Snowflake Postgres Tri-Secret Secure¶
Tri-Secret Secure 支持用于 Snowflake Postgres 实例存储。Snowflake Postgres Tri-Secret Secure 实例存储采用一种自助注册流程,该流程与 Tri-Secret Secure self-service in Snowflake 中所述的流程类似,但有以下不同之处:
Snowflake Postgres Tri-Secret Secure 使用不同的 Snowflake 系统函数进行激活和 CMK 注册。
Snowflake Postgres Tri-Secret Secure 不支持专用连接。
Snowflake Postgres Tri-Secret Secure 不支持通过支持激活进行自助注册。
虽然 Snowflake Postgres Tri-Secret Secure 支持注册和激活新的 CMKs,但它不支持使用新的 CMKs 对现有的 Snowflake Postgres 实例进行密钥轮换。
注意
在与 Snowflake 合作为账户启用 Snowflake Postgres Tri-Secret Secure 之前,您应仔细考虑 客户管理的密钥 中提到的密钥保护责任。如果撤销复合主密钥层次结构中的客户管理的密钥 (CMK),Snowflake 将无法再解密您的数据。
如有任何问题或疑虑,请联系 Snowflake 支持部门。
Snowflake 也对我们维护的密钥承担相同的责任。与我们服务中所有与安全相关的方面一样,我们以极其谨慎和警惕的态度对待这一责任。
我们按照严格的政策对所有密钥进行维护,这使我们能够获得最高安全认证,包括 SOC 2 Type II、PCI-DSS、HIPAA 以及 HITRUST CSF。
激活 Snowflake Postgres Tri-Secret Secure¶
此过程适用于 Snowflake 支持的所有云提供商平台。有关在云提供商平台上采取的任何步骤,请参阅您的特定云提供商文档。
要创建和注册 CMK,然后激活 Snowflake Postgres Tri-Secret Secure,请完成以下步骤:
在云提供商平台上创建 CMK。
在托管 Snowflake 账户的云平台上的密钥管理服务 (KMS) 中执行此步骤。
在 Snowflake 中,调用 SYSTEM$REGISTER_CMK_INFO_POSTGRES 系统函数。
此系统函数将您的 CMK 注册到您的 Snowflake 账户,以用于 Snowflake Postgres Tri-Secret Secure。
仔细检查系统函数参数,确保这些参数对于托管 Snowflake 账户的云平台是正确的。
在 Snowflake 中,调用 SYSTEM$GET_CMK_INFO_POSTGRES 系统函数。
此系统函数会返回您注册的 CMK 的注册状态和详细信息。
在 Snowflake 中,调用 SYSTEM$GET_CMK_CONFIG_POSTGRES 系统函数。
此系统函数为您的云提供商生成所需的信息,以允许 Snowflake 访问您的 CMK。
备注
如果 Microsoft Azure 托管您的 Snowflake 账户,则必须将
tenant_id值传递给该函数。在 Snowflake 中,调用 SYSTEM$VERIFY_CMK_INFO_POSTGRES 系统函数。
此系统函数会确认 Snowflake 账户与 CMK 之间的连接。
在 Snowflake 中,调用 SYSTEM$ACTIVATE_CMK_INFO_POSTGRES 系统函数。
此系统函数会使用您新注册的 CMK 来激活 Snowflake Postgres Tri-Secret Secure。
重要
Snowflake Postgres Tri-Secret Secure 不支持对现有 Snowflake Postgres 实例进行密钥轮换。 这意味着:
在任何 CMK 被激活之前创建的 Snowflake Postgres 实例将不会使用 Snowflake Postgres Tri-Secret Secure。
在先前的 CMK 处于激活状态时创建的 Snowflake Postgres 实例将继续使用该先前的 CMK。
只有在 CMK 被激活之后创建的 Snowflake Postgres 主实例才会使用该 CMK。
Snowflake Postgres 的副本和派生实例将始终使用其主实例当前使用的 CMK。
查看 CMK 的状态¶
您可以随时调用 SYSTEM$GET_CMK_INFO_POSTGRES,检查 CMK 的注册和激活状态。
例如,根据您在 Snowflake Postgres Tri-Secret Secure 激活过程完成后调用 SYSTEM$GET_CMK_INFO_POSTGRES 的时间,该函数返回的输出中可能包含 ...is activated...。这意味着 Snowflake 账户正在使用 Snowflake Postgres Tri-Secret Secure 及您注册的 CMK。
更改 Snowflake Postgres Tri-Secret Secure 的 CMK¶
Snowflake 系统函数支持根据安全需求更改您的客户管理密钥 (CMK)。采用与注册初始 CMK 相同的步骤来注册新的 CMK。当使用新密钥重新完成这些步骤时,系统函数的输出会有所不同。请在自助服务注册过程中阅读每个系统函数的输出,以确认您已更改密钥。
注销您当前的 CMK¶
通过 Snowflake Postgres Tri-Secret Secure 一次只能注册一个 CMK。注册 CMK 时,如果 SYSTEM$REGISTER_CMK_INFO_POSTGRES 函数由于存在其他 CMK 而失败,请按照提示调用 SYSTEM$DEREGISTER_CMK_INFO_POSTGRES 系统函数。