Configurar el cifrado de un espacio empresarial inquilino
Configure el cifrado de un espacio empresarial inquilino en Qlik Cloud utilizando las claves de AWS Key Management Service (KMS) de su organización.
Los administradores de un espacio empresarial inquilino pueden configurar los ajustes de cifrado del espacio empresarial inquilino. De forma predeterminada, un nuevo espacio empresarial inquilino utiliza el KMS interno de Qlik para cifrar el contenido del espacio empresarial inquilino. Si su organización desea usar su propia clave administrada por el cliente (CMK) para cifrar los datos de espacios empresariales inquilinos, puede configurar el cifrado de inquilinos para usar una CMK de un proveedor de claves compatible.
Qlik Cloud admite el uso de una CMK desde Amazon Web Services (AWS) Servicio de administración de claves (KMS). Los clientes pueden optar por usar la misma clave para múltiples espacios inquilinos mediante la definición de la política de claves AWS KMS, aunque esto no se recomienda como mejor práctica. La integración de CMK y AWS KMS mantendrá el cifrado por espacio empresarial inquilino utilizando el contexto de cifrado de la API de AWS KMS, pero debe configurar el cifrado para cada espacio empresarial inquilino de forma individual. Los clientes o partners que permiten el uso de espacios empresariales inquilinos por parte de varias organizaciones de usuarios finales deben implementar claves individuales por organización de usuarios finales.
Requisitos previos de CMK
Debe tener una cuenta de AWS y AWS KMS para poder usar CMK con Qlik Cloud. Para obtener más información sobre cómo configurar una cuenta AWS KMS y crear una clave AWS KMS, consulte AWS Servicio de administración de claves (KMS).
Una vez que haya completado la configuración en AWS, puede cambiar el proveedor de claves en el espacio empresarial inquilino para usar su clave de AWS KMS.
Crear un nuevo proveedor de claves en el espacio empresarial inquilino
Antes de crear el proveedor de claves, verifique que su clave y política de AWS KMS se hayan configurado correctamente en AWS KMS. Vea AWS Servicio de administración de claves (KMS). Qlik Cloud admite los siguientes proveedores de claves:
-
KMS interno de Qlik (este es el KMS predeterminado que utiliza claves administradas por Qlik)
-
AWS KMS
Haga lo siguiente:
-
En el centro de actividades Administración, vaya a Configuración.
-
En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
-
Haga clic en Crear nuevo.
-
Inserte los parámetros requeridos por el proveedor de claves.
- Proveedor de claves maestras: el proveedor de claves maestras de AWS KMS es la única opción disponible.
- ARN de la clave KMS: el ARN de la clave KMS o el ARN de alias. El ARN de clave es el nombre de recurso de Amazon, Amazon Resource Name (ARN), de una clave KMS. El ARN de alias es el nombre de recurso de Amazon (ARN) del alias de AWS KMS (el nombre descriptivo que se le dio a la clave AWS KMS cuando se creó). Para obtener más información, consulte Eventos de proveedor de claves Para obtener información sobre cómo encontrar el ARN de clave o el ARN de alias de una CMK, consulte Búsqueda del ID y el ARN de la clave o Buscar el nombre del alias y el ARN de alias.
- Título: un título para identificar al nuevo proveedor de claves.
- Descripción: (opcional)
-
Elija si desea agregar la configuración del proveedor de claves y guardarla para usarla más adelante o iniciar la migración de claves ahora.
Cambiar el proveedor de claves en el espacio empresarial inquilino
Puede cambiar el proveedor de claves de Qlik KMS a AWS KMS, de AWS KMS a otro AWS KMS o volver a Qlik KMS desde AWS KMS. Durante el proceso de migración de claves, el espacio empresarial inquilino seguirá funcionando normalmente sin ningún impacto para los usuarios.
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Configuración.
- En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
- Haga clic en los puntos suspensivos en la tarjeta del proveedor de claves al que desea migrar.
- Seleccione Migrar.
