Configuration du chiffrement d'un client
Configurez le chiffrement du client dans Qlik Cloud via les clés AWS Key Management Service (KMS) de votre entreprise.
Les administrateurs de clients peuvent configurer les paramètres de chiffrement de client. Par défaut, un nouveau client utilise le KMS interne Qlik pour chiffrer le contenu dans le client. Si votre entreprise souhaite utiliser sa propre clé gérée par l'utilisateur (CMK) pour chiffrer les données du client, vous pouvez configurer le chiffrement du client de sorte à utiliser une CMK d'un fournisseur de clé supporté.
Qlik Cloud supporte l'utilisation d'une CMK provenant de Amazon Web Services (AWS) Service de gestion des clés (KMS). Les utilisateurs peuvent décider d'utiliser la même clé pour plusieurs clients, via la définition de stratégie de clé AWS KMS, même si cela n'est pas recommandé et ne figure pas parmi les bonnes pratiques. L'intégration CMK et AWS KMS gérera le chiffrement par client via le contexte de chiffrement d'API AWS KMS, mais vous devez configurer le chiffrement pour chaque client individuellement. Les utilisateurs ou partenaires qui activent des clients pour une utilisation par plusieurs groupes d'utilisateurs finaux doivent implémenter des clés individuelles par groupe d'utilisateurs finaux.
Conditions préalables requises CMK
Vous devez disposer d'un compte AWS et d'une clé AWS KMS pour pouvoir utiliser CMK avec Qlik Cloud. Pour plus d'informations sur la configuration d'un compte AWS KMS et la création d'une clé AWS KMS, voir AWS Service de gestion des clés (KMS).
Une fois la configuration dans AWS terminée, vous pouvez modifier le fournisseur de clé dans le client pour pouvoir utiliser votre clé AWS KMS.
Création d'un nouveau fournisseur de clé dans le client
Avant de créer le fournisseur de clé, vérifiez que votre clé et votre stratégie AWS KMS ont été correctement configurées dans AWS KMS. Consultez AWS Service de gestion des clés (KMS). Qlik Cloud supporte les fournisseurs de clé suivants :
-
KMS interne Qlik (il s'agit du KMS par défaut utilisant des clés gérées par Qlik)
-
AWS KMS
Procédez comme suit :
-
Dans le centre d'activités Administration, accédez à Paramètres.
-
Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
-
Cliquez sur la carte Créer.
-
Saisissez les paramètres requis par le fournisseur de clé.
- Fournisseur de clé principal : le fournisseur de clé principal AWS KMS est la seule option disponible.
- ARN de la clé du système KMS : ARN de clé ou ARN d'alias KMS. L'ARN de clé correspond au Nom de ressource Amazon (ARN) d'une clé KMS. L'ARN d'alias est le Nom de ressource Amazon (ARN) de l'alias AWS KMS (le nom convivial donné à la clé AWS KMS lors de sa création). Pour plus d'informations, consultez Événements du fournisseur de clé. Pour des informations sur la recherche de l'ARN de clé ou l'ARN d'alias d'une clé KMS, voir Recherche de l'ID de clé et de l'ARN de clé ou Recherche du nom d'alias et de l'ARN d'alias.
- Titre : titre permettant d'identifier le nouveau fournisseur de clé.
- Description : facultative
-
Sélectionnez si vous souhaitez ajouter la configuration du fournisseur de clé et l'enregistrer à des fins d'utilisation ultérieure ou commencer la migration de clé maintenant.
Modification du fournisseur de clé dans le client
Vous pouvez remplacer le fournisseur de clé Qlik KMS par AWS KMS, AWS KMS par un autre AWS KMS, ou revenir à Qlik KMS depuis AWS KMS. Lors du processus de migration de clé, le client continuera à fonctionner comme d'habitude, sans impact pour les utilisateurs.
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Paramètres.
- Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
- Cliquez sur l'ellipse sur la carte du fournisseur de clé vers lequel vous souhaitez migrer.
- Sélectionnez Migrer.
