Vai al contenuto principale Skip to complementary content

Configurazione della crittografia tenant

Gli amministratori tenant possono configurare le impostazioni di crittografia tenant. Per impostazione predefinita, un nuovo tenant utilizza Qlik Internal KMS per crittografare il contenuto del tenant. Se l'organizzazione desidera utilizzare la propria chiave gestita dal cliente (CMK) per crittografare i dati del tenant, è possibile configurare la crittografia del tenant in modo che utilizzi una CMK di un provider chiavi supportato.

Qlik Cloud supporta l'uso di CMK da Amazon Web Services (AWS) Key Management Service (KMS). I clienti possono scegliere di utilizzare la stessa chiave per più tenant, attraverso la definizione dei criteri della chiave KMS AWS, anche se questa non è una pratica consigliata. L'integrazione CMK e KMS AWS manterrà la crittografia per tenant utilizzando il contesto di crittografia dell'API KMS AWS, ma è necessario configurare la crittografia per ogni tenant individualmente. I clienti o i partner che abilitano i tenant all'uso da parte di più organizzazioni di utenti finali sono tenuti a implementare chiavi individuali per ciascuna organizzazione di utenti finali.

Nota di avvisoÈ possibile usare CMK solo con i tenant (nuovi o esistenti) vuoti. Quando si imposta la crittografia del tenant, il tenant non deve contenere dati, app o contenuti. Tuttavia, è possibile impostare IdP prima di configurare la crittografia nel tenant. Si consiglia vivamente di configurare le impostazioni di crittografia subito dopo la creazione del tenant e prima di qualsiasi utilizzo. Una volta modificato il provider di chiavi per utilizzare la propria CMK, tutti i dati a riposo nel tenant saranno crittografati e decrittografati utilizzando queste chiavi. Non è possibile tornare a utilizzare le chiavi Qlik Internal KMS per la crittografia.

Prerequisiti CMK

È necessario disporre di un account AWS e di una chiave KMS AWS per utilizzare CMK con Qlik Cloud. Per ulteriori informazioni sulla configurazione di un account KMS AWS e sulla creazione di una chiave KMS AWS, vedere AWS Key Management Service (KMS).

Una volta completata la configurazione in AWS, è possibile cambiare il provider chiavi nel tenant per utilizzare la propria chiave KMS AWS.

Modifica del provider chiavi nel tenant

Prima di cambiare il provider di chiavi, verificare che la chiave KMS AWS e il criterio siano stati configurati correttamente in KMS AWS. Vedere AWS Key Management Service (KMS). Qlik Cloud supporta i seguenti provider di chiavi:

  • Qlik Internal KMS (rappresenta il KMS predefinito che utilizza chiavi gestite da Qlik)

  • KMS AWS

Nota di avvisoAssicurarsi di utilizzare un tenant vuoto, non utilizzato, che non contenga dati, app o contenuti, ad eccezione delle impostazioni IdP.
  1. In Console di gestione, sotto Configurazione > Impostazioni > Crittografia tenant, selezionare Cambia provider chiavi.

  2. Selezionare il provider chiavi principale dall'elenco, ad esempio KMS AWS.

    Selezionare un provider chiavi principale

  3. Immettere i parametri richiesti dal provider chiavi, quindi fare clic su Applica. Ad esempio, per KMS AWS, è necessario inserire la chiave ARN KMS o l'alias ARN. La chiave ARN rappresenta l'Amazon Resource Name (ARN) di una chiave KMS. L'alias ARN è l'Amazon Resource Name (ARN) dell'alias di AWS KMS (il nome descrittivo dato alla chiave KMS AWS al momento della sua creazione). Per ulteriori informazioni, vedere ARN chiave KMS e ARN alias.

    Configura ARN chiave KMS

     

    Nota di suggerimentoPer informazioni su come trovare l'ARN della chiave o l'ARN dell'alias di una chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.
  4. Confermare che si desidera modificare il provider di chiavi, quindi fare clic su Cambia.


