Saltar al contenido principal Saltar al contenido complementario

Configurar el cifrado de un espacio empresarial inquilino

Configure el cifrado de un espacio empresarial inquilino en Qlik Cloud utilizando las claves de AWS Key Management Service (KMS) de su organización.

Los administradores de un espacio empresarial inquilino pueden configurar los ajustes de cifrado del espacio empresarial inquilino. De forma predeterminada, un nuevo espacio empresarial inquilino utiliza el KMS interno de Qlik para cifrar el contenido del espacio empresarial inquilino. Si su organización desea usar su propia clave administrada por el cliente (CMK) para cifrar los datos de espacios empresariales inquilinos, puede configurar el cifrado de inquilinos para usar una CMK de un proveedor de claves compatible.

Qlik Cloud admite el uso de una CMK desde Amazon Web Services (AWS) Servicio de administración de claves (KMS). Los clientes pueden optar por usar la misma clave para múltiples espacios inquilinos mediante la definición de la política de claves AWS KMS, aunque esto no se recomienda como mejor práctica. La integración de CMK y AWS KMS mantendrá el cifrado por espacio empresarial inquilino utilizando el contexto de cifrado de la API de AWS KMS, pero debe configurar el cifrado para cada espacio empresarial inquilino de forma individual. Los clientes o partners que permiten el uso de espacios empresariales inquilinos por parte de varias organizaciones de usuarios finales deben implementar claves individuales por organización de usuarios finales.

Nota de avisoPuede usar CMK con espacios empresariales inquilinos nuevos o existentes. Una vez que cambie el proveedor de claves para usar su CMK, todos los datos en reposo del espacio empresarial inquilino se cifrarán y descifrarán con estas claves.

Requisitos previos de CMK

Debe tener una cuenta de AWS y AWS KMS para poder usar CMK con Qlik Cloud. Para obtener más información sobre cómo configurar una cuenta AWS KMS y crear una clave AWS KMS, consulte AWS Servicio de administración de claves (KMS).

Una vez que haya completado la configuración en AWS, puede cambiar el proveedor de claves en el espacio empresarial inquilino para usar su clave de AWS KMS.

Crear un nuevo proveedor de claves en el espacio empresarial inquilino

Antes de crear el proveedor de claves, verifique que su clave y política de AWS KMS se hayan configurado correctamente en AWS KMS. Vea AWS Servicio de administración de claves (KMS). Qlik Cloud admite los siguientes proveedores de claves:

  • KMS interno de Qlik (este es el KMS predeterminado que utiliza claves administradas por Qlik)

  • AWS KMS

  1. En el centro de actividades Administración, vaya a Configuración.

  2. En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.

  3. Haga clic en Crear nuevo.

  4. Inserte los parámetros requeridos por el proveedor de claves.

    • Proveedor de claves maestras: el proveedor de claves maestras de AWS KMS es la única opción disponible.
    • ARN de la clave KMS: el ARN de la clave KMS o el ARN de alias. El ARN de clave es el nombre de recurso de Amazon, Amazon Resource Name (ARN), de una clave KMS. El ARN de alias es el nombre de recurso de Amazon (ARN) del alias de AWS KMS (el nombre descriptivo que se le dio a la clave AWS KMS cuando se creó). Para obtener más información, consulte Eventos de proveedor de claves Para obtener información sobre cómo encontrar el ARN de clave o el ARN de alias de una CMK, consulte Búsqueda del ID y el ARN de la clave o Buscar el nombre del alias y el ARN de alias.
    • Título: un título para identificar al nuevo proveedor de claves.
    • Descripción: (opcional)
    • Crear panel de proveedor de claves

      Crear un proveedor de claves maestras
  5. Elija si desea agregar la configuración del proveedor de claves y guardarla para usarla más adelante o iniciar la migración de claves ahora.

Nota de avisoUna vez que su espacio empresarial inquilino esté configurado para CMK, si deshabilita o elimina su CMK, los datos del espacio empresarial inquilino no se podrán descifrar con estas claves. En el caso de .una clave deshabilitada, si la clave se vuelve a habilitar, se restablecerá el acceso a los datos. En el caso de una clave eliminada, el acceso a los datos se perderá de forma permanente. Para obtener más información, consulte Gestión de claves en AWS KMS.

Cambiar el proveedor de claves en el espacio empresarial inquilino

Puede cambiar el proveedor de claves de Qlik KMS a AWS KMS, de AWS KMS a otro AWS KMS o volver a Qlik KMS desde AWS KMS. Durante el proceso de migración de claves, el espacio empresarial inquilino seguirá funcionando normalmente sin ningún impacto para los usuarios.