- En el cuadro de diálogo Cambiar proveedor de claves, seleccione la casilla de verificación para confirmar el reemplazo de la clave actual y haga clic en Cambiar proveedor de claves. Tras una migración correcta, el proveedor de claves migrado se activará.
Validar el proveedor de claves
Puede validar un proveedor de claves de AWS en cualquier momento. La validación completa todas las comprobaciones de estado y verifica el cumplimiento de las reglas definidas requeridas para la migración del proveedor clave. La validación también se realiza automáticamente antes del inicio de cualquier migración de proveedor clave.
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Configuración.
- En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
- Haga clic en la elipsis en el panel del proveedor de claves.
- Seleccione Validar.
Eliminar un proveedor de claves
Cualquier proveedor de claves, a excepción del proveedor de claves predeterminado de Qlik, se puede eliminar si está inactivo.
Haga lo siguiente:
- En el centro de actividades Administración, vaya a Configuración.
- En Cifrado del espacio empresarial inquilino, haga clic en Administrar el proveedor de claves.
- Haga clic en la elipsis en el panel del proveedor de claves.
- Seleccione Eliminar.
Eventos de proveedor de claves
Puede verificar los cambios en el proveedor de claves de cifrado en la página Eventos del centro de actividades Administración. El registro de eventos captura los siguientes tipos de eventos de cifrado:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Los eventos en AWS KMS se registran en AWS CloudTrail en Historial de eventos. Busque los nombres de eventos: Encrypt, GenerateDatakey o Decrypt.
API de cifrado de Qlik y conectores
Además de configurar el cifrado de espacios inquilinos a través del centro de actividades Administración, Qlik ofrece varias formas más de administrar los ciclos de vida de los proveedores de claves.
- Una API de cifrado para gestionar los proveedores de claves mediante programación. Consulte la documentación de referencia de API en qlik.dev.
- Un conector AWS KMS Automatización de aplicaciones de Qlik que le permite configurar los proveedores de claves en AWS. Vea Cómo empezar a utilizar el conector KMS de Amazon.
- Los conectores Qlik Platform Operations y QCS, que están disponibles como una opción nativa de Qlik sin código para gestionar fácilmente proveedores de claves manipulando bloques de conectores en un flujo lógico. Vea la descripción del conector Platform Operations y los conectores de Application Automation.
AWS Servicio de administración de claves (KMS)
Qlik Cloud admite el uso de una clave administrada por el cliente (CMK), Amazon se refiere a esto como una clave AWS KMS o clave KMS desde AWS KMS para cifrar y descifrar los datos de su espacio empresarial inquilino.
A continuación se muestran los pasos generales necesarios para configurar AWS para usarlo con CMK. Debe crear una cuenta AWS KMS, crear su clave AWS KMS y configurar su política de claves para usarla con Qlik Cloud CMK. Una vez que haya completado la configuración en AWS KMS, puede cambiar el proveedor de claves en el espacio empresarial inquilino de Qlik Cloud para que use una clave de AWS KMS. Vea Crear un nuevo proveedor de claves en el espacio empresarial inquilino.
Crear una cuenta AWS
Vaya a Amazon Web Services y cree una cuenta.
Crear una clave AWS KMS simétrica
En AWS, cree una clave utilizando la Consola de gestión de AWS KMS o mediante la API de AWS KMS usando el comando CreateKey. Al configurar su clave multirregional, tenga en cuenta que existen limitaciones en cuanto a qué regiones se pueden seleccionar como regiones de respaldo según la región de la clave principal.
-
Región de AWS: seleccione la región donde se almacena su espacio empresarial inquilino de Qlik Cloud. Las regiones de Qlik Cloud compatibles y sus códigos de región de respaldo de AWS asociados se muestran a continuación. Se admiten claves multirregionales.