    Confermare il passaggio a un nuovo provider di chiavi

  5. Fare clic su Fine per completare la procedura.

Nota di avvisoUna volta che il tenant è configurato per CMK, se si disabilita o si elimina la propria CMK, i dati del tenant non possono essere decifrati utilizzando queste chiavi. Per una chiave disattivata, se la chiave viene riattivata, l'accesso ai dati verrà ristabilito. Nel caso di una chiave eliminata, l'accesso ai dati sarà definitivamente perso. Per ulteriori informazioni, vedere Gestione delle chiavi in KMS AWS.
Nota informatica
  • È possibile verificare la modifica del provider della chiave di crittografia nella pagina Eventi in Console di gestione. Il registro eventi acquisisce il seguente tipo di evento di crittografia: com.qlik.v1.encryption.keyprovider.created.
  • Gli eventi in KMS AWS vengono registrati in AWS CloudTrail sotto la voce Cronologia eventi. Cercare i nomi degli eventi: GenerateDatakey o Decrypt.

AWS Key Management Service (KMS)

Qlik Cloud supporta l'utilizzo di una chiave gestita dal cliente (CMK)—Amazon vi fa riferimento come chiave KMS AWS o chiave KMS –da KMS AWS per criptare e decrittare i propri dati tenant.

Di seguito sono riportati i passaggi generali necessari per l'impostazione di AWS per l'utilizzo con CMK. È necessario creare un account KMS AWS, creare la propria chiave KMS AWS e configurare il criterio della chiave per l'uso con Qlik Cloud CMK. Una volta completata la configurazione in KMS AWS, è possibile cambiare il provider chiavi nel tenant Qlik Cloud per utilizzare una chiave KMS AWS. Vedere Modifica del provider chiavi nel tenant.

Creare un account AWS

Passare a Amazon Web Services e creare un account.

Nota informaticaL'account KMS AWS deve trovarsi nella stessa regione del tenant Qlik Cloud.

Creare una chiave KMS AWS simmetrica

In AWS, creare una chiave usando la Console di gestione KMS AWS o attraverso l'API KMS AWS usando il comando CreateKey. Quando si crea la chiave, configurare queste impostazioni come segue:

  • AWS Regione—Selezionare la regione in cui si desidera ospitare il proprio tenant Qlik Cloud. Le regioni Qlik Cloud supportate e i relativi nomi regione AWS sono elencati di seguito. Attualmente sono supportati solo le chiavi di una singola regione.

    • Americhe (USA)—us-east-1

    • Europa (Irlanda)—eu-west-1

    • Asia-Pacifico 1 (Singapore)—ap-southeast-1

    • Asia-Pacifico 2 (Australia)—ap-southeast-2

    • GovCloud (Stati Uniti)—us-gov-west-1

    • Nota su Qlik Sense Enterprise SaaS GovernmentLa regione GovCloud è conforme a FIPS. L'utilizzo di chiavi gestite dai clienti in AWS GovCloud è quindi conforme a FIPS per impostazione predefinita.
  • Tipo di chiave—Simmetrica. CMK non supporta le chiavi asimmetriche.

  • Utilizzo chiavi—Criptare e decrittare

Altre impostazioni durante la creazione della chiave includono:

  • Inserimento di un alias chiave

  • Definizione degli utenti e dei ruoli IAM in grado di amministrare la chiave

  • Selezione degli utenti e dei ruoli IAM che possono utilizzare la chiave nelle operazioni di crittografia

  • Configurazione del criterio delle chiavi.

Per ulteriori informazioni sulla creazione di una chiave AWS KMS, vedere Creazione di chiavi.

Configurare il criterio chiave KMS AWS

Il criterio della chiave controlla l'accesso alla chiave AWS KMS. Ogni chiave ha il proprio criterio. Il criterio della chiave deve includere le informazioni e le autorizzazioni minime necessarie per utilizzare la chiave KMS AWS con Qlik Cloud Chiavi gestite dai clienti. Quando si crea una chiave tramite la Console di gestione KMS AWS, KMS AWS crea un criterio chiave predefinito con istruzioni basate sulle selezioni effettuate durante la creazione della chiave. Queste istruzioni determinano gli utenti e i ruoli IAM dell'account che possono amministrare la chiave e utilizzarla nelle operazioni di crittografia.

È necessario modificare il criterio della chiave predefinita per aggiungere le autorizzazioni e i parametri necessari per utilizzare la chiave con Qlik Cloud CMK. Tra cui:

  • Consentire agli account proxy Qlik AWS e ai ruoli IAM richiesti di generare una chiave dati, crittografare e decriptare i dati utilizzando la chiave KMS AWS. È necessario aggiungere ruoli IAM separati al criterio della chiave per utilizzare CMK con Qlik Application Automation.