Nota de avisoSi existe un acuerdo de socio comercial (BAA) vigente relacionado con HIPAA y está almacenando PHI sujeta a HIPAA, no puede volver a Qlik KMS desde AWS KMS. Debe crear una nueva clave de AWS y migrarla si es necesario reemplazar la clave de AWS actualmente en uso.
  1. En el centro de actividades Administración, vaya a Configuración.
  2. En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
  3. Haga clic en los puntos suspensivos en la tarjeta del proveedor de claves al que desea migrar.
  4. Seleccione Migrar.
  5. En el cuadro de diálogo Cambiar proveedor de claves, seleccione la casilla de verificación para confirmar el reemplazo de la clave actual y haga clic en Cambiar proveedor de claves. Tras una migración correcta, el proveedor de claves migrado se activará.
Nota informativaEl estado de la migración de claves se actualiza cada 15 minutos. Las migraciones normalmente pueden tardar hasta 24 horas, dependiendo de la cantidad de artefactos que haya en el espacio empresarial inquilino, como notas, aplicaciones, automatizaciones, alertas, registros de eventos, etc. Si su migración se demora más de 24 horas, envíe un ticket al Soporte de Qlik.
Nota informativa Puede verificar el cambio del proveedor de claves de cifrado en la página Eventos del centro de actividades Administración. Para obtener más información sobre los tipos de eventos de encriptación relacionados con la migración, consulte Eventos de proveedor de claves.

Validar el proveedor de claves

Puede validar un proveedor de claves de AWS en cualquier momento. La validación completa todas las comprobaciones de estado y verifica el cumplimiento de las reglas definidas requeridas para la migración del proveedor clave. La validación también se realiza automáticamente antes del inicio de cualquier migración de proveedor clave.

  1. En el centro de actividades Administración, vaya a Configuración.
  2. En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
  3. Haga clic en la elipsis en el panel del proveedor de claves.
  4. Seleccione Validar.

Eliminar un proveedor de claves

Cualquier proveedor de claves, a excepción del proveedor de claves predeterminado de Qlik, se puede eliminar si está inactivo.

  1. En el centro de actividades Administración, vaya a Configuración.
  2. En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
  3. Haga clic en la elipsis en el panel del proveedor de claves.
  4. Seleccione Eliminar.

Eventos de proveedor de claves

Puede verificar los cambios en el proveedor de claves de cifrado en la página Eventos del centro de actividades Administración. El registro de eventos captura los siguientes tipos de eventos de cifrado:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Los eventos en AWS KMS se registran en AWS CloudTrail en Historial de eventos. Busque los nombres de eventos: Encrypt, GenerateDatakey o Decrypt.

API de cifrado de Qlik y conectores

Además de configurar el cifrado de espacios inquilinos a través del centro de actividades Administración, Qlik ofrece varias formas más de administrar los ciclos de vida de los proveedores de claves.

  • Una API de cifrado para gestionar los proveedores de claves mediante programación. Consulte la documentación de referencia de API en qlik.dev.
  • Un conector AWS KMS Automatización de aplicaciones de Qlik que le permite configurar los proveedores de claves en AWS. Vea Cómo empezar a utilizar el conector KMS de Amazon.
  • Los conectores Qlik Platform Operations y QCS, que están disponibles como una opción nativa de Qlik sin código para gestionar fácilmente proveedores de claves manipulando bloques de conectores en un flujo lógico. Vea la descripción del conector Platform Operations y los conectores de Application Automation.

AWS Servicio de administración de claves (KMS)

Qlik Cloud admite el uso de una clave administrada por el cliente (CMK), Amazon se refiere a esto como una clave AWS KMS o clave KMS desde AWS KMS para cifrar y descifrar los datos de su espacio empresarial inquilino.

A continuación se muestran los pasos generales necesarios para configurar AWS para usarlo con CMK. Debe crear una cuenta AWS KMS, crear su clave AWS KMS y configurar su política de claves para usarla con Qlik Cloud CMK. Una vez que haya completado la configuración en AWS KMS, puede cambiar el proveedor de claves en el espacio empresarial inquilino de Qlik Cloud para que use una clave de AWS KMS. Vea Crear un nuevo proveedor de claves en el espacio empresarial inquilino.

Crear una cuenta AWS

Vaya a Amazon Web Services y cree una cuenta.

Crear una clave AWS KMS simétrica

En AWS, cree una clave utilizando la Consola de gestión de AWS KMS o mediante la API de AWS KMS usando el comando CreateKey. Al configurar su clave multirregional, tenga en cuenta que existen limitaciones en cuanto a qué regiones se pueden seleccionar como regiones de respaldo según la región de la clave principal.

  • Región de AWS: seleccione la región donde se almacena su espacio empresarial inquilino de Qlik Cloud. Las regiones de Qlik Cloud compatibles y sus códigos de región de respaldo de AWS asociados se muestran a continuación. Se admiten claves multirregionales.

