了解 Snowflake 中的 Tri-Secret Secure

Tri-Secret Secure 是将 Snowflake 维护的密钥与托管您的 Snowflake 账户的云提供商平台中客户管理的密钥相结合,从而创建复合主密钥来保护您的 Snowflake 数据。复合主密钥充当账户主密钥,并对该层次结构中的所有密钥进行包装;但是,复合主密钥并不加密原始数据。

如果复合主密钥层次结构中的客户管理的密钥被撤销,您的数据将无法再由 Snowflake 解密,从而提供高于 Snowflake 标准加密的安全性和控制级别。这种双密钥加密模型与 Snowflake 的内置用户身份验证相结合,实现了 Tri-Secret Secure 提供的三级数据保护。

注意

在与 Snowflake 合作为账户启用 Tri-Secret Secure 之前,您应仔细考虑 客户管理的密钥 中提到的密钥保护责任。如有任何问题或疑虑,请联系 Snowflake 支持部门 (https://community.snowflake.com/s/article/How-To-Submit-a-Support-Case-in-Snowflake-Lodge)

请注意,Snowflake 也对我们维护的密钥承担相同的责任。与我们服务中所有与安全相关的方面一样,我们以极其谨慎和警惕的态度对待这一责任。

我们按照严格的政策对所有密钥进行维护,这使我们能够获得最高安全认证,包括 SOC 2 Type II、PCI-DSS、HIPAA 以及 HITRUST CSF

功能兼容性

以下功能不兼容 Tri-Secret Secure:

  • 图像注册表

  • 混合表

    如果您的 Snowflake 账户已启用使用 Tri-Secret Secure,则不能使用 混合表。在使用混合表之前,请联系 Snowflake 支持部门 (https://community.snowflake.com/s/article/How-To-Submit-a-Support-Case-in-Snowflake-Lodge),验证您的 Snowflake 账户是否已启用 Tri-Secret Secure。

自助注册概述

您可以使用 CMK 自助注册流程注册和激活 CMK,以便与 Tri-Secret Secure 一起使用。此外,如果您决定更换 CMK,以便与 Tri-Secret Secure 一起使用,自助注册程序会告知您,新的 CMK 是否已注册和激活。完成自助注册流程后,您可以联系 Snowflake 支持部门启用 Snowflake 账户,以使用 Tri-Secret Secure。

自助注册流程可为您提供这些好处:

  • 简化注册和授权 CMK 的步骤。

  • 通过 Tri-Secret Secure 提供 CMK 注册和激活状态的透明度。

  • 便于与托管 Snowflake 账户的云平台中的密钥管理服务 (KMS) 服务协同工作。

  • 您可以轮换 CMK,还可以注册新的 CMK,以便与 Tri-Secret Secure 一起使用。

自助注册程序

自助注册流程如下:

  1. 以客户身份执行以下操作:

    1. 创建 CMK。

    2. 注册 CMK。

    3. 为云提供商生成信息。

    4. 应用 KMS 策略。

    5. 确认您的 Snowflake 账户与 CMK 之间的连接。

    6. 请联系 Snowflake 支持部门,启用您的 Snowflake 账户以使用 Tri-Secret Secure。

  2. Snowflake 支持团队会启用您的 Snowflake 账户,以基于您注册的 CMK 使用 Tri-Secret Secure。

本节中的步骤避免使用“Amazon Resource Number”(ARN) 等术语,以保持程序与云无关。无论 Snowflake 账户托管在哪个云平台上,步骤都是一样的。但由于每个云平台服务有所不同,某些步骤的系统函数参数也有所不同。

请完成以下步骤自助注册 CMK,以便与 Tri-Secret Secure 一起使用:

  1. 在托管 Snowflake 账户的云平台上的 KMS 服务中,创建 CMK。

  2. 在 Snowflake 中,调用 SYSTEM$REGISTER_CMK_INFO 系统函数,将 CMK 注册到 KMS 集成。

    仔细检查托管 Snowflake 账户的云平台对应的系统函数参数。

  3. 调用 SYSTEM$GET_CMK_INFO 系统函数,查看您注册的 CMK 的详细信息。

  4. 调用 SYSTEM$GET_CMK_CONFIG 系统函数,为云提供商生成所需信息。

    此策略允许 Snowflake 访问您的 CMK。

    如果 Snowflake 账户在 Microsoft Azure 上,请将 tenant_id 值传入函数。

  5. 调用 SYSTEM$VERIFY_CMK_INFO 系统函数,确认您的 Snowflake 账户与 CMK 之间的连接。

  6. 请联系 Snowflake 支持部门 (https://community.snowflake.com/s/article/How-To-Submit-a-Support-Case-in-Snowflake-Lodge),并申请启用您的 Snowflake 账户以使用 Tri-Secret Secure。

    请务必提及您希望与 Tri-Secret Secure 一起使用的特定账户。

小技巧

与 Snowflake 支持部门联系后,您可以调用 SYSTEM$GET_CMK_INFO 系统函数,查看启用状态。

在 Snowflake 支持部门允许您的 Snowflake 账户使用 Tri-Secret Secure 后,SYSTEM$GET_CMK_INFO 函数的输出将包括 is activated。这意味着 Snowflake 账户正在使用 Tri-Secret Secure 及您注册的 CMK。

为 Tri-Secret Secure 设置不同的 CMK

通过自助注册流程,您可以根据自己的安全需求注册不同的 CMK。注册新 CMK 的流程与您注册和激活初始 CMK 的自助注册流程相同。

您可以随时完成自助注册流程,以更新或更换与 Tri-Secret Secure 一起使用的 CMK。在此通过自助注册流程注册新密钥时,系统函数的输出将有所不同。但不同点在于,您已经有了一个已注册且正在与 Tri-Secret Secure 一起使用的 CMK,而您正在启用一个新的 CMK。详情请参阅各系统函数的可能输出。

语言: 中文