Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

Konfigurieren der Mandantenverschlüsselung

Mandantenadministratoren können Mandantenverschlüsselungseinstellungen konfigurieren. Standardmäßig nutzt ein neuer Mandant das interne KMS von Qlik, um Inhalte im Mandanten zu verschlüsseln. Wenn Ihre Organisation ihren eigenen kundenverwalteten Schlüssel (CMK) zum Verschlüsseln von Mandantendaten verwenden möchte, können Sie die Mandantenverschlüsselung so konfigurieren, dass ein CMK eines unterstützten Schlüsselanbieters verwendet wird.

Qlik Cloud unterstützt einen CMK von Amazon Web Services (AWS) Key Management Service (KMS). Kunden können wählen, den gleichen Schlüssel für mehrere Mandanten zu verwenden, und dies in der AWS KMS-Schlüsselrichtliniendefinition festlegen; dies ist allerdings keine empfohlene Praxis. Die CMK- und AWS KMS-Integration behält die Verschlüsselung pro Mandant im Rahmen des Verschlüsselungskontexts der AWS KMS-API bei, aber die Verschlüsselung muss für jeden Mandanten einzeln konfiguriert werden. Kunden oder Partner, deren Mandanten für die Nutzung durch mehrere Endbenutzerorganisationen eingerichtet werden, müssen individuelle Schlüssel für jede Endbenutzerorganisation implementieren.

WarnhinweisSie können CMK nur mit (neuen oder vorhandenen) Mandanten verwenden, die leer sind. Der Mandant darf keine Daten, Apps oder Inhalte enthalten, wenn Sie Mandantenverschlüsselung einrichten. Sie können aber Ihren IdP einrichten, bevor Sie Verschlüsselung im Mandanten konfigurieren. Es wird dringend empfohlen, die Verschlüsselungseinstellungen sofort nach Erstellung des Mandanten und vor dessen erster Verwendung zu konfigurieren. Nachdem Sie den Schlüsselanbieter zu Ihrem CMK gewechselt haben, werden alle ruhenden Daten im Mandanten mithilfe dieser Schlüssel verschlüsselt und entschlüsselt. Sie können nicht zur Verwendung von Interner Qlik-KMS-Schlüsseln für die Verschlüsselung zurückwechseln.

Voraussetzungen für CMK

Sie benötigen ein AWS-Konto und einen AWS KMS-Schlüssel, um CMK mit Qlik Cloud zu verwenden. Weitere Informationen zum Einrichten eines AWS KMS-Kontos und Erstellen eines AWS KMS-Schlüssels finden Sie unter AWS Key Management Service (KMS).

Nachdem Sie die Einrichtung in AWS abgeschlossen haben, können Sie den Schlüsselanbieter im Mandanten wechseln, damit Ihr AWS KMS-Schlüssel verwendet wird.

Ändern des Schlüsselanbieters im Mandanten

Bevor Sie den Schlüsselanbieter ändern, überprüfen Sie, ob Ihr AWS KMS-Schlüssel und die Richtlinie in AWS KMS ordnungsgemäß konfiguriert wurden. Weitere Informationen finden Sie unter AWS Key Management Service (KMS). Qlik Cloud unterstützt die folgenden Schlüsselanbieter:

  • Interner Qlik-KMS (dies ist der Standard-KMS bei Verwendung von Qlik-verwalteten Schlüsseln)

  • AWS KMS

WarnhinweisVergewissern Sie sich, dass Sie einen leeren, nicht verwendeten Mandanten verwenden, der keine Daten, Apps oder Inhalte enthält, mit Ausnahme der IdP-Einstellungen.

Gehen Sie folgendermaßen vor:

  1. Wählen Sie in der Verwaltungskonsole unter Konfiguration > Einstellungen > Mandantenverschlüsselung die Option Schlüsselanbieter ändern aus.