- Dans la boîte de dialogue Changer le fournisseur de clé, cochez la case pour confirmer le remplacement de la clé actuelle et cliquez sur Changer le fournisseur de clé. Une fois la migration terminée, le fournisseur de clé migré deviendra actif.
Validation du fournisseur de clé
À tout moment, vous pouvez valider un fournisseur de clé AWS. La validation effectue l'ensemble des contrôles d'intégrité et vérifie le respect des règles définies nécessaires à la migration du fournisseur de clé. La validation s'effectue également automatiquement avant le début de toute migration de fournisseur de clé.
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Paramètres.
- Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
- Cliquez sur l'ellipse sur la carte du fournisseur de clé.
- Sélectionnez Valider.
Suppression d'un fournisseur de clé
Il est possible de supprimer tout fournisseur de clé, s'il est inactif, à l'exception du fournisseur de clé Qlik par défaut.
Procédez comme suit :
- Dans le centre d'activités Administration, accédez à Paramètres.
- Sous Chiffrement du client, cliquez sur Gérer le fournisseur de clé.
- Cliquez sur l'ellipse sur la carte du fournisseur de clé.
- Sélectionnez Supprimer.
Événements du fournisseur de clé
Vous pouvez vérifier les modifications du fournisseur de clé de chiffrement sur la page Événements du centre d'activités Administration. Le journal des événements capture les types d'événement de chiffrement suivants :
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Les événements dans AWS KMS sont consignés dans AWS CloudTrail sous Historique des événements. Recherchez les Noms d'événement : Encrypt, GenerateDatakey ou Decrypt.
Connecteurs et API de chiffrement Qlik
Outre la configuration du chiffrement du client via le centre d'activités Administration, Qlik propose plusieurs méthodes supplémentaires pour gérer les cycles de vie des fournisseurs de clés.
- Une API de chiffrement pour gérer les fournisseurs de clés à l'aide de programmes. Voir la documentation de référence sur l'API dans qlik.dev.
- Un connecteur AWS KMS Qlik Application Automation qui vous permet de configurer les fournisseurs de clés dans AWS. Voir Comment démarrer avec le connecteur Amazon KMS.
- Le connecteur Qlik Platform Operations et le connecteur QCS, disponibles sous forme d'option native Qlik sans code, pour gérer facilement les fournisseurs de clés en manipulant des blocs de connecteur dans un flux logique. Voir Vue d'ensemble du connecteur Qlik Platform Operations et Connecteurs Application Automation.
AWS Service de gestion des clés (KMS)
Qlik Cloud supporte l'utilisation d'une clé gérée par l'utilisateur (CMK) — Amazon l'appelle une clé AWS KMS ou une clé KMS — de AWS KMS pour chiffrer et déchiffrer les données de votre client.
Vous trouverez ci-dessous les étapes générales nécessaires pour configurer AWS de sorte à pouvoir l'utiliser avec CMK. Vous devez créer un compte AWS KMS et votre clé AWS KMS et configurer votre stratégie de clé de sorte à pouvoir l'utiliser avec Qlik Cloud CMK. Une fois la configuration dans AWS KMS terminée, vous pouvez modifier le fournisseur de clé dans votre client Qlik Cloud pour pouvoir utiliser une clé AWS KMS. Consultez Création d'un nouveau fournisseur de clé dans le client.
Création d'un compte AWS
Accédez à Amazon Web Services et créez un compte.
Création d'une clé AWS KMS symétrique
Dans AWS, créez une clé via la Console de gestion AWS KMS ou via l'API AWS KMS à l'aide de la commande CreateKey. Lors de la configuration de votre clé multi-région, n'oubliez pas qu'il existe des limitations quant aux régions pouvant être sélectionnées comme régions de secours suivant la région de la clé primaire.
-
AWS Région—Sélectionnez la région dans laquelle votre clientQlik Cloud est hébergé. Les régions Qlik Cloud supportées et leurs codes de région de secours AWS associés sont répertoriés ci-dessous. Les clés multirégions sont supportées.