Nombre de la región principal Código de la región principal Nombre de la región de respaldo Código de la región de respaldo Este de EE. UU. (Virginia del Norte) us-east-1 Este de EE. UU. (Ohio) us-east-2 Europa (Irlanda) eu-west-1 Europa (París) eu-west-3 Europa (Londres) eu-west-2 Europa (España) eu-south-2 Europa (Fráncfort) eu-central-1 Europa (Milán) eu-south-1 Europa (Suecia) eu-north-1 N. D. N. D. Asia-Pacífico (Singapur) ap-southeast-1 Asia-Pacífico (Seúl) ap-northeast-2 Asia-Pacífico (Sídney) ap-southeast-2 Asia Pacífico (Melbourne) ap-southeast-4 Japón (Tokyo) ap-northeast-1 Japón (Osaka) ap-northeast-3 India (Mumbai) ap-south-1 India (Hyderabad) ap-south-2 La región de Suecia eu-north-1 no dispone de una región de respaldo debido a su política específica de tránsito de datos.
Nota de avisoPara garantizar la configuración correcta de una clave multirregional para su uso en Qlik Cloud, debe crear el emparejamiento de claves de acuerdo con el cuadro de regiones de respaldo anterior en la consola de AWS KMS.Nota de Qlik Cloud GovernmentLas regiones de Qlik Cloud Government (us-gov-west-1 o us-gov-east-1) no necesita una configuración de clave de réplica para registrar un CMK. -
Tipo de clave—Simétrico. CMK no admite claves asimétricas.
-
Uso de clave—Cifrar y descifrar
Otras configuraciones durante la creación de claves incluyen:
-
Introducir un alias de clave
-
Definir los usuarios y roles de identidad y gestión de acceso (Identity and Access Management, IAM) que pueden administrar la clave
-
Elegir los usuarios y roles de IAM que pueden usar la clave en operaciones criptográficas
-
Configurar la política de claves.
Para obtener más información sobre cómo crear una clave de AWS KMS, consulte Creación de claves.
Configurar la política de claves de AWS KMS
La política de claves controla el acceso a la clave de AWS KMS. Cada clave tiene su propia política. La política de claves debe incluir la información mínima y los permisos necesarios para usar su clave AWS KMS con Qlik Cloud Claves administradas por el cliente. Cuando crea una clave utilizando la consola de AWS KMS, AWS KMS crea una política de claves predeterminada con instrucciones basadas en sus selecciones durante la creación de las claves. Estas instrucciones determinan los usuarios y roles de IAM en su cuenta que pueden administrar la clave y utilizarla en operaciones criptográficas.
Debe editar la política de claves predeterminada para agregar los permisos y parámetros necesarios para usar la clave con Qlik Cloud CMK. Entre estas se incluyen:
-
Permitir que las cuentas proxy de AWS de Qlik y los roles de IAM necesarios generen una clave de datos, cifren y descifren datos usando su clave AWS KMS. Deben agregarse roles de IAM independientes a la política de claves para usar claves administradas (CMK) con Automatización de aplicaciones de Qlik.
-
Identifcar su Id de espacio empresarial inquilino de Qlik Cloud. El ID del espacio empresarial inquilino se utiliza como contexto de cifrado. AWS KMS utiliza el contexto de cifrado como datos autenticados adicionales (AAD) para admitir el cifrado autenticado. Esto significa que un espacio empresarial inquilino no puede descifrar las claves de cifrado de otro espacio empresarial inquilino. Vea Contexto de cifrado. Si utiliza la misma clave KMS para varios espacios empresariales inquilinos, debe incluir el ID del espacio empresarial inquilino para cada espacio inquilino en la política de claves.
Haga lo siguiente:
- Asegúrese de que su cuenta de cliente de AWS y los usuarios y roles de IAM sean correctos y estén incluidos en la política, consulte Ejemplo de política de claves de AWS KMS. Su póliza también puede incluir otras declaraciones.
-
Copie el fragmento de código de Qlik Cloud requerido a continuación y agréguelo a su política de claves. Para suscripciones a Qlik Cloud Government, copie el fragmento de código de Qlik Cloud Government.
