Zu Hauptinhalt springen Zu ergänzendem Inhalt springen
Qlik Ressourcen

Konfigurieren der Mandantenverschlüsselung

Mandantenadministratoren können Mandantenverschlüsselungseinstellungen konfigurieren. Standardmäßig nutzt ein neuer Mandant das interne KMS von Qlik, um Inhalte im Mandanten zu verschlüsseln. Wenn Ihre Organisation ihren eigenen kundenverwalteten Schlüssel (CMK) zum Verschlüsseln von Mandantendaten verwenden möchte, können Sie die Mandantenverschlüsselung so konfigurieren, dass ein CMK eines unterstützten Schlüsselanbieters verwendet wird.

Qlik Cloud unterstützt einen CMK von Amazon Web Services (AWS) Schlüsselverwaltungsdienst (KMS). Kunden können wählen, den gleichen Schlüssel für mehrere Mandanten zu verwenden, und dies in der AWS KMS-Schlüsselrichtliniendefinition festlegen; dies ist allerdings keine empfohlene Praxis. Die CMK- und AWS KMS-Integration behält die Verschlüsselung pro Mandant im Rahmen des Verschlüsselungskontexts der AWS KMS-API bei, aber die Verschlüsselung muss für jeden Mandanten einzeln konfiguriert werden. Kunden oder Partner, deren Mandanten für die Nutzung durch mehrere Endbenutzerorganisationen eingerichtet werden, müssen individuelle Schlüssel für jede Endbenutzerorganisation implementieren.

WarnhinweisSie können CMK entweder mit neuen oder mit vorhandenen Mandanten verwenden. Nachdem Sie den Schlüsselanbieter zu Ihrem CMK gewechselt haben, werden alle ruhenden Daten im Mandanten mithilfe dieser Schlüssel verschlüsselt und entschlüsselt.

Voraussetzungen für CMK

Sie benötigen ein AWS-Konto und einen AWS KMS-Schlüssel, um CMK mit Qlik Cloud zu verwenden. Weitere Informationen zum Einrichten eines AWS KMS-Kontos und Erstellen eines AWS KMS-Schlüssels finden Sie unter AWS Schlüsselverwaltungsdienst (KMS).

Nachdem Sie die Einrichtung in AWS abgeschlossen haben, können Sie den Schlüsselanbieter im Mandanten wechseln, damit Ihr AWS KMS-Schlüssel verwendet wird.

Einen neuen Schlüsselanbieter im Mandanten erstellen

Bevor Sie den Schlüsselanbieter erstellen, überprüfen Sie, ob Ihr AWS KMS-Schlüssel und die Richtlinie in AWS KMS ordnungsgemäß konfiguriert wurden. Weitere Informationen finden Sie unter AWS Schlüsselverwaltungsdienst (KMS). Qlik Cloud unterstützt die folgenden Schlüsselanbieter:

  • Interner Qlik KMS (dies ist das Standard-KMS bei Verwendung von Qlik verwalteten Schlüsseln)

  • AWS KMS

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Einstellungen.

  2. Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.

  3. Klicken Sie auf die Karte Neu erstellen.

  4. Geben Sie die für den Schlüsselanbieter erforderlichen Parameter ein.

    • Master-Schlüsselanbieter: Der AWS KMS-Master-Schlüsselanbieter ist die einzige verfügbare Option.
    • ARN des KMS-Schlüssels: Der ARN des KMS-Schlüssels bzw. der Alias-ARN. Der Schlüssel-ARN ist der Amazon Resource Name (ARN) eines KMS-Schlüssels. Der Alias-ARN ist der Amazon Resource Name (ARN) des AWS KMS-Alias (benutzerfreundlicher Name, der dem AWS KMS-Schlüssel bei seiner Erstellung gegeben wurde). Weitere Informationen finden Sie unter Schlüsselanbieter-Ereignisse. Informationen zum Suchen des Schlüssel-ARN oder Alias-ARN eines KMS-Schlüssels finden Sie unter Suchen der Schlüssel-ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.
    • Titel: Ein Titel dient zum Identifizieren des neuen Schlüsselanbieters.
    • Beschreibung: Optional

      • Karte „Schlüsselanbieter erstellen“

      Master-Schlüsselanbieter erstellen

  5. Wählen Sie, ob Sie die Schlüsselanbieterkonfiguration hinzufügen und für später speichern oder jetzt die Schlüsselmigration starten möchten.