    Nombre de la región principal Código de la región principal Nombre de la región de respaldo Código de la región de respaldo
    Este de EE. UU. (Virginia del Norte) us-east-1 Este de EE. UU. (Ohio) us-east-2
    Europa (Irlanda) eu-west-1 Europa (París) eu-west-3
    Europa (Londres) eu-west-2 Europa (España) eu-south-2
    Europa (Fráncfort) eu-central-1 Europa (Milán) eu-south-1
    Europa (Suecia) eu-north-1 N. D. N. D.
    Asia-Pacífico (Singapur) ap-southeast-1 Asia-Pacífico (Seúl) ap-northeast-2
    Asia-Pacífico (Sídney) ap-southeast-2 Asia Pacífico (Melbourne) ap-southeast-4
    Japón (Tokyo) ap-northeast-1 Japón (Osaka) ap-northeast-3
    India (Mumbai) ap-south-1 India (Hyderabad) ap-south-2

    La región de Suecia eu-north-1 no dispone de una región de respaldo debido a su política específica de tránsito de datos.

    Nota de avisoPara garantizar la configuración correcta de una clave multirregional para su uso en Qlik Cloud, debe crear el emparejamiento de claves de acuerdo con el cuadro de regiones de respaldo anterior en la consola de AWS KMS.
    Nota de Qlik Cloud GovernmentLas regiones de Qlik Cloud Government (us-gov-west-1 o us-gov-east-1) no necesita una configuración de clave de réplica para registrar un CMK.
  • Tipo de clave—Simétrico. CMK no admite claves asimétricas.

  • Uso de clave—Cifrar y descifrar

Otras configuraciones durante la creación de claves incluyen:

  • Introducir un alias de clave

  • Definir los usuarios y roles de identidad y gestión de acceso (Identity and Access Management, IAM) que pueden administrar la clave

  • Elegir los usuarios y roles de IAM que pueden usar la clave en operaciones criptográficas

  • Configurar la política de claves.

Para obtener más información sobre cómo crear una clave de AWS KMS, consulte Creación de claves.

Configurar la política de claves de AWS KMS

La política de claves controla el acceso a la clave de AWS KMS. Cada clave tiene su propia política. La política de claves debe incluir la información mínima y los permisos necesarios para usar su clave AWS KMS con Qlik Cloud Claves administradas por el cliente. Cuando crea una clave utilizando la consola de AWS KMS, AWS KMS crea una política de claves predeterminada con instrucciones basadas en sus selecciones durante la creación de las claves. Estas instrucciones determinan los usuarios y roles de IAM en su cuenta que pueden administrar la clave y utilizarla en operaciones criptográficas.

Debe editar la política de claves predeterminada para agregar los permisos y parámetros necesarios para usar la clave con Qlik Cloud CMK. Entre estas se incluyen:

  • Permitir que las cuentas proxy de AWS de Qlik y los roles de IAM necesarios generen una clave de datos, cifren y descifren datos usando su clave AWS KMS. Deben agregarse roles de IAM independientes a la política de claves para usar claves administradas (CMK) con Automatización de aplicaciones de Qlik.

  • Identifcar su Id de espacio empresarial inquilino de Qlik Cloud. El ID del espacio empresarial inquilino se utiliza como contexto de cifrado. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales (AAD) para admitir el cifrado autenticado. Esto significa que un espacio empresarial inquilino no puede descifrar las claves de cifrado de otro espacio empresarial inquilino. Vea Contexto de cifrado. Si utiliza la misma clave KMS para varios espacios empresariales inquilinos, debe incluir el ID del espacio empresarial inquilino para cada espacio inquilino en la política de claves.

  1. Asegúrese de que su cuenta de cliente de AWS y los usuarios y roles de IAM sean correctos y estén incluidos en la política, consulte Ejemplo de política de claves de AWS KMS. Su póliza también puede incluir otras declaraciones.
  2. Copie el fragmento de código de Qlik Cloud requerido a continuación y agréguelo a su política de claves. Para suscripciones a Qlik Cloud Government, copie el fragmento de código de Qlik Cloud Government.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    [
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        },
        {
            "Sid": "Enable KMS Key policy for proxy account",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
  4. En la cadena EncryptionContext, reemplace QLIK_TENANT_ID por su ID de espacio empresarial inquilino (TenantID) de Qlik Cloud.

  5. Nota de sugerencia Para encontrar su ID de espacio empresarial inquilino, desde cualquier centro de actividades, seleccione su perfil de usuario y, a continuación, seleccione Acerca de. En ID del espacio empresarial, seleccione y copie el ID. No utilice el Nombre para mostrar o Nombre de host alias en el centro de actividades Administración en Configuración > Espacio empresariall inquilino.
  6. Guarde la política de claves.

