Configuration du chiffrement d'un client

Les administrateurs de clients peuvent configurer les paramètres de chiffrement de client. Par défaut, un nouveau client utilise le KMS interne Qlik pour chiffrer le contenu dans le client. Si votre entreprise souhaite utiliser sa propre clé gérée par l'utilisateur (CMK) pour chiffrer les données du client, vous pouvez configurer le chiffrement du client de sorte à utiliser une CMK d'un fournisseur de clé pris en charge.

Qlik Cloud prend en charge l'utilisation d'une CMK provenant de Amazon Web Services (AWS) Service de gestion des clés (KMS). Les utilisateurs peuvent décider d'utiliser la même clé pour plusieurs clients, via la définition de stratégie de clé AWS KMS, même si cela n'est pas recommandé et ne figure pas parmi les meilleures pratiques. L'intégration CMK et AWS KMS gérera le chiffrement par client via le contexte de chiffrement d'API AWS KMS, mais vous devez configurer le chiffrement pour chaque client individuellement. Les utilisateurs ou partenaires qui activent des clients pour une utilisation par plusieurs groupes d'utilisateurs finaux doivent implémenter des clés individuelles par groupe d'utilisateurs finaux.

Vous pouvez utiliser CMK avec de nouveaux clients ou des clients existants. Une fois que vous modifiez le fournisseur de clé de sorte à utiliser votre CMK, toutes les données au repos du client seront chiffrées et déchiffrées via ces clés.

Conditions préalables requises CMK

Vous devez disposer d'un compte AWS et d'une clé AWS KMS pour pouvoir utiliser CMK avec Qlik Cloud. Pour plus d'informations sur la configuration d'un compte AWS KMS et la création d'une clé AWS KMS, voir AWS Service de gestion des clés (KMS).

Une fois la configuration dans AWS terminée, vous pouvez modifier le fournisseur de clé dans le client pour pouvoir utiliser votre clé AWS KMS.

Création d'un nouveau fournisseur de clé dans le client

Avant de créer le fournisseur de clé, vérifiez que votre clé et votre stratégie AWS KMS ont été correctement configurées dans AWS KMS. Voir AWS Service de gestion des clés (KMS). Qlik Cloud prend en charge les fournisseurs de clé suivants :

KMS interne Qlik (il s'agit du KMS par défaut utilisant des clés gérées par Qlik)
AWS KMS

Procédez comme suit :

Dans la Console de gestion, accédez à Paramètres.
Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
Cliquez sur la carte Créer.
Saisissez les paramètres requis par le fournisseur de clé.
- Fournisseur de clé principal : le fournisseur de clé principal AWS KMS est la seule option disponible.
- ARN de clé du système KMS : ARN de clé ou ARN d'alias KMS. L'ARN de clé correspond au Nom de ressource Amazon (ARN) d'une clé KMS. L'ARN d'alias est le Nom de ressource Amazon (ARN) de l'alias AWS KMS (le nom convivial donné à la clé AWS KMS lors de sa création). Pour plus d'informations, consultez Événements du fournisseur de clé. Pour des informations sur la recherche de l'ARN de clé ou l'ARN d'alias d'une clé KMS, voir Recherche de l'ID de clé et de l'ARN de clé ou Recherche du nom d'alias et de l'ARN d'alias.
- Titre : titre permettant d'identifier le nouveau fournisseur de clé.
- Description : Facultatif
Sélectionnez si vous souhaitez ajouter la configuration du fournisseur de clé et l'enregistrer à des fins d'utilisation ultérieure ou commencer la migration de clé maintenant.

Une fois votre client configuré pour CMK, si vous désactivez ou supprimez votre CMK, les données du client ne peuvent plus être déchiffrées via ces clés. Si une clé est désactivée, puis réactivée, l'accès aux données sera rétabli. Si une clé est supprimée, l'accès aux données sera définitivement perdu. Pour plus d'informations, voir Gestion des clés dans AWS KMS.

Modification du fournisseur de clé dans le client

Vous pouvez remplacer le fournisseur de clé Qlik KMS par AWS KMS, AWS KMS par un autre AWS KMS, ou revenir à Qlik KMS depuis AWS KMS. Lors du processus de migration de clé, le client continuera à fonctionner comme d'habitude, sans impact pour les utilisateurs.

