Konfigurieren der Mandantenverschlüsselung
Richten Sie Mandantenverschlüsselung in Qlik Cloud anhand der KMS-Schlüssel (AWS Key Management Service) Ihrer Organisation ein.
Mandantenadministratoren können Mandantenverschlüsselungseinstellungen konfigurieren. Standardmäßig nutzt ein neuer Mandant das interne KMS von Qlik, um Inhalte im Mandanten zu verschlüsseln. Wenn Ihre Organisation ihren eigenen kundenverwalteten Schlüssel (CMK) zum Verschlüsseln von Mandantendaten verwenden möchte, können Sie die Mandantenverschlüsselung so konfigurieren, dass ein CMK eines unterstützten Schlüsselanbieters verwendet wird.
Qlik Cloud unterstützt einen CMK von Amazon Web Services (AWS) Schlüsselverwaltungsdienst (KMS). Kunden können wählen, den gleichen Schlüssel für mehrere Mandanten zu verwenden, und dies in der AWS KMS-Schlüsselrichtliniendefinition festlegen; dies ist allerdings keine empfohlene Praxis. Die CMK- und AWS KMS-Integration behält die Verschlüsselung pro Mandant im Rahmen des Verschlüsselungskontexts der AWS KMS-API bei, aber die Verschlüsselung muss für jeden Mandanten einzeln konfiguriert werden. Kunden oder Partner, deren Mandanten für die Nutzung durch mehrere Endbenutzerorganisationen eingerichtet werden, müssen individuelle Schlüssel für jede Endbenutzerorganisation implementieren.
Voraussetzungen für CMK
Sie benötigen ein AWS-Konto und einen AWS KMS-Schlüssel, um CMK mit Qlik Cloud zu verwenden. Weitere Informationen zum Einrichten eines AWS KMS-Kontos und Erstellen eines AWS KMS-Schlüssels finden Sie unter AWS Schlüsselverwaltungsdienst (KMS).
Nachdem Sie die Einrichtung in AWS abgeschlossen haben, können Sie den Schlüsselanbieter im Mandanten wechseln, damit Ihr AWS KMS-Schlüssel verwendet wird.
Einen neuen Schlüsselanbieter im Mandanten erstellen
Bevor Sie den Schlüsselanbieter erstellen, überprüfen Sie, ob Ihr AWS KMS-Schlüssel und die Richtlinie in AWS KMS ordnungsgemäß konfiguriert wurden. Weitere Informationen finden Sie unter AWS Schlüsselverwaltungsdienst (KMS). Qlik Cloud unterstützt die folgenden Schlüsselanbieter:
-
Interner Qlik KMS (dies ist das Standard-KMS bei Verwendung von Qlik verwalteten Schlüsseln)
-
AWS KMS
Gehen Sie folgendermaßen vor:
-
Gehen Sie im Aktivitätscenter Verwaltung zu Einstellungen.
-
Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
-
Klicken Sie auf die Karte Neu erstellen.
-
Geben Sie die für den Schlüsselanbieter erforderlichen Parameter ein.
- Master-Schlüsselanbieter: Der AWS KMS-Master-Schlüsselanbieter ist die einzige verfügbare Option.
- KMS-Schlüssel-ARN: Der ARN des KMS-Schlüssels bzw. der Alias-ARN. Der Schlüssel-ARN ist der Amazon Resource Name (ARN) eines KMS-Schlüssels. Der Alias-ARN ist der Amazon Resource Name (ARN) des AWS KMS-Alias (benutzerfreundlicher Name, der dem AWS KMS-Schlüssel bei seiner Erstellung gegeben wurde). Weitere Informationen finden Sie unter Schlüsselanbieter-Ereignisse. Informationen zum Suchen des Schlüssel-ARN oder Alias-ARN eines KMS-Schlüssels finden Sie unter Suchen der Schlüssel-ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.
- Titel: Ein Titel zum Identifizieren des neuen Schlüsselanbieters.