WarnhinweisWenn Sie Ihren CMK deaktivieren oder löschen, nachdem der Mandant für CMK konfiguriert wurde, können die Mandantendaten nicht mehr mit diesen Schlüsseln entschlüsselt werden. Wenn Sie einen deaktivierten Schlüssel wieder aktivieren, wird der Zugriff auf die Daten wiederhergestellt. Wenn der Schlüssel gelöscht wird, geht der Datenzugriff dauerhaft verloren. Weitere Informationen finden Sie unter Schlüsselverwaltung in AWS KMS.

Ändern des Schlüsselanbieters im Mandanten

Sie können den Schlüsselanbieter von Qlik KMS zu AWS KMS oder AWS KMS zu einem anderen AWS KMS ändern, bzw. von AWS KMS auf Qlik KMS zurücksetzen. Während des Schlüsselmigrationsprozesses funktioniert der Mandant weiterhin wie gewohnt, ohne Auswirkungen auf die Benutzer.

WarnhinweisWenn ein Geschäftspartnervertrag im Zusammenhang mit HIPAA abgeschlossen wurde und Sie PGD speichern, die HIPAA unterliegen, können Sie den Anbieter nicht von AWS KMS auf Qlik KMS zurücksetzen. Sie müssen einen neuen AWS-Schlüssel erstellen und zu diesem migrieren, wenn der aktuell verwendete AWS-Schlüssel ersetzt werden muss.
Warnhinweis

Qlik Application Automation Ausführungsprotokolle werden während einer Schlüsselmigration dauerhaft gelöscht. Das bedeutet für Ihre Automatisierungen, dass Sie keine Verlaufsprotokollinformationen auflisten können:

  • Protokollexport ausführen

  • Ausgabefenster

  • Pro-Block-Fenster

  • Chronologisches Fenster

Folgendes wird bei einer Schlüsselmigration beibehalten:

  • Automatisierungsausführungstitel

  • Automatisierungsfehlerprotokoll

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Einstellungen.
  2. Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
  3. Klicken Sie auf das Auslassungszeichen auf der Karte des Schlüsselanbieters, zu dem Sie migrieren möchten.
  4. Wählen Sie Migrieren aus.
  5. Aktivieren Sie im Dialogfeld Schlüsselanbieter ändern das Kontrollkästchen, um das Ersetzen des aktuellen Schlüssels zu bestätigen, und klicken Sie auf Schlüsselanbieter ändern. Bei erfolgreicher Migration wird der migrierte Schlüsselanbieter aktiv.
InformationshinweisDer Status der Schlüsselmigration wird alle 15 Minuten aktualisiert. Migrationen können in der Regel bis zu 24 Stunden dauern, je nach Anzahl der im Mandanten vorhandenen Artefakte wie Notizen, Apps, Automatisierungen, Alarmen, Ereignisprotokollen usw. Wenn Ihre Migration länger als 24 Stunden dauert, reichen Sie bitte ein Ticket beim Qlik-Support ein.
Informationshinweis Sie können die Änderung des Verschlüsselungsschlüsselanbieters auf der Seite „Ereignisse“ in der Verwaltungskonsole überprüfen. Weitere Informationen zu Verschlüsselungsereignistypen im Zusammenhang mit der Migration finden Sie unter Schlüsselanbieter-Ereignisse.

Schlüsselanbieter validieren

Sie können einen AWS-Schlüsselanbieter jederzeit validieren. Bei der Validierung werden alle Zustandsprüfungen durchgeführt und die Einhaltung der definierten Regeln geprüft, die für die Schlüsselanbietermigration erforderlich sind. Zudem wird vor dem Start einer Schlüsselanbietermigration automatisch eine Validierung ausgeführt.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Einstellungen.
  2. Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
  3. Klicken Sie auf die Auslassungspunkte auf der Schlüsselanbieterkarte.
  4. Wählen Sie Validieren aus.