En cas d'accord de partenariat (Business Associate Agreement ou BAA) associé à HIPAA en vigueur et si vous stockez le sujet PHI dans HIPAA, vous ne pouvez pas revenir à Qlik KMS depuis AWS KMS. Vous devez créer une nouvelle clé AWS et migrer vers elle si la clé AWS actuellement utilisée doit être remplacée.

Les journaux d'exécution Qlik Application Automation sont constamment purgés lors de la migration d'une clé. Cela signifie que, pour vos automatisations, vous ne pouvez pas répertorier les informations du journal d'historique :

Export du journal d'exécution
Volet de sortie
Volet par bloc
Volet chronologique

Les éléments suivants sont conservés lors de la migration d'une clé :

Titre d'exécution d'automatisation
Journal d'erreurs d'automatisation

Procédez comme suit :

Dans la Console de gestion, accédez à Paramètres.
Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
Cliquez sur l'ellipse sur la carte du fournisseur de clé vers lequel vous souhaitez migrer.
Sélectionnez Migrer.
Dans la boîte de dialogue Changer le fournisseur de clé, cochez la case pour confirmer le remplacement de la clé actuelle et cliquez sur Changer le fournisseur de clé. Une fois la migration terminée, le fournisseur de clé migré deviendra actif.

Le statut de la migration de clé est mis à jour toutes les 15 minutes. Les migrations peuvent généralement prendre jusqu'à 24 heures, suivant le nombre d'artefacts du client tels que les notes, les applications, les automatisations, les alertes, les journaux d'événements, etc. Si votre migration prend plus de 24 heures, ouvrez un ticket auprès de Support Qlik.

Vous pouvez vérifier la modification du fournisseur de clé de chiffrement sur la page Événements de la Console de gestion. Pour plus d'informations sur les types d'événement de chiffrement associés à la migration, voir Événements du fournisseur de clé.

Validation du fournisseur de clé

À tout moment, vous pouvez valider un fournisseur de clé AWS. La validation effectue l'ensemble des contrôles d'intégrité et vérifie le respect des règles définies nécessaires à la migration du fournisseur de clé. La validation s'effectue également automatiquement avant le début de toute migration de fournisseur de clé.

Procédez comme suit :

Dans la Console de gestion, accédez à Paramètres.
Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
Cliquez sur l'ellipse sur la carte du fournisseur de clé.
Sélectionnez Valider.

Suppression d'un fournisseur de clé

Il est possible de supprimer tout fournisseur de clé, s'il est inactif, à l'exception du fournisseur de clé Qlik par défaut.

Procédez comme suit :

Dans la Console de gestion, accédez à Paramètres.
Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
Cliquez sur l'ellipse sur la carte du fournisseur de clé.
Sélectionnez Supprimer.

Événements du fournisseur de clé

Vous pouvez vérifier les modifications apportées au fournisseur de clé de chiffrement sur la page Événements de la Console de gestion. Le journal des événements capture les types d'événement de chiffrement suivants :

com.qlik.v1.encryption.keyprovider.created
com.qlik.v1.encryption.keyprovider.updated
com.qlik.v1.encryption.keyprovider.deleted
com.qlik.v1.encryption.keyprovider-migration.triggered
com.qlik.v1.encryption.keyprovider-migration.finished
com.qlik.v1.encryption.keyprovider-migration.progressed

Les événements dans AWS KMS sont consignés dans AWS CloudTrail sous Historique des événements. Recherchez les Noms d'événement : Encrypt, GenerateDatakey ou Decrypt.

Connecteurs et API de chiffrement Qlik

Outre la configuration du chiffrement du client via la Console de gestion, Qlik propose plusieurs méthodes supplémentaires pour gérer les cycles de vie des fournisseurs de clés.

Une API de chiffrement pour gérer les fournisseurs de clés à l'aide de programmes. Voir la documentation de référence sur l'API dans qlik.dev.
Un connecteur AWS KMS Qlik Application Automation qui vous permet de configurer les fournisseurs de clés dans AWS. Voir Comment démarrer avec le connecteur Amazon KMS.
Le connecteur Qlik Platform Operations et le connecteur QCS, disponibles sous forme d'option native Qlik sans code, pour gérer facilement les fournisseurs de clés en manipulant des blocs de connecteur dans un flux logique. Voir Vue d'ensemble du connecteur Qlik Platform Operations et Connecteurs Application Automation.

AWS Service de gestion des clés (KMS)

Qlik Cloud prend en charge l'utilisation d'une clé gérée par l'utilisateur (CMK) — Amazon l'appelle une clé AWS KMS ou une clé KMS — de AWS KMS pour chiffrer et déchiffrer les données de votre client.