  2. Wählen Sie den Master-Schlüsselanbieter aus der Liste aus, beispielsweise AWS KMS.

    Master-Schlüsselanbieter auswählen

  3. Geben Sie die für den Schlüsselanbieter erforderlichen Parameter ein und klicken Sie auf Übernehmen. Beispielsweise müssen Sie für AWS KMS entweder den KMS-Schlüssel-ARN oder den Alias-ARN eingeben. Der Schlüssel-ARN ist der Amazon Resource Name (ARN) eines KMS-Schlüssels. Der Alias-ARN ist der Amazon Resource Name (ARN) des AWS KMS-Alias (benutzerfreundlicher Name, der dem AWS KMS-Schlüssel bei seiner Erstellung gegeben wurde). Weitere Informationen finden Sie unter KMS-Schlüssel-ARN und Alias-ARN.

    KMS-Schlüssel-ARN konfigurieren

     

    TipphinweisInformationen zum Suchen des Schlüssel-ARN oder Alias-ARN eines KMS-Schlüssels finden Sie unter Suchen der Schlüssel-ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.

  4. Bestätigen Sie, dass Sie den Schlüsselanbieter ändern möchten, und klicken Sie auf Ändern.


    Bestätigen der Änderung zu einem neuen Schlüsselanbieter

  5. Klicken Sie auf Fertig, um den Prozess abzuschließen.

WarnhinweisWenn Sie Ihren CMK deaktivieren oder löschen, nachdem der Mandant für CMK konfiguriert wurde, können die Mandantendaten nicht mehr mit diesen Schlüsseln entschlüsselt werden. Wenn Sie einen deaktivierten Schlüssel wieder aktivieren, wird der Zugriff auf die Daten wiederhergestellt. Wenn der Schlüssel gelöscht wird, geht der Datenzugriff dauerhaft verloren. Weitere Informationen finden Sie unter Schlüsselverwaltung in AWS KMS.
Informationshinweis
  • Sie können die Änderung des Verschlüsselungsschlüsselanbieters auf der Seite „Ereignisse“ in der Verwaltungskonsole überprüfen. Das Ereignisprotokoll erfasst die folgenden Verschlüsselungsereignistypen: com.qlik.v1.encryption.keyprovider.created.
  • Ereignisse in AWS KMS werden in der AWS CloudTrail im Ereignisverlauf protokolliert. Suchen Sie nach den Ereignisnamen: „GenerateDatakey“ oder „Decrypt“.

AWS Key Management Service (KMS)

Qlik Cloud unterstützt die Verwendung eines kundenverwalteten Schlüssels (CMK) – bei Amazon wird dies als AWS KMS-Schlüssel oder KMS-Schlüssel bezeichnet – über AWS KMS zum Verschlüsseln und Entschlüsseln Ihrer Mandantendaten.

Im Folgenden werden die allgemeinen Schritte für die Einrichtung von AWS für die Verwendung mit CMK beschrieben. Sie müssen ein AWS KMS-Konto erstellen, Ihren AWS KMS-Schlüssel erstellen und Ihre Schlüsselrichtlinie für die Verwendung mit Qlik Cloud CMK konfigurieren. Nachdem Sie die Einrichtung in AWS KMS abgeschlossen haben, können Sie den Schlüsselanbieter im Qlik Cloud-Mandanten wechseln, damit ein AWS KMS-Schlüssel verwendet wird. Weitere Informationen finden Sie unter Ändern des Schlüsselanbieters im Mandanten.

Ein AWS-Konto erstellen

Gehen Sie zu Amazon Web Services und erstellen Sie ein Konto.

InformationshinweisIhr AWS KMS-Konto muss sich in der gleichen Region wie Ihr Qlik Cloud-Mandant befinden.

Einen symmetrischen AWS KMS-Schlüssel erstellen

Erstellen Sie in AWS einen Schlüssel über die AWS KMS-Verwaltungskonsole oder die AWS KMS-API mit dem Befehl CreateKey. Konfigurieren Sie bei der Schlüsselerstellung folgende Einstellungen:

  • AWS Region: Wählen Sie die Region aus, in der Ihr Qlik Cloud-Mandant gehostet ist. Unterstützte Qlik Cloud-Regionen und ihre zugehörigen AWS-Regionsnamen werden unten aufgeführt. Derzeit werden nur Schlüssel für einzelne Regionen unterstützt.