Schlüsselanbieter löschen

Mit Ausnahme des Standardschlüsselanbieters von Qlik können inaktive Schlüsselanbieter gelöscht werden.

Gehen Sie folgendermaßen vor:

  1. Gehen Sie in der Verwaltungskonsole zu Einstellungen.
  2. Klicken Sie unter Mandantenverschlüsselung auf Schüsselanbieter verwalten.
  3. Klicken Sie auf die Auslassungspunkte auf der Schlüsselanbieterkarte.
  4. Wählen Sie Löschen aus.

Schlüsselanbieter-Ereignisse

Sie können die Änderungen des Verschlüsselungsschlüsselanbieters auf der Seite „Ereignisse“ in der Verwaltungskonsole überprüfen. Das Ereignisprotokoll erfasst die folgenden Verschlüsselungsereignistypen:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Ereignisse in AWS KMS werden in der AWS CloudTrail im Ereignisverlauf protokolliert. Suchen Sie nach den Ereignisnamen: „Encrypt“, „GenerateDatakey“ oder „Decrypt“.

Qlik Verschlüsselungs-API und Konnektoren

Neben der Konfiguration der Mandantenverschlüsselung über die Verwaltungskonsole bietet Qlik mehrere andere Möglichkeiten zum Verwalten des Lebenszyklus von Schlüsselanbietern.

  • Eine Verschlüsselungs-API, um die Schlüsselanbieter programmgesteuert zu verwalten. Siehe die API-Referenzdokumentation unter qlik.dev.
  • Einen AWS KMS Qlik Application Automation-Konnektor, mit dem Schlüsselanbieter in AWS konfiguriert werden können. Weitere Informationen finden Sie unter Erste Schritte mit dem Amazon KMS-Konnektor
  • Qlik Platform Operations-Konnektor und QCS-Konnektor, die als codefreie Qlik-native Option verfügbar sind, um Schlüsselanbieter durch Bearbeitung von Konnektorblöcken in einem logischen Ablauf leicht zu verwalten. Weitere Informationen finden Sie in der Qlik Platform Operations-Konnektor-Übersicht und unter Anwendungsautomatisierungs-Konnektoren.

AWS Schlüsselverwaltungsdienst (KMS)

Qlik Cloud unterstützt die Verwendung eines kundenverwalteten Schlüssels (CMK) – bei Amazon wird dies als AWS KMS-Schlüssel oder KMS-Schlüssel bezeichnet – über AWS KMS zum Verschlüsseln und Entschlüsseln Ihrer Mandantendaten.

Im Folgenden werden die allgemeinen Schritte für die Einrichtung von AWS für die Verwendung mit CMK beschrieben. Sie müssen ein AWS KMS-Konto erstellen, Ihren AWS KMS-Schlüssel erstellen und Ihre Schlüsselrichtlinie für die Verwendung mit Qlik Cloud CMK konfigurieren. Nachdem Sie die Einrichtung in AWS KMS abgeschlossen haben, können Sie den Schlüsselanbieter im Qlik Cloud Mandanten wechseln, damit ein AWS KMS-Schlüssel verwendet wird. Weitere Informationen finden Sie unter Einen neuen Schlüsselanbieter im Mandanten erstellen.

Ein AWS-Konto erstellen

Gehen Sie zu Amazon Web Services und erstellen Sie ein Konto.

Einen symmetrischen AWS KMS-Schlüssel erstellen

Erstellen Sie in AWS einen Schlüssel über die AWS KMS-Verwaltungskonsole oder die AWS KMS-API mit dem Befehl CreateKey. Beachten Sie beim Konfigurieren des Schlüssels für mehrere Regionen, dass abhängig von der Region des primären Schlüssels Einschränkungen dazu vorliegen, welche Regionen als Backup-Regionen ausgewählt werden können.

