- 类别:
系统函数 (系统信息)
SYSTEM$GET_CMK_CONFIG¶
返回与客户管理的密钥 (CMKs) 和 Tri-Secret Secure 一起使用的配置信息:
- 另请参阅:
语法¶
Amazon Web Services 和 Google Cloud Platform:
SYSTEM$GET_CMK_CONFIG()
Microsoft Azure:
SYSTEM$GET_CMK_CONFIG( '<tenant-id>' )
实参¶
tenant_id在 Microsoft Azure 订阅中指定 Azure 密钥保管库 租户 (https://docs.microsoft.com/en-us/azure/key-vault/general/basic-concepts) 的唯一标识符。
此值使用 GUID 格式,例如
b3ddabe4-e5ed-4e71-8827-0cefb99af240。您可以通过登录门户网站,并导航到 Key Vault » Overview 来找到此值。选择 Directory ID 值。
返回¶
输出取决于托管您的 Snowflake 账户的云平台:
对于 Amazon Web Services,CMK 策略的语句标识符 (
Sid) 的片段:{"Sid": "Allow use of the key by Snowflake","Effect": "Allow","Principal": {"AWS": "my-arn:name/TRISECRETTEST"},"Action": ["kms:Decrypt","kms:GenerateDataKeyWithoutPlaintext"],"Resource": "arn:aws:kms:us-west-2:736112632310:key/ceab36e4-f0e5-4b46-9a78-86e8f17a0f59"},对于 Microsoft Azure,同意书 URL 和 Snowflake 服务主体的名称:
Consent url is: https://login.microsoftonline.com/tenantId/oauth2/authorize?client_id=c03edcfb-19f9-435f-92fa-e8ec9e24f40e&response_type=code and Snowflake Service Principal name is: trisec_cmk_azure"对于 Google Cloud Platform,gcloud 命令:
gcloud kms keys add-iam-policy-binding TriSecretGCPKey --project my-env --location us-west1 --keyring TriSecretTest --member serviceAccount:site-trisecret@my-env.iam.serviceaccount.com --role roles/cloudkms.cryptoKeyEncrypterDecrypter
使用说明¶
只有账户管理员(具有 ACCOUNTADMIN 角色的用户)才能调用此函数。
示例¶
获取 Microsoft Azure 上您的 Snowflake 账户的 CMK 配置信息:
SELECT SYSTEM$GET_CMK_CONFIG('b3ddabe4-e5ed-4e71-8827-0cefb99af240');