TSS 的混合表专用存储模式¶
本节介绍如何在包含混合表的账户中开始使用 Tri-Secret Secure (TSS)。
备注
有关此功能的计费和成本的信息,请咨询您的 Snowflake 客户团队。
简介¶
在混合表的标准存储配置中,底层多租户存储用于所有混合表数据。这意味着不同数据库以及属于不同客户的数据共享同一存储层。如果您已启用或计划启用 TSS,则此共享存储配置不起作用,因为 TSS 使用个人客户拥有的加密密钥保护您的数据。要对混合表启用 TSS 加密,需要使用一种称为“混合表专用存储模式”的存储配置。您还可以使用定期密钥更新来获得额外的加密支持,但定期密钥更新并不需要这种专用存储模式。
如果账户同时启用了专用存储模式和 TSS,存储在混合表中的所有数据都会受到 TSS 复合主密钥的保护,该主密钥将 Snowflake 维护的密钥与客户管理的密钥相结合。此保护涵盖底层操作行存储中的混合表数据、对象存储中的数据副本、为 Time Travel 保留的数据以及元数据。使用混合表时,您依然可以享受与标准存储模式相同的无服务器体验,无需额外管理或预置。
使用专用存储模式¶
如果您打算在账户中创建混合表,并且已启用或将要启用 TSS,则必须启用专用存储模式。启用专用存储模式在账户层面仅需操作一次。在执行此操作之前,您无法创建受 TSS 保护的混合表。
请注意以下重要事项:
为确保数据完全受到 TSS 保护,已启用 TSS 的账户中不能出现混合表存放在标准多租户存储配置中的情况。在任意给定时间,只能激活一种存储模式。
在启用 TSS 之前已存在于混合表中的数据,永远无法使用符合 TSS 的密钥进行加密。TSS 保护仅适用于在启用专用存储模式和 TSS 之后写入混合表的数据。
如果账户已包含混合表,则无法启用 TSS。您必须删除单个混合表或包含混合表的任何数据库,然后再请求启用专用存储模式和 TSS。
有关此功能的计费和成本的信息,请咨询您的 Snowflake 客户团队。
启用专用存储模式和 TSS¶
要在账户中启用专用存储模式,请按照以下步骤操作:
联系您的客户团队,申请在账户中启用支持 TSS 的混合表专用存储模式。假设账户中不存在混合表,团队将启用专用存储模式(若 TSS 尚未启用,也会一并启用)。
按照 标准文档,在账户中创建并使用混合表。
对其他您希望在其中使用混合表的已启用 TSS 的 Snowflake 账户,重复此流程。
禁用专用存储模式¶
为了确保数据在已启用 TSS 的账户中得到完全保护,在此类 TSS 账户中禁用专用存储模式时需要执行以下步骤:
将 数据保留期 设置为
0,可针对单个混合表或包含混合表的数据库进行设置。删除单个混合表或包含混合表的数据库。如果需要保留数据,可以在删除表或数据库之前,将数据复制到账户内的标准表中。
联系您的客户团队,申请在账户中禁用专用存储模式。该团队会禁用专用存储模式,但如果账户中仍存在混合表,则您需要先移除这些混合表。