-
En la cadena EncryptionContext, reemplace QLIK_TENANT_ID por su ID de espacio empresarial inquilino (TenantID) de Qlik Cloud.
- Guarde la política de claves.
Fragmento de código de Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Fragmento de código de Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Para obtener más información sobre las políticas de claves de AWS KMS, consulte Políticas de claves en AWS KMS.
Ejemplo de política de claves de AWS KMS
La siguiente política de clave de ejemplo incluye los requisitos básicos para su uso con Qlik Cloud Claves administradas por el cliente.
-
La cuenta del cliente y los usuarios y roles de IAM que pueden administrar y usar la clave.
-
Las cuentas de Qlik y roles de IAM que pueden usar la clave para operaciones criptográficas: Encrypt, Decrypt y GenerateDataKey.
-
Las cuentas de Qlik y roles de IAM de Application Automation que pueden usar la clave con Application Automation.
-
El contexto de cifrado que identifica su número de identificación (TenantID) del espacio empresarial inquilino den Qlik Cloud.
La sección seleccionada (B, C y D) en el ejemplo de política identifica los parámetros requeridos por Qlik Cloud Claves administradas por el cliente.
KMS ARN de clave y ARN de alias
El nombre de recurso de Amazon (ARN) es un identificador único y completo de la clave KMS. Incluye el contexto de cifrado (TenantID), la cuenta de AWS, la región y el ID de clave. El ARN se crea cuando crea una clave AWS KMS en el AWS Servicio de administración de claves. En Qlik Cloud, cuando cambie el proveedor de claves en el centro de actividades Administración para utilizar su clave AWS KMS, deberá proporcionar el ARN de clave o el ARN de alias para conectar el servicio de cifrado de Qlik con su clave de AWS KMS. Vea Crear un nuevo proveedor de claves en el espacio empresarial inquilino.
El ARN usa el formato:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
El siguiente es un ejemplo de un ARN de clave válido:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
El ARN de alias utiliza el formato:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
El siguiente es un ejemplo de un ARN de alias válido donde CMK-Example-Alias es el nombre de alias:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Para obtener más información sobre cómo ubicar el ARN de clave o ARN de alias para su clave KMS, consulte Búsqueda del ID y el ARN de la clave o Buscar el nombre del alias y el ARN de alias.
AWS KMS Clave multirregional para recuperación ante desastres (DR)
Las claves multirregionales le permiten continuar accediendo y procesando datos cifrados, incluso cuando la región principal está experimentando una interrupción. Al crear una réplica de la clave, puede descifrar datos en la región de respaldo y cualquier dato cifrado en la copia de seguridad se puede descifrar posteriormente en la región principal una vez que se restaure.
Siga estos pasos para crear una clave multirregional en AWS KMS:
-
En la consola de gestión de AWS, haga clic en Crear una clave.
-
En el Paso 1, establecerá la configuración de su clave. En la sección Opciones avanzadas, seleccione KMS para el Origen del material de la clave y en la sección Regionalidad, seleccione Clave multirregión. Haga clic en Siguiente para continuar.
-
En el Paso 2 podrá añadir un Alias para la clave. Después de agregar un nombre, puede optar por agregar una descripción y etiquetas. Haga clic en Siguiente para continuar.
-
En el paso 3, puede seleccionar los usuarios y roles de IAM que pueden administrar la clave. Haga clic en Siguiente para continuar.
-
En el paso 4, puede seleccionar los roles de los usuarios de IAM que pueden usar la clave KMS. Haga clic en Siguiente para continuar.
-
En el Paso 5 revisará los detalles de la configuración. Asegúrese de que la Regionalidad esté configurada en Clave multirregional.
La política de claves incluye todos los requisitos para utilizar la clave multirregional con Qlik Cloud Claves administradas por el cliente, incluida la acción de KMS DescribeKey. Para obtener más información sobre DescribeKey, consulte AWS KMS DescribeKey.