- Beschreibung: Optional
-
Wählen Sie, ob Sie die Schlüsselanbieterkonfiguration hinzufügen und für später speichern oder jetzt die Schlüsselmigration starten möchten.
Ändern des Schlüsselanbieters im Mandanten
Sie können den Schlüsselanbieter von Qlik KMS zu AWS KMS oder AWS KMS zu einem anderen AWS KMS ändern, bzw. von AWS KMS auf Qlik KMS zurücksetzen. Während des Schlüsselmigrationsprozesses funktioniert der Mandant weiterhin wie gewohnt, ohne Auswirkungen auf die Benutzer.
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Einstellungen.
- Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
- Klicken Sie auf das Auslassungszeichen auf der Karte des Schlüsselanbieters, zu dem Sie migrieren möchten.
- Wählen Sie Migrieren aus.
- Aktivieren Sie im Dialogfeld Schlüsselanbieter ändern das Kontrollkästchen, um das Ersetzen des aktuellen Schlüssels zu bestätigen, und klicken Sie auf Schlüsselanbieter ändern. Bei erfolgreicher Migration wird der migrierte Schlüsselanbieter aktiv.
Schlüsselanbieter validieren
Sie können einen AWS-Schlüsselanbieter jederzeit validieren. Bei der Validierung werden alle Zustandsprüfungen durchgeführt und die Einhaltung der definierten Regeln geprüft, die für die Schlüsselanbietermigration erforderlich sind. Zudem wird vor dem Start einer Schlüsselanbietermigration automatisch eine Validierung ausgeführt.
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Einstellungen.
- Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
- Klicken Sie auf die Auslassungspunkte auf der Schlüsselanbieterkarte.
- Wählen Sie Validieren aus.
Schlüsselanbieter löschen
Mit Ausnahme des Standardschlüsselanbieters von Qlik können inaktive Schlüsselanbieter gelöscht werden.
Gehen Sie folgendermaßen vor:
- Gehen Sie im Aktivitätscenter Verwaltung zu Einstellungen.
- Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
- Klicken Sie auf die Auslassungspunkte auf der Schlüsselanbieterkarte.
- Wählen Sie Löschen aus.
Schlüsselanbieter-Ereignisse
Sie können die Änderungen des Verschlüsselungsschlüsselanbieters auf der Seite „Ereignisse“ im Aktivitätscenter Verwaltung überprüfen. Das Ereignisprotokoll erfasst die folgenden Verschlüsselungsereignistypen:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Ereignisse in AWS KMS werden in der AWS CloudTrail im Ereignisverlauf protokolliert. Suchen Sie nach den Ereignisnamen: Encrypt, GenerateDatakey oder Decrypt.
Qlik Verschlüsselungs-API und Konnektoren
Neben der Konfiguration der Mandantenverschlüsselung über das Aktivitätscenter Verwaltung bietet Qlik mehrere andere Möglichkeiten zum Verwalten des Lebenszyklus von Schlüsselanbietern.
- Eine Verschlüsselungs-API, um die Schlüsselanbieter programmgesteuert zu verwalten. Siehe die API-Referenzdokumentation unter qlik.dev.
- Einen AWS KMS Qlik Application Automation-Konnektor, mit dem Schlüsselanbieter in AWS konfiguriert werden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Amazon KMS-Konnektor
- Qlik Platform Operations-Konnektor und QCS-Konnektor, die als codefreie Qlik-native Option verfügbar sind, um Schlüsselanbieter durch Bearbeitung von Konnektorblöcken in einem logischen Ablauf leicht zu verwalten. Weitere Informationen finden Sie in der Qlik Platform Operations-Konnektor-Übersicht und unter Anwendungsautomatisierungs-Konnektoren.
AWS Schlüsselverwaltungsdienst (KMS)
Qlik Cloud unterstützt die Verwendung eines kundenverwalteten Schlüssels (CMK) – bei Amazon wird dies als AWS KMS-Schlüssel oder KMS-Schlüssel bezeichnet – über AWS KMS zum Verschlüsseln und Entschlüsseln Ihrer Mandantendaten.