Vous trouverez ci-dessous les étapes générales nécessaires pour configurer AWS de sorte à pouvoir l'utiliser avec CMK. Vous devez créer un compte AWS KMS et votre clé AWS KMS et configurer votre stratégie de clé de sorte à pouvoir l'utiliser avec Qlik Cloud CMK. Une fois la configuration dans AWS KMS terminée, vous pouvez modifier le fournisseur de clé dans votre client Qlik Cloud pour pouvoir utiliser une clé AWS KMS. Voir Création d'un nouveau fournisseur de clé dans le client.

Création d'un compte AWS

Accédez à Amazon Web Services et créez un compte.

Création d'une clé AWS KMS symétrique

Dans AWS, créez une clé via la Console de gestion AWS KMS ou via l'API AWS KMS à l'aide de la commande CreateKey. Lors de la configuration de votre clé multi-région, n'oubliez pas qu'il existe des limitations quant aux régions pouvant être sélectionnées comme régions de secours suivant la région de la clé primaire.

AWS Région—Sélectionnez la région dans laquelle votre clientQlik Cloud est hébergé. Les régions Qlik Cloud prises en charge et leurs codes de région de secours AWS associés sont répertoriés ci-dessous. Les clés multi-région sont prises en charge.

Nom de région principale	Code de région principale	Nom de région de secours	Code de région de secours
États-Unis Virginie du Nord	us-east-1	États-Unis Ohio	us-east-2
Europe Irlande	eu-west-1	Europe Paris	eu-west-3
Europe Francfort	eu-central-1	Europe Milan	eu-south-1
Europe Londres	eu-west-2	Europe Espagne	eu-south-2
Asie-Pacifique Singapour	ap-southeast-1	Asie-Pacifique Séoul	ap-northeast-2
Asie-Pacifique Sydney	ap-southeast-2	Asie-Pacifique Melbourne	ap-southeast-4
Japon (Tokyo)	ap-northeast-1	Japon (Osaka)	ap-northeast-3

Pour garantir la configuration correcte d'une clé multi-région à utiliser dans Qlik Cloud, vous devez créer la paire de clés conformément au graphique de régions de secours ci-dessus dans la console AWS KMS.

Les régions Qlik Cloud Government (us-gov-west-1 ou us-gov-east-1) n'ont pas besoin de la configuration d'une clé de copie pour enregistrer une clé CMK.

Type de clé—Symétrique. CMK ne prend pas en charge les clés asymétriques.
Utilisation de la clé—Chiffrement et déchiffrement

Les autres paramètres à configurer lors de la création de clé incluent :

Saisie d'un alias de clé
Définition des utilisateurs et rôles IAM (Identity And Access Management) qui peuvent administrer la clé
Sélection des utilisateurs et rôles IAM qui peuvent utiliser la clé dans les opérations de chiffrement
Configuration de la stratégie de clé

Pour plus d'informations sur la création d'une clé AWS KMS, voir Création de clés.

Configuration de la stratégie de clé AWS KMS

La stratégie de clé contrôle l'accès à la clé AWS KMS. Chaque clé comporte sa propre stratégie. La stratégie de clé doit inclure les informations et autorisations minimales requises pour pouvoir utiliser votre clé AWS KMS avec Qlik Cloud Clés gérées par le client. Lorsque vous créez une clé via la Console de gestion AWS KMS, AWS KMS crée une stratégie de clé par défaut avec des instructions basées sur vos sélections lors de la création de clé. Ces instructions déterminent les utilisateurs et rôles IAM de votre compte qui peuvent administrer la clé et utiliser la clé dans les opérations de chiffrement.

Vous devez éditer la stratégie de clé par défaut pour ajouter les autorisations et paramètres requis pour pouvoir utiliser la clé avec Qlik Cloud CMK. Par exemple :

Autoriser des comptes proxy AWS de Qlik et les rôles IAM requis à générer une clé de données et à chiffrer et déchiffrer des données via votre clé AWS KMS. Des rôles IAM distincts doivent être ajoutés à la stratégie de clé pour pouvoir utiliser des CMK avec Qlik Application Automation.
Identifier votre TenantID Qlik Cloud. L'ID de client est utilisé comme contexte de chiffrement. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires (AAD) pour prendre en charge le chiffrement authentifié. Cela signifie qu'un client ne peut pas déchiffrer les clés de chiffrement d'un autre client. Voir Contexte de chiffrement. Si vous utilisez la même clé KMS pour plusieurs clients vous devez inclure l'ID de client de chaque client dans la stratégie de clé.