Para obtener más información sobre las políticas de claves de AWS KMS, consulte Políticas de claves en AWS KMS.

Ejemplo de política de claves de AWS KMS

La siguiente política de clave de ejemplo incluye los requisitos básicos para su uso con Qlik Cloud Claves administradas por el cliente.

  1. La cuenta del cliente y los usuarios y roles de IAM que pueden administrar y usar la clave.

  2. Las cuentas de Qlik y roles de IAM que pueden usar la clave para operaciones criptográficas: Encrypt, Decrypt y GenerateDataKey.

  3. Las cuentas de Qlik y roles de IAM de Application Automation que pueden usar la clave con Application Automation.

  4. El contexto de cifrado que identifica su número de identificación (TenantID) del espacio empresarial inquilino den Qlik Cloud.

La sección seleccionada (B, C y D) en el ejemplo de política identifica los parámetros requeridos por Qlik Cloud Claves administradas por el cliente.

Ejemplo de política de clave de AWS KMS

Ejemplo de política de claves

KMS ARN de clave y ARN de alias

El nombre de recurso de Amazon (ARN) es un identificador único y completo de la clave KMS. Incluye el contexto de cifrado (TenantID), la cuenta de AWS, la región y el ID de clave. El ARN se crea cuando crea una clave AWS KMS en el AWS Servicio de administración de claves. En Qlik Cloud, cuando cambie el proveedor de claves en el centro de actividades Administración para utilizar su clave AWS KMS, deberá proporcionar el ARN de clave o el ARN de alias para conectar el servicio de cifrado de Qlik con su clave de AWS KMS. Vea Crear un nuevo proveedor de claves en el espacio empresarial inquilino.

A) ARN de clave AWS KMS y B) ARN de alias en AWS Servicio de administración de claves

ARN de clave y alias de AWS KMS

El ARN usa el formato:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

El siguiente es un ejemplo de un ARN de clave válido:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

El ARN de alias utiliza el formato:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

El siguiente es un ejemplo de un ARN de alias válido donde CMK-Example-Alias es el nombre de alias:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Para obtener más información sobre cómo ubicar el ARN de clave o ARN de alias para su clave KMS, consulte Búsqueda del ID y el ARN de la clave o Buscar el nombre del alias y el ARN de alias.

AWS KMS Clave multirregional para recuperación ante desastres (DR)

Las claves multirregionales le permiten continuar accediendo y procesando datos cifrados, incluso cuando la región principal está experimentando una interrupción. Al crear una réplica de la clave, puede descifrar datos en la región de respaldo y cualquier dato cifrado en la copia de seguridad se puede descifrar posteriormente en la región principal una vez que se restaure.

Siga estos pasos para crear una clave multirregional en AWS KMS:

  1. En la consola de gestión de AWS, haga clic en Crear una clave.

  2. Consola de administración de AWS con un enlace de botón para crear una clave CMK.

  3. En el Paso 1, establecerá la configuración de su clave. En la sección Opciones avanzadas, seleccione KMS para el Origen del material de la clave y en la sección Regionalidad, seleccione Clave multirregión. Haga clic en Siguiente para continuar.

  4. Consola de administración de AWS con un enlace de botón para crear una clave CMK.

  5. En el Paso 2 podrá añadir un Alias para la clave. Después de agregar un nombre, puede optar por agregar una descripción y etiquetas. Haga clic en Siguiente para continuar.

  6. Consola de administración de AWS con un enlace de botón para crear una clave CMK.

  7. En el paso 3, puede seleccionar los usuarios y roles de IAM que pueden administrar la clave. Haga clic en Siguiente para continuar.

  8. Consola de administración de AWS con un enlace de botón para crear una clave CMK.

  9. En el paso 4, puede seleccionar los roles de los usuarios de IAM que pueden usar la clave KMS. Haga clic en Siguiente para continuar.

  10. Consola de administración de AWS con un enlace de botón para crear una clave CMK.

  11. En el Paso 5 revisará los detalles de la configuración. Asegúrese de que la Regionalidad esté configurada en Clave multirregional.

  12. Consola de administración de AWS con un enlace de botón para crear una clave CMK.


La política de claves incluye todos los requisitos para utilizar la clave multirregional con Qlik Cloud Claves administradas por el cliente, incluida la acción de KMS DescribeKey. Para obtener más información sobre DescribeKey, consulte AWS KMS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Nota de avisoAWS KMS no admite el cambio del tipo de clave una vez creado, lo que significa que una región única no se puede cambiar a varias regiones y viceversa. Si su actual clave ya está configurada para varias regiones, puede modificar la política y actualizar las regiones de réplica.

¿Esta página le ha sido útil?

No dude en indicarnos en qué podemos mejorar si encuentra algún problema en esta página o su contenido, como, por ejemplo, errores tipográficos, pasos que falta o errores técnicos.