    • Amerika (USA) – us-east-1

    • Europa (Irland) – eu-west-1

    • Asien-Pazifik 1 (Singapur) – ap-southeast-1

    • Asien-Pazifik 2 (Australien) – ap-southeast-2

    • GovCloud (USA) – us-gov-west-1

      • Hinweis zu Qlik Sense Enterprise SaaS GovernmentDie GovCloud-Region ist FIPS-konform. Daher ist die Verwendung von kundenverwalteten Schlüsseln in AWS GovCloud standardmäßig ebenfalls FIPS-konform.

  • Schlüsseltyp: Symmetrisch. CMK unterstützt keine asymmetrischen Schlüssel.

  • Schlüsselverwendung: Verschlüsseln und entschlüsseln

Weitere Einstellungen bei der Schlüsselerstellung sind:

  • Eingeben eines Schlüssel-Alias

  • Definieren der IAM-Benutzer und -Rollen, die den Schlüssel verwalten können

  • Auswählen der IAM-Benutzer und -Rollen, die den Schlüssel in kryptografischen Vorgängen verwenden können

  • Konfigurieren der Schlüsselrichtlinie.

Weitere Informationen zum Erstellen eines AWS KMS-Schlüssels finden Sie unter Erstellen von Schlüsseln.

Konfigurieren der AWS KMS-Schlüsselrichtlinie

Die Schlüsselrichtlinie steuert den Zugriff auf den AWS KMS-Schlüssel. Jeder Schlüssel hat seine eigene Richtlinie. Die Schlüsselrichtlinie muss die minimalen Informationen und Berechtigungen enthalten, die für die Verwendung Ihres AWS KMS-Schlüssels mit Qlik Cloud Kundenverwaltete Schlüssel erforderlich sind. Wenn Sie einen Schlüssel mit der AWS KMS-Verwaltungskonsole erstellen, erstellt AWS KMS eine Standardschlüsselrichtlinie mit Anweisungen, die auf Ihren Auswahlen während der Schlüsselerstellung basieren. Diese Anweisungen bestimmen die IAM-Benutzer und -Rollen in Ihrem Konto, die den Schlüssel verwalten und in kryptografischen Vorgängen verwenden können.

Sie müssen die Standardschlüsselrichtlinie bearbeiten, um die Berechtigungen und Parameter hinzuzufügen, die für die Verwendung des Schlüssels mit Qlik Cloud CMK erforderlich sind. Dazu zählen die Folgenden:

  • Zulassen, dass die AWS-Proxy-Konten von Qlik und die erforderlichen IAM-Rollen einen Datenschlüssel erstellen und Daten mit Ihrem AWS KMS-Schlüssel verschlüsseln und entschlüsseln. Um CMKs mit Qlik Application Automation zu verwenden, müssen der Schlüsselrichtlinie getrennte IAM-Rollen hinzugefügt werden.

  • Identifizieren Ihrer Qlik Cloud-TenantID. Die Mandanten-ID wird als Verschlüsselungskontext verwendet. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten zur Unterstützung der authentifizierten Verschlüsselung. Das bedeutet, dass ein Mandant die Verschlüsselungsschlüssel eines anderen Mandanten nicht entschlüsseln kann. Weitere Informationen finden Sie unter Verschlüsselungskontext. Wenn Sie den gleichen KMS-Schlüssel für mehrere Mandanten verwenden, müssen Sie die Mandanten-ID für jeden Mandanten in der Schlüsselrichtlinie einschließen.

Gehen Sie folgendermaßen vor:

  1. Vergewissern Sie sich, dass Ihr AWS-Kundenkonto und die IAM-Benutzer und -Rollen korrekt und in die Richtlinie eingeschlossen sind (siehe Beispiel einer AWS KMS-Schlüsselrichtlinie). Ihre Richtlinie kann auch andere Anweisungen enthalten.

  2. Kopieren Sie das erforderliche Qlik Cloud-Code-Snippet unten und fügen Sie es Ihrer Schlüsselrichtlinie hinzu. Kopieren Sie für Qlik Cloud Government-Abonnements den Qlik Cloud Government-Code-Ausschnitt.