Nom de région principale Code de région principale Nom de région de secours Code de région de secours Est des États-Unis (Virginie du Nord) us-east-1 Est des États-Unis (Ohio) us-east-2 Europe (Irlande) eu-west-1 Europe (Paris) eu-west-3 Europe (Londres) eu-west-2 Europe (Espagne) eu-south-2 Europe (Francfort) eu-central-1 Europe (Milan) eu-south-1 Europe (Suède) eu-north-1 N/A N/A Asie-Pacifique (Singapour) ap-southeast-1 Asie-Pacifique (Séoul) ap-northeast-2 Asie-Pacifique (Sydney) ap-southeast-2 Asie-Pacifique (Melbourne) ap-southeast-4 Japon (Tokyo) ap-northeast-1 Japon (Osaka) ap-northeast-3 Inde (Mumbai) ap-south-1 Inde (Hyderabad) ap-south-2 La région Suède eu-north-1 n'a pas de région de secours en raison de sa politique de transit de données spécifique.
Note AvertissementPour garantir la configuration correcte d'une clé multi-région à utiliser dans Qlik Cloud, vous devez créer la paire de clés conformément au graphique de régions de secours ci-dessus dans la console AWS KMS.Note Qlik Cloud GovernmentLes régions Qlik Cloud Government (us-gov-west-1 ou us-gov-east-1) n'ont pas besoin de la configuration d'une clé de copie pour enregistrer une clé CMK. -
Type de clé—Symétrique. CMK ne prend pas en charge les clés asymétriques.
-
Utilisation de la clé—Chiffrement et déchiffrement
Les autres paramètres à configurer lors de la création de clé incluent :
-
Saisie d'un alias de clé
-
Définition des utilisateurs et rôles IAM (Identity And Access Management) qui peuvent administrer la clé
-
Sélection des utilisateurs et rôles IAM qui peuvent utiliser la clé dans les opérations de chiffrement
-
Configuration de la stratégie de clé
Pour plus d'informations sur la création d'une clé AWS KMS, voir Création de clés.
Configuration de la stratégie de clé AWS KMS
La stratégie de clé contrôle l'accès à la clé AWS KMS. Chaque clé comporte sa propre stratégie. La stratégie de clé doit inclure les informations et autorisations minimales requises pour pouvoir utiliser votre clé AWS KMS avec Qlik Cloud Clés gérées par le client. Lorsque vous créez une clé via la Console de gestion AWS KMS, AWS KMS crée une stratégie de clé par défaut avec des instructions basées sur vos sélections lors de la création de clé. Ces instructions déterminent les utilisateurs et rôles IAM de votre compte qui peuvent administrer la clé et utiliser la clé dans les opérations de chiffrement.
Vous devez Modifier la stratégie de clé par défaut pour ajouter les autorisations et paramètres requis pour pouvoir utiliser la clé avec Qlik Cloud CMK. Par exemple :
-
Autoriser des comptes proxy AWS de Qlik et les rôles IAM requis à générer une clé de données et à chiffrer et déchiffrer des données via votre clé AWS KMS. Des rôles IAM distincts doivent être ajoutés à la stratégie de clé pour pouvoir utiliser des CMK avec Qlik Application Automation.
-
Identifier votre TenantID Qlik Cloud. L'ID de client est utilisé comme contexte de chiffrement. AWS KMS utilise le contexte de chiffrement comme données authentifiées supplémentaires (AAD) pour prendre en charge le chiffrement authentifié. Cela signifie qu'un client ne peut pas déchiffrer les clés de chiffrement d'un autre client. Voir Contexte de chiffrement. Si vous utilisez la même clé KMS pour plusieurs clients vous devez inclure l'ID de client de chaque client dans la stratégie de clé.
Procédez comme suit :
- Assurez-vous que le votre compte d'utilisateur AWS et vos utilisateurs et rôles IAM sont corrects et inclus dans la stratégie ; voir Exemple de stratégie de clé AWS KMS. Votre stratégie peut également inclure d'autres instructions.
-
Copiez l'extrait de code Qlik Cloud requis ci-dessous et ajoutez-le à votre stratégie de clé. Pour les abonnements Qlik Cloud Government, copiez l'extrait de code Qlik Cloud Government.
-
Dans la chaîne EncryptionContext, remplacez QLIK_TENANT_ID par votre TenantIDQlik Cloud.