Im Folgenden werden die allgemeinen Schritte für die Einrichtung von AWS für die Verwendung mit CMK beschrieben. Sie müssen ein AWS KMS-Konto erstellen, Ihren AWS KMS-Schlüssel erstellen und Ihre Schlüsselrichtlinie für die Verwendung mit Qlik Cloud CMK konfigurieren. Nachdem Sie die Einrichtung in AWS KMS abgeschlossen haben, können Sie den Schlüsselanbieter im Qlik Cloud Mandanten wechseln, damit ein AWS KMS-Schlüssel verwendet wird. Weitere Informationen finden Sie unter Einen neuen Schlüsselanbieter im Mandanten erstellen.
Ein AWS-Konto erstellen
Gehen Sie zu Amazon Web Services und erstellen Sie ein Konto.
Einen symmetrischen AWS KMS-Schlüssel erstellen
Erstellen Sie in AWS einen Schlüssel über die AWS KMS-Verwaltungskonsole oder die AWS KMS-API mit dem Befehl CreateKey. Beachten Sie beim Konfigurieren des Schlüssels für mehrere Regionen, dass abhängig von der Region des primären Schlüssels Einschränkungen dazu vorliegen, welche Regionen als Backup-Regionen ausgewählt werden können.
-
AWS Region: Wählen Sie die Region aus, in der Ihr Qlik Cloud-Mandant gehostet ist. Unterstützte Qlik Cloud Regionen und ihre zugehörigen AWS-Backup-Regionscodes werden unten aufgeführt. Schlüssel für mehrere Regionen werden unterstützt.
Primärer Regionsname Primärer Regionscode Backup-Regionsname Backup-Regionscode US Ost (Nord-Virginia) us-east-1 US Ost (Ohio) us-east-2 Europa (Irland) eu-west-1 Europa (Paris) eu-west-3 Europa (London) eu-west-2 Europa (Spanien) eu-south-2 Europa (Frankfurt) eu-central-1 Europa (Mailand) eu-south-1 Europa (Schweden) eu-north-1 – – Asien-Pazifik (Singapur) ap-southeast-1 Asien-Pazifik (Seoul) ap-northeast-2 Asien-Pazifik (Sydney) ap-southeast-2 Asien-Pazifik (Melbourne) ap-southeast-4 Japan (Tokio) ap-northeast-1 Japan (Osaka) ap-northeast-3 Die Region Schweden eu-north-1 verfügt aufgrund ihrer spezifischen Datenübertragungspolitik nicht über eine Backup-Region.
WarnhinweisUm sicherzustellen, dass ein Schlüssel für mehrere Regionen korrekt für die Verwendung in Qlik Cloud eingerichtet wird, müssen Sie das Schlüsselpaar entsprechend dem obigen Diagramm der Backup-Regionen in der AWS KMS-Konsole erstellen.Hinweis zu Qlik Cloud GovernmentDie Qlik Cloud Government-Regionen (us-gov-west-1 oder us-gov-east-1) benötigen keine Replikatschlüsselkonfiguration zum Registrieren eines CMK. -
Schlüsseltyp: Symmetrisch. CMK unterstützt keine asymmetrischen Schlüssel.
-
Schlüsselverwendung: Verschlüsseln und entschlüsseln
Weitere Einstellungen bei der Schlüsselerstellung sind:
-
Eingeben eines Schlüssel-Alias
-
Definieren der IAM-Benutzer und -Rollen (Identity and Access Management), die den Schlüssel verwalten können
-
Auswählen der IAM-Benutzer und -Rollen, die den Schlüssel in kryptografischen Vorgängen verwenden können
-
Konfigurieren der Schlüsselrichtlinie.
Weitere Informationen zum Erstellen eines AWS KMS-Schlüssels finden Sie unter Erstellen von Schlüsseln.