    3. Qlik Cloud-Code-Ausschnitt

    
               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

    Qlik Cloud Government-Code-Ausschnitt

    
                
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }
    Hinweis zu Qlik Sense Enterprise SaaS GovernmentQlik Cloud Government unterstützt Qlik Application Automation nicht. Der Schlüsselrichtlinien-Codeausschnitt für Qlik Cloud Government enthält jedoch ARN, um die zukünftige potenzielle Unterstützung von Application Automation für Proxy-Konten und IAM-Rollen zu ermöglichen.

  3. Ersetzen Sie im String EncryptionContext den Wert QLIK_TENANT_ID mit Ihrer Qlik Cloud-TenantID.

    4. TipphinweisUm Ihre Mandanten-ID zu suchen, wählen Sie im Hub Ihres Qlik Cloud-Mandanten Ihr Benutzerprofil aus und wählen Sie Info aus. Kopieren Sie in Mandanten-ID den ID-String. Verwenden Sie nicht den Anzeigenamen oder den Alias-Hostnamen in der Verwaltungskonsole unter Einstellungen > Mandant.
  4. Speichern Sie die Schlüsselrichtlinie.

Weitere Informationen über AWS KMS-Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien in KMS.

Beispiel einer AWS KMS-Schlüsselrichtlinie

Die folgende Beispiel-Schlüsselrichtlinie enthält die grundlegenden Anforderungen für die Verwendung mit Qlik Cloud Kundenverwaltete Schlüssel:

  1. Das Kundenkonto und die IAM-Benutzer und -Rollen, die den Schlüssel verwalten und verwenden können.

  2. Die Qlik-Konten und IAM-Rollen, die für die Verwendung des Schlüssels in kryptografischen Vorgängen zugelassen sind: Encrypt, Decrypt und GenerateDataKey.

  3. Die Qlik-Konten und Application Automation-IAM-Rollen, die für die Verwendung des Schlüssels mit Application Automation zugelassen sind.

  4. Den Verschlüsselungskontext, der Ihre Qlik Cloud-Mandanten-Identifikationsnummer (TenantID) identifiziert.

Der ausgewählte Abschnitt (B, C und D) in der Beispielrichtlinie identifiziert die Parameter, die von Qlik Cloud Kundenverwaltete Schlüssel benötigt werden.

Beispiel einer AWS KMS-Schlüsselrichtlinie

Beispiel-Schlüsselrichtlinie

KMS-Schlüssel-ARN und Alias-ARN

Der Amazon Resource Name (ARN) ist ein eindeutiger, vollständig qualifizierter Bezeichner für den KMS-Schlüssel. Er umfasst den Verschlüsselungskontext (TenantID), das AWS-Konto, die Region und die Schlüssel-ID. Der ARN wird erstellt, wenn Sie einen AWS KMS-Schlüssel in AWS Key Management Service erstellen. Wenn Sie in Qlik Cloud den Master-Schlüsselanbieter in der Verwaltungskonsole ändern, um Ihren AWS KMS-Schlüssel zu verwenden, müssen Sie den Schlüssel-ARN oder den Alias-ARN angeben, um den Qlik-Verschlüsselungsdienst mit Ihrem AWS KMS-Schlüssel zu verbinden. Weitere Informationen finden Sie unter Ändern des Schlüsselanbieters im Mandanten.

A) AWS KMS-Schlüssel-ARN und B) Alias-ARN in AWS Key Management Service

AWS KMS-Schlüssel-ARN und Alias-ARN

Der ARN verwendet folgendes Format:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Es folgt ein Beispiel eines gültigen Schlüssel-ARN:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Der Alias-ARN verwendet folgendes Format:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Es folgt ein Beispiel für einen gültigen Alias-ARN, wo CMK-Example-Alias der Aliasname ist:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Weitere Informationen zum Suchen des Schlüssel-ARN oder Alias-ARN für Ihren KMS-Schlüssel finden Sie unter Suchen der Schlüssel -ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Feedback senden