  • AWS Region: Wählen Sie die Region aus, in der Ihr Qlik Cloud-Mandant gehostet ist. Unterstützte Qlik Cloud Regionen und ihre zugehörigen AWS-Backup-Regionscodes werden unten aufgeführt. Schlüssel für mehrere Regionen werden unterstützt.

    Primärer Regionsname Primärer Regionscode Backup-Regionsname Backup-Regionscode
    USA (Nord-Virginia) us-east-1 USA (Ohio) us-east-2
    Europa (Irland) eu-west-1 Europa (Paris) eu-west-3
    Europa (Frankfurt) eu-central-1 Europa (Mailand) eu-south-1
    Europa (London) eu-west-2 Europa (Spanien) eu-south-2
    Asien-Pazifik (Singapur) ap-southeast-1 Asien-Pazifik (Seoul) ap-northeast-2
    Asien-Pazifik (Sydney) ap-southeast-2 Asien-Pazifik (Melbourne) ap-southeast-4
    Japan (Tokio) ap-northeast-1 Japan (Osaka) ap-northeast-3
    WarnhinweisUm sicherzustellen, dass ein Schlüssel für mehrere Regionen korrekt für die Verwendung in Qlik Cloud eingerichtet wird, müssen Sie das Schlüsselpaar entsprechend dem obigen Diagramm der Backup-Regionen in der AWS KMS-Konsole erstellen.
    Hinweis zu Qlik Sense Enterprise SaaS GovernmentDie Qlik Cloud Government-Regionen (us-gov-west-1 oder us-gov-east-1) benötigen keine Replikatschlüsselkonfiguration zum Registrieren eines CMK.

  • Schlüsseltyp: Symmetrisch. CMK unterstützt keine asymmetrischen Schlüssel.

  • Schlüsselverwendung: Verschlüsseln und entschlüsseln

Weitere Einstellungen bei der Schlüsselerstellung sind:

  • Eingeben eines Schlüssel-Alias

  • Definieren der IAM-Benutzer und -Rollen (Identity and Access Management), die den Schlüssel verwalten können

  • Auswählen der IAM-Benutzer und -Rollen, die den Schlüssel in kryptografischen Vorgängen verwenden können

  • Konfigurieren der Schlüsselrichtlinie.

Weitere Informationen zum Erstellen eines AWS KMS-Schlüssels finden Sie unter Erstellen von Schlüsseln.

Konfigurieren der AWS KMS-Schlüsselrichtlinie

Die Schlüsselrichtlinie steuert den Zugriff auf den AWS KMS-Schlüssel. Jeder Schlüssel hat seine eigene Richtlinie. Die Schlüsselrichtlinie muss die minimalen Informationen und Berechtigungen enthalten, die für die Verwendung Ihres AWS KMS-Schlüssels mit Qlik Cloud Kundenverwaltete Schlüssel erforderlich sind. Wenn Sie einen Schlüssel mit der AWS KMS-Verwaltungskonsole erstellen, erstellt AWS KMS eine Standardschlüsselrichtlinie mit Anweisungen, die auf Ihren Auswahlen während der Schlüsselerstellung basieren. Diese Anweisungen bestimmen die IAM-Benutzer und -Rollen in Ihrem Konto, die den Schlüssel verwalten und in kryptografischen Vorgängen verwenden können.

Sie müssen die Standardschlüsselrichtlinie bearbeiten, um die Berechtigungen und Parameter hinzuzufügen, die für die Verwendung des Schlüssels mit Qlik Cloud CMK erforderlich sind. Dazu zählen die Folgenden:

  • Zulassen, dass die AWS-Proxy-Konten von Qlik und die erforderlichen IAM-Rollen einen Datenschlüssel erstellen und Daten mit Ihrem AWS KMS-Schlüssel verschlüsseln und entschlüsseln. Um CMKs mit Qlik Application Automation zu verwenden, müssen der Schlüsselrichtlinie getrennte IAM-Rollen hinzugefügt werden.