  • Identificazione del proprio ID tenant Qlik Cloud. L'ID tenant è utilizzato come contesto di crittografia. KMS AWS utilizza il contesto di crittografia come dati autenticati aggiuntivi (AAD) per supportare la crittografia autenticata. Ciò significa che un tenant non può decifrare le chiavi cifrate di un altro tenant. Vedere Contesto di crittografia. Se si utilizza la stessa chiave KMS per più tenant, è necessario includere l'ID tenant per ogni tenant nel criterio della chiave.

  1. Assicurarsi che l'account cliente AWS e gli utenti e ruoli IAM siano corretti e inclusi nel criterio, vedere Esempio di criterio sulle chiavi KMS AWS. Il criterio potrebbe includere anche altre dichiarazioni.
  2. Copiare lo snippet di codice Qlik Cloud richiesto qui sotto e aggiungerlo al proprio criterio sulle chiavi. Per le sottoscrizioni Qlik Sense Enterprise SaaS - Government (US), copiare lo snippet di codice Qlik Sense Enterprise SaaS - Government (US).

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    
                    
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    Nota su Qlik Sense Enterprise SaaS GovernmentQlik Sense Enterprise SaaS - Government (US) non supporta Qlik Application Automation. Tuttavia, lo snippet di codice del criterio chiave per Qlik Sense Enterprise SaaS - Government (US) include l'ARN per abilitare gli account proxy e i ruoli IAM per il potenziale supporto futuro di Automazione applicazioni.
  4. Nella stringa EncryptionContext, sostituire QLIK_TENANT_ID con il proprio ID tenant Qlik Cloud.

  5. Nota di suggerimentoPer trovare il proprio ID tenant, dall'hub del proprio tenant Qlik Cloud, selezionare il proprio profilo utente, quindi selezionare Informazioni. Sotto ID Tenant, selezionare e copiare la stringa ID. Non utilizzare il Nome visualizzato o il Nome host alias in Console di gestione sotto Impostazioni > Tenant.
  6. Salvare il criterio sulle chiavi.

Per ulteriori informazioni riguardo ai criteri sulle chiavi KMS AWS, vedere Criteri sulle chiavi in KMS.

Esempio di criterio sulle chiavi KMS AWS

Il seguente esempio di criterio sulle chiavi include i requisiti di base per l'uso con Qlik Cloud Chiavi gestite dai clienti.

  1. L'account cliente e gli utenti e ruoli IAM che possono amministrare e utilizzare la chiave.

  2. Gli account Qlik e i ruoli IAM autorizzati a utilizzare la chiave per le operazioni crittografiche: Encrypt, Decrypt e GenerateDataKey.

  3. Gli account Qlik e i ruoli IAM Automazione applicazioni ai quali è consentito l'uso della chiave con Automazione applicazioni.

  4. Il contesto di crittografia che identifica il proprio numero di identificazione tenant Qlik Cloud (TenantID).

La sezione selezionata (B, C e D) nell'esempio di criterio identifica i parametri richiesti da Qlik Cloud Chiavi gestite dai clienti.

Esempio di criterio sulle chiavi KMS AWS

Esempio di criterio sulle chiavi

ARN chiave KMS e ARN alias

Il nome risorsa Amazon (ARN) rappresenta un identificatore univoco e completo per la chiave KMS. Include il contesto di crittografia (TenantID), l'account AWS, la regione e l'ID della chiave. L'ARN viene creato quando si crea una chiave KMS AWS in AWS Key Management Service. In Qlik Cloud, quando si cambia il provider della chiave principale in Console di gestione per utilizzare la propria chiave KMS AWS, è necessario fornire l'ARN della chiave o l'ARN dell'alias per collegare il servizio di crittografia Qlik alla propria chiave KMS AWS. Vedere Modifica del provider chiavi nel tenant.

A) ARN chiave KMS AWS, e B) Alias ARN in AWS Key Management Service

ARN chiave AWS KMS e ARN alias

L'ARN utilizza il formato:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Di seguito è riportato un esempio di ARN chiave valido:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

L'ARN alias utilizza il formato:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Di