- Enregistrez la stratégie de clé.
Extrait de code Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Extrait de code Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Pour plus d'informations sur les stratégies de clé AWS KMS, voir Stratégies de clé dans KMS.
Exemple de stratégie de clé AWS KMS
L'exemple de stratégie de clé suivant inclut les conditions de base pour une utilisation avec Qlik Cloud Clés gérées par le client.
-
Compte utilisateur et utilisateurs et rôles IAM qui peuvent administrer et utiliser la clé.
-
Comptes Qlik et rôles IAM autorisés à utiliser la clé pour les opérations de chiffrement : Encrypt, Decrypt et GenerateDataKey.
-
Comptes Qlik et rôles IAM Automatisation des applications autorisés à utiliser la clé avec Automatisation des applications.
-
Contexte de chiffrement qui identifie votre numéro d'identification de client Qlik Cloud (TenantID).
La section sélectionnée (B, C et D) dans l'exemple de stratégie identifie les paramètres requis par Qlik Cloud Clés gérées par le client.
ARN de clé et ARN d'alias KMS
Le Nom de ressource Amazon (ARN) est un identificateur unique complet pour la clé KMS. Il inclut le contexte de chiffrement (TenantID), le compte AWS, la région et l'ID de clé. L'ARN est créé lorsque vous créez une clé AWS KMS dans AWS Service de gestion des clés. Dans Qlik Cloud, lorsque vous modifiez le fournisseur de clé principal dans le centre d'activités Administration pour pouvoir utiliser votre clé AWS KMS, vous devez fournir l'ARN de clé ou l'ARN d'alias pour connecter le service de chiffrement Qlik à votre clé AWS KMS. Consultez Création d'un nouveau fournisseur de clé dans le client.
L'ARN suit le format suivant :
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Voici un exemple d'ARN de clé valide :
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
L'ARN d'alias suit le format suivant :
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Voici un exemple d'ARN d'alias valide où CMK-Example-Alias est le nom d'alias :
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Pour plus d'informations sur la localisation de l'ARN de clé ou de l'ARN d'alias de votre clé KMS, voir Recherche de l'ID de clé et de l'ARN de clé ou Recherche du nom d'alias et de l'ARN d'alias.
Clé multi-région AWS KMS Multi-Region pour récupération d'urgence (DR)
Les clés multi-régions vous permettent de continuer à accéder aux données chiffrées et à les traiter, même lorsque la région principale connaît une panne. En créant une copie de la clé, vous pouvez déchiffrer des données dans la région de secours, et toutes les données chiffrées dans la région de secours peuvent ensuite être déchiffrées dans la région principale, une fois celle-ci restaurée.
Procédez comme suit, pour créer une clé multi-région dans AWS KMS :
-
Dans la Console de gestion AWS, cliquez sur Créer une clé.
-
À l'étape 1, vous allez définir la configuration de votre clé. Dans la section Options avancées, sélectionnez KMS pour la Key material origin (Origine matérielle de la clé), et, dans la section Regionality (Régionalité), sélectionnez Clé multi-région. Cliquez sur Suivant pour continuer.
-
À l'étape 2, vous allez ajouter un Alias à la clé. Après avoir ajouté un nom, vous pouvez décider d'ajouter une description et des balises. Cliquez sur Suivant pour continuer.
-
À l'étape 3, vous pouvez sélectionner les utilisateurs et rôles IAM qui peuvent administrer la clé. Cliquez sur Suivant pour continuer.
-
À l'étape 4, vous pouvez sélectionner les utilisateurs et rôles IAM qui peuvent utiliser la clé KMS. Cliquez sur Suivant pour continuer.
-
À l'étape 5, vous allez vérifier les détails de la configuration. Vérifiez que la section Regionality (Régionalité) est définie sur Clé multi-région.
La stratégie de la clé inclut l'ensemble des conditions à remplir pour pouvoir utiliser la clé multi-région avec Qlik Cloud Clés gérées par le client, y compris l'action KMS DescribeKey. Pour plus d'informations sur DescribeKey, voir AWS KMS DescribeKey.