  • Identifizieren Ihrer Qlik Cloud-TenantID. Die Mandanten-ID wird als Verschlüsselungskontext verwendet. AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten zur Unterstützung der authentifizierten Verschlüsselung. Das bedeutet, dass ein Mandant die Verschlüsselungsschlüssel eines anderen Mandanten nicht entschlüsseln kann. Weitere Informationen finden Sie unter Verschlüsselungskontext. Wenn Sie den gleichen KMS-Schlüssel für mehrere Mandanten verwenden, müssen Sie die Mandanten-ID für jeden Mandanten in der Schlüsselrichtlinie einschließen.

Gehen Sie folgendermaßen vor:

  1. Vergewissern Sie sich, dass Ihr AWS-Kundenkonto und die IAM-Benutzer und -Rollen korrekt und in die Richtlinie eingeschlossen sind (siehe Beispiel einer AWS KMS-Schlüsselrichtlinie). Ihre Richtlinie kann auch andere Anweisungen enthalten.

  2. Kopieren Sie das erforderliche Qlik Cloud-Code-Snippet unten und fügen Sie es Ihrer Schlüsselrichtlinie hinzu. Kopieren Sie für Qlik Cloud Government-Abonnements den Qlik Cloud Government-Code-Ausschnitt.

    3. Qlik Cloud-Code-Ausschnitt

    
               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

    Qlik Cloud Government-Code-Ausschnitt

    [
    {
        "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:TenantId": [
                    "QLIK_TENANT_ID"
                ]
            }
        }
    },
    {
        "Sid": "Enable KMS Key policy for proxy account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": "kms:DescribeKey",
        "Resource": "*"
    }
]

  3. Ersetzen Sie im String EncryptionContext den Wert QLIK_TENANT_ID mit Ihrer Qlik Cloud-TenantID.

    4. TipphinweisUm Ihre Mandanten-ID zu suchen, wählen Sie im Hub Ihres Qlik Cloud-Mandanten Ihr Benutzerprofil aus und wählen Sie Info aus. Kopieren Sie in Mandanten-ID den ID-String. Verwenden Sie nicht den Anzeigenamen oder den Alias-Hostnamen in der Verwaltungskonsole unter Einstellungen > Mandant.
  4. Speichern Sie die Schlüsselrichtlinie.

Weitere Informationen über AWS KMS-Schlüsselrichtlinien finden Sie unter Schlüsselrichtlinien in KMS.

Beispiel einer AWS KMS-Schlüsselrichtlinie

Die folgende Beispiel-Schlüsselrichtlinie enthält die grundlegenden Anforderungen für die Verwendung mit Qlik Cloud Kundenverwaltete Schlüssel:

  1. Das Kundenkonto und die IAM-Benutzer und -Rollen, die den Schlüssel verwalten und verwenden können.

  2. Die Qlik-Konten und IAM-Rollen, die für die Verwendung des Schlüssels in kryptografischen Vorgängen zugelassen sind: Encrypt, Decrypt und GenerateDataKey.

  3. Die Qlik-Konten und Anwendungsautomatisierung-IAM-Rollen, die für die Verwendung des Schlüssels mit Anwendungsautomatisierung zugelassen sind.

  4. Den Verschlüsselungskontext, der Ihre Qlik Cloud-Mandanten-Identifikationsnummer (TenantID) identifiziert.

Der ausgewählte Abschnitt (B, C und D) in der Beispielrichtlinie identifiziert die Parameter, die von Qlik Cloud Kundenverwaltete Schlüssel benötigt werden.

Beispiel einer AWS KMS-Schlüsselrichtlinie

Beispiel-Schlüsselrichtlinie

KMS-Schlüssel-ARN und Alias-ARN

Der Amazon Resource Name (ARN) ist ein eindeutiger, vollständig qualifizierter Bezeichner für den KMS-Schlüssel. Er umfasst den Verschlüsselungskontext (TenantID), das AWS-Konto, die Region und die Schlüssel-ID. Der ARN wird erstellt, wenn Sie einen AWS KMS-Schlüssel in AWS Schlüsselverwaltungsdienst erstellen. Wenn Sie in Qlik Cloud den Master-Schlüsselanbieter in der Verwaltungskonsole ändern, um Ihren AWS KMS-Schlüssel zu verwenden, müssen Sie den Schlüssel-ARN oder den Alias-ARN angeben, um den Qlik-Verschlüsselungsdienst mit Ihrem AWS KMS-Schlüssel zu verbinden. Weitere Informationen finden Sie unter Einen neuen Schlüsselanbieter im Mandanten erstellen.