Konfigurieren der AWS KMS-Schlüsselrichtlinie
Die Schlüsselrichtlinie steuert den Zugriff auf den AWS KMS-Schlüssel. Jeder Schlüssel hat seine eigene Richtlinie. Die Schlüsselrichtlinie muss die minimalen Informationen und Berechtigungen enthalten, die für die Verwendung Ihres AWS KMS-Schlüssels mit Qlik Cloud Kundenverwaltete Schlüssel erforderlich sind. Wenn Sie einen Schlüssel mit der AWS KMS-Verwaltungskonsole erstellen, erstellt AWS KMS eine Standardschlüsselrichtlinie mit Anweisungen, die auf Ihren Auswahlen während der Schlüsselerstellung basieren. Diese Anweisungen bestimmen die IAM-Benutzer und -Rollen in Ihrem Konto, die den Schlüssel verwalten und in kryptografischen Vorgängen verwenden können.
Sie müssen die Standardschlüsselrichtlinie bearbeiten, um die Berechtigungen und Parameter hinzuzufügen, die für die Verwendung des Schlüssels mit Qlik Cloud CMK erforderlich sind. Dazu zählen die Folgenden:
-
Zulassen, dass die AWS-Proxy-Konten von Qlik und die erforderlichen IAM-Rollen einen Datenschlüssel erstellen und Daten mit Ihrem AWS KMS-Schlüssel verschlüsseln und entschlüsseln. Um CMKs mit Qlik Application Automation zu verwenden, müssen der Schlüsselrichtlinie getrennte IAM-Rollen hinzugefügt werden.
-
Identifizieren Ihrer Qlik Cloud-TenantID. Die Mandanten-ID wird als Verschlüsselungskontext verwendet. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten zur Unterstützung der authentifizierten Verschlüsselung. Das bedeutet, dass ein Mandant die Verschlüsselungsschlüssel eines anderen Mandanten nicht entschlüsseln kann. Weitere Informationen finden Sie unter Verschlüsselungskontext. Wenn Sie den gleichen KMS-Schlüssel für mehrere Mandanten verwenden, müssen Sie die Mandanten-ID für jeden Mandanten in der Schlüsselrichtlinie einschließen.
Gehen Sie folgendermaßen vor:
- Vergewissern Sie sich, dass Ihr AWS-Kundenkonto und die IAM-Benutzer und -Rollen korrekt und in die Richtlinie eingeschlossen sind (siehe Beispiel einer AWS KMS-Schlüsselrichtlinie). Ihre Richtlinie kann auch andere Anweisungen enthalten.
-
Kopieren Sie das erforderliche Qlik Cloud-Code-Snippet unten und fügen Sie es Ihrer Schlüsselrichtlinie hinzu. Kopieren Sie für Qlik Cloud Government-Abonnements den Qlik Cloud Government-Code-Ausschnitt.
-
Ersetzen Sie im String EncryptionContext den Wert QLIK_TENANT_ID mit Ihrer Qlik Cloud TenantID.
- Speichern Sie die Schlüsselrichtlinie.
Qlik Cloud-Code-Ausschnitt
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Qlik Cloud Government-Code-Ausschnitt
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Weitere Informationen über AWS KMS-Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien in KMS.
Beispiel einer AWS KMS-Schlüsselrichtlinie
Die folgende Beispiel-Schlüsselrichtlinie enthält die grundlegenden Anforderungen für die Verwendung mit Qlik Cloud Kundenverwaltete Schlüssel:
-
Das Kundenkonto und die IAM-Benutzer und -Rollen, die den Schlüssel verwalten und verwenden können.
-
Die Qlik-Konten und IAM-Rollen, die für die Verwendung des Schlüssels in kryptografischen Vorgängen zugelassen sind: Encrypt, Decrypt und GenerateDataKey.
