativar o Snowflake Postgres Tri-Secret Secure, conclua as seguintes etapas:
No provedor de nuvem, crie uma CMK.
Execute esta etapa no serviço de gerenciamento de chaves (KMS) na plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake, chame a função de sistema SYSTEM$REGISTER_CMK_INFO_POSTGRES.
Essa função do sistema registra sua CMK na sua conta Snowflake para uso com Snowflake Postgres Tri-Secret Secure.
Verifique novamente os argumentos da função do sistema para garantir que estejam corretos para a plataforma de nuvem que hospeda sua conta Snowflake.
No Snowflake, chame a função de sistema SYSTEM$GET_CMK_INFO_POSTGRES.
Essa função do sistema retorna o status de registro e os detalhes do CMK que você registrou.
No Snowflake, chame a função de sistema SYSTEM$GET_CMK_CONFIG_POSTGRES.
Essa função do sistema gera as informações necessárias para que seu provedor de nuvem permita que o Snowflake acesse seu CMK.
Nota
Se o Microsoft Azure hospeda sua conta Snowflake, você deve passar o valor
tenant_idpara a função.No Snowflake, chame a função de sistema SYSTEM$VERIFY_CMK_INFO_POSTGRES.
Essa função do sistema confirma a conectividade entre sua conta Snowflake e seu CMK.
No Snowflake, chame a função de sistema SYSTEM$ACTIVATE_CMK_INFO_POSTGRES.
Essa função do sistema ativa o Snowflake Postgres Tri-Secret Secure com a sua CMK recém-registrada.
Importante
Snowflake Postgres Tri-Secret Secure não oferece suporte para recodificação de instâncias existentes do Snowflake Postgres. Isto significa que:
Instâncias do Snowflake Postgres criadas antes da ativação de uma CMK não usarão Snowflake Postgres Tri-Secret Secure.
Instâncias do Snowflake Postgres criadas enquanto uma CMK anterior estava ativa continuarão a usar a CMK anterior.
Somente instâncias primárias do Snowflake Postgres criadas após a ativação de uma CMK usarão essa CMK.
As réplicas e bifurcações do Snowflake Postgres sempre usarão a CMK que está em uso por sua instância primária.
Visualizar o status de sua CMK¶
Você pode chamar SYSTEM$GET_CMK_INFO_POSTGRES a qualquer momento para verificar o status de registro e ativação de sua CMK.
Por exemplo, dependendo de quando você chama SYSTEM$GET_CMK_INFO_POSTGRES após o término do processo de ativação de Snowflake Postgres Tri-Secret Secure, a função retorna a saída que inclui ...is activated.... Isso significa que sua conta Snowflake está usando Snowflake Postgres Tri-Secret Secure com a CMK que você registrou.
Alterar a CMK para Snowflake Postgres Tri-Secret Secure¶
As funções do sistema Snowflake oferecem suporte à alteração de chave gerenciada pelo cliente (CMK), com base nas suas necessidades de segurança. Para registrar uma nova CMK, siga as mesmas etapas que você seguiu para registrar a CMK inicial. Ao executar essas etapas novamente usando uma nova chave, a saída das funções do sistema será diferente. Leia a saída de cada função do sistema que você chama durante o registro de autoatendimento para confirmar que você alterou sua chave.
Cancelar o registro de sua CMK atual¶
Você só pode registrar uma CMK por vez no Snowflake Postgres Tri-Secret Secure. Quando você registra sua CMK, se a função SYSTEM$REGISTER_CMK_INFO_POSTGRES falhar devido à existência de uma CMK diferente, chame a função do sistema SYSTEM$DEREGISTER_CMK_INFO_POSTGRES, conforme solicitado.