A) AWS KMS-Schlüssel-ARN und B) Alias-ARN in AWS Schlüsselverwaltungsdienst

AWS KMS-Schlüssel-ARN und Alias-ARN

Der ARN verwendet folgendes Format:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Es folgt ein Beispiel eines gültigen Schlüssel-ARN:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Der Alias-ARN verwendet folgendes Format:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Es folgt ein Beispiel für einen gültigen Alias-ARN, wo CMK-Example-Alias der Aliasname ist:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Weitere Informationen zum Suchen des Schlüssel-ARN oder Alias-ARN für Ihren KMS-Schlüssel finden Sie unter Suchen der Schlüssel -ID und des Schlüssel-ARN oder Suchen des Aliasnamens und des Alias-ARN.

AWS KMS-Schlüssel für mehrere Regionen zur Notfallwiederherstellung

Anhand von Schlüsseln für mehrere Regionen können Sie weiterhin auf verschlüsselte Daten zugreifen und diese verarbeiten, selbst wenn in der primären Region ein Ausfall eingetreten ist. Indem Sie ein Schlüsselreplikat erstellen, können Sie Daten in der Backup-Region entschlüsseln, und alle in der Backup-Region verschlüsselten Daten können später nach der Wiederherstellung in der primären Region entschlüsselt werden.

Folgen Sie diesen Schritten, um einem Schlüssel für mehrere Regionen in AWS KMS zu erstellen:

  1. Klicken Sie in der AWS Management Console auf Create a key.

    2. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.

  2. In Schritt 1 richten Sie Ihre Schlüsselkonfiguration ein. Wählen Sie im Abschnitt Advanced options die Option KMS für Key material origin und im Abschnitt Regionality die Option Multi-region key aus. Klicken Sie auf Next, um fortzufahren.

    3. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.

  3. In Schritt 2 fügen Sie einen Alias für den Schlüssel hinzu. Nachdem Sie einen Namen hinzugefügt haben, können Sie optional eine Beschreibung und Tags hinzufügen. Klicken Sie auf Next, um fortzufahren.

    4. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.

  4. In Schritt 3 können Sie die IAM-Benutzer und -Rollen auswählen, die den Schlüssel verwalten können. Klicken Sie auf Next, um fortzufahren.

    5. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.

  5. In Schritt 4 können Sie die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwenden können. Klicken Sie auf Next, um fortzufahren.

    6. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.

  6. In Schritt 5 überprüfen Sie die Konfigurationsdetails. Vergewissern Sie sich, dass die Regionalität auf Multi-region key festgelegt ist.

    7. AWS Management Console mit einem Schaltflächenlink zum Erstellen eines CMK-Schlüssels.


Die Schlüsselrichtlinie umfasst alle Anforderungen zum Verwenden des Schlüssels für mehrere Regionen mit Qlik Cloud Kundenverwaltete Schlüssel, einschließlich der KMS-Aktion „DescribeKey“. Weitere Informationen zu „DescribeKey“ finden Sie unter AWS KMS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
WarnhinweisAWS KMS unterstützt die Änderung des Schlüsseltyps nach dem Erstellen nicht. Das bedeutet, dass „einzelne Region“ nicht zu „mehrere Regionen“ geändert werden kann und umgekehrt. Wenn Ihr vorhandener Schlüssel bereits für mehrere Regionen konfiguriert ist, können Sie die Richtlinie ändern und die Replikatregionen aktualisieren.

Hat diese Seite Ihnen geholfen?

Wenn Sie Probleme mit dieser Seite oder ihren Inhalten feststellen – einen Tippfehler, einen fehlenden Schritt oder einen technischen Fehler –, teilen Sie uns bitte mit, wie wir uns verbessern können!

Geben Sie hier Ihr Feedback ab