-
Die Qlik-Konten und Anwendungsautomatisierung-IAM-Rollen, die für die Verwendung des Schlüssels mit Anwendungsautomatisierung zugelassen sind.
-
Den Verschlüsselungskontext, der Ihre Qlik Cloud-Mandanten-Identifikationsnummer (TenantID) identifiziert.
Der ausgewählte Abschnitt (B, C und D) in der Beispielrichtlinie identifiziert die Parameter, die von Qlik Cloud Kundenverwaltete Schlüssel benötigt werden.
KMS-Schlüssel-ARN und Alias-ARN
Der Amazon Resource Name (ARN) ist ein eindeutiger, vollständig qualifizierter Bezeichner für den KMS-Schlüssel. Er umfasst den Verschlüsselungskontext (TenantID), das AWS-Konto, die Region und die Schlüssel-ID. Der ARN wird erstellt, wenn Sie einen AWS KMS-Schlüssel in AWS Schlüsselverwaltungsdienst erstellen. Wenn Sie in Qlik Cloud den Master-Schlüsselanbieter im Aktivitätscenter Verwaltung ändern, um Ihren AWS KMS-Schlüssel zu verwenden, müssen Sie den Schlüssel-ARN oder den Alias-ARN angeben, um den Qlik-Verschlüsselungsdienst mit Ihrem AWS KMS-Schlüssel zu verbinden.Weitere Informationen finden Sie unter Einen neuen Schlüsselanbieter im Mandanten erstellen.
Der ARN verwendet folgendes Format:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Es folgt ein Beispiel eines gültigen Schlüssel-ARN:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Der Alias-ARN verwendet folgendes Format:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Es folgt ein Beispiel für einen gültigen Alias-ARN, wo CMK-Example-Alias der Aliasname ist:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Weitere Informationen zum Suchen des Schlüssel-ARN oder Alias-ARN für Ihren KMS-Schlüssel finden Sie unter Suchen der Schlüssel -ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.
AWS KMS-Schlüssel für mehrere Regionen zur Notfallwiederherstellung
Anhand von Schlüsseln für mehrere Regionen können Sie weiterhin auf verschlüsselte Daten zugreifen und diese verarbeiten, selbst wenn in der primären Region ein Ausfall eingetreten ist. Indem Sie ein Schlüsselreplikat erstellen, können Sie Daten in der Backup-Region entschlüsseln, und alle in der Backup-Region verschlüsselten Daten können später nach der Wiederherstellung in der primären Region entschlüsselt werden.
Folgen Sie diesen Schritten, um einem Schlüssel für mehrere Regionen in AWS KMS zu erstellen:
-
Klicken Sie in der AWS Management Console auf Create a key.
-
In Schritt 1 richten Sie Ihre Schlüsselkonfiguration ein. Wählen Sie im Abschnitt Advanced options die Option KMS für Key material origin und im Abschnitt Regionality die Option Multi-region key aus. Klicken Sie auf Next, um fortzufahren.
-
In Schritt 2 fügen Sie einen Alias für den Schlüssel hinzu. Nachdem Sie einen Namen hinzugefügt haben, können Sie optional eine Beschreibung und Tags hinzufügen. Klicken Sie auf Next, um fortzufahren.
-
In Schritt 3 können Sie die IAM-Benutzer und -Rollen auswählen, die den Schlüssel verwalten können. Klicken Sie auf Next, um fortzufahren.
-
In Schritt 4 können Sie die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwenden können. Klicken Sie auf Next, um fortzufahren.
-
In Schritt 5 überprüfen Sie die Konfigurationsdetails. Vergewissern Sie sich, dass die Regionalität auf Multi-region key festgelegt ist.
Die Schlüsselrichtlinie umfasst alle Anforderungen zum Verwenden des Schlüssels für mehrere Regionen mit Qlik Cloud Kundenverwaltete Schlüssel, einschließlich der KMS-Aktion „DescribeKey“. Weitere Informationen zu „DescribeKey“ finden Sie unter AWS KMS DescribeKey.