Procédez comme suit :

Assurez-vous que le votre compte d'utilisateur AWS et vos utilisateurs et rôles IAM sont corrects et inclus dans la stratégie ; voir Exemple de stratégie de clé AWS KMS. Votre stratégie peut également inclure d'autres instructions.
Copiez l'extrait de code Qlik Cloud requis ci-dessous et ajoutez-le à votre stratégie de clé. Pour les abonnements Qlik Cloud Government, copiez l'extrait de code Qlik Cloud Government.

Extrait de code Qlik Cloud


               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

Extrait de code Qlik Cloud Government

[
    {
        "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:TenantId": [
                    "QLIK_TENANT_ID"
                ]
            }
        }
    },
    {
        "Sid": "Enable KMS Key policy for proxy account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": "kms:DescribeKey",
        "Resource": "*"
    }
]

Dans la chaîne EncryptionContext, remplacez QLIK_TENANT_ID par votre TenantIDQlik Cloud.

Pour trouver votre ID de client, dans le hub de votre client Qlik Cloud, sélectionnez votre profil d'utilisateur, puis À propos de. Sous ID du client, sélectionnez et copiez la chaîne d'ID. N'utilisez pas le Nom d'affichage ni le Nom d'hôte alias dans la Console de gestion sous Paramètres > Client.

Enregistrez la stratégie de clé.

Pour plus d'informations sur les stratégies de clé AWS KMS, voir Stratégies de clé dans KMS.

Exemple de stratégie de clé AWS KMS

L'exemple de stratégie de clé suivant inclut les conditions de base pour une utilisation avec Qlik Cloud Clés gérées par le client.

Compte utilisateur et utilisateurs et rôles IAM qui peuvent administrer et utiliser la clé.
Comptes Qlik et rôles IAM autorisés à utiliser la clé pour les opérations de chiffrement : Encrypt, Decrypt et GenerateDataKey.
Comptes Qlik et rôles IAM Automatisation des applications autorisés à utiliser la clé avec Automatisation des applications.
Contexte de chiffrement qui identifie votre numéro d'identification de client Qlik Cloud (TenantID).

La section sélectionnée (B, C et D) dans l'exemple de stratégie identifie les paramètres requis par Qlik Cloud Clés gérées par le client.

ARN de clé et ARN d'alias KMS

Le Nom de ressource Amazon (ARN) est un identificateur unique complet pour la clé KMS. Il inclut le contexte de chiffrement (TenantID), le compte AWS, la région et l'ID de clé. L'ARN est créé lorsque vous créez une clé AWS KMS dans AWS Service de gestion des clés. Dans Qlik Cloud, lorsque vous modifiez le fournisseur de clé principal dans la Console de gestion pour pouvoir utiliser votre clé AWS KMS, vous devez fournir l'ARN de clé ou l'ARN d'alias pour connecter le service de chiffrement Qlik à votre clé AWS KMS. Voir Création d'un nouveau fournisseur de clé dans le client.

ARN d'alias et ARN de clé AWS KMS — A) ARN de clé AWS KMS, et B) ARN d'alias dans AWS Service de gestion des clés

L'ARN suit le format suivant :

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Voici un exemple d'ARN de clé valide :

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

L'ARN d'alias suit le format suivant :

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Voici un exemple d'ARN d'alias valide où CMK-Example-Alias est le nom d'alias :

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Pour plus d'informations sur la localisation de l'ARN de clé ou de l'ARN d'alias de votre clé KMS, voir Recherche de l'ID de clé et de l'ARN de clé ou Recherche du nom d'alias et de l'ARN d'alias.

Clé multi-région AWS KMS Multi-Region pour récupération d'urgence (DR)

Les clés multi-régions vous permettent de continuer à accéder aux données chiffrées et à les traiter, même lorsque la région principale connaît une panne. En créant une copie de la clé, vous pouvez déchiffrer des données dans la région de secours, et toutes les données chiffrées dans la région de secours peuvent ensuite être déchiffrées dans la région principale, une fois celle-ci restaurée.

Procédez comme suit, pour créer une clé multi-région dans AWS KMS :

Dans la Console de gestion AWS, cliquez sur Créer une clé.