問題タブ [amazon-kms]

アカウント B にある Glue からアカウント A の S3 バケットにダミー ファイルを配置しようとしています。S3 バケット (テスト バケット) は、aws/s3 マネージド キーが有効になっている AWS-KMS 暗号化を使用しています。

1. アカウント A-S3 バケット (test-bucket) に以下のアクセス許可を追加しました。

2. 以下のポリシーをアカウント B の IAM Glue ロールに追加しました

これは私のグルーコードです:

アカウント B Glue からこのコードを実行中に以下のエラーが発生しました:

これについて何か考えはありますか？

Snowflake ウェアハウスに Tri-Secret Managed Key セキュリティを適用することの機能上の利点は何ですか?

私が理解していることから：

• Tri-Secret メソッドでは、独自のキーを定義できます
• そのキーを取り消すと、Snowflake がデータを復号化できなくなります

しかし、暗号化のレベルはより安全ですか? 唯一の違いは、Snowflake キーと独自のキーが組み合わされていることです。そのキーへのアクセスを禁止すると、Snowflake が復号化できなくなり、データが役に立たなくなります。そして、何？そこからどう立ち直るか。

参照: https://www.snowflake.com/blog/customer-managed-keys/

これはSnowflake自身によるものです。彼らが本質的に言うことは、次のとおりです。

• より細かく制御できますが、Snowflake にそのキーを提供する必要があります。そうしないと、Snowflake は作業を行うことができません
• 信頼できない場合は、Snowflakeがデータにアクセスできないようにすることができます
• データ漏えいが発生した場合、それ以上の漏えいを防ぐことができます (しかし、その場合、再検証された信頼できる関係者を除いて、すべてのアクセスをシャットダウンしないでください???)

私はこの機能に悩まされています。地元のSnowflake担当者から得た唯一の回答は、オランダの金融法/規制がこれの必要性を規定しているか、少なくとも暗示しているということです.

よろしく、リチャード。

次のコードを実行すると (KEY_ID は、 client.list_keys() から返されたリストからコピーして貼り付けた key_id です):

次のエラーが表示されます。

get_public_key() メソッドで欠落しているパラメーターを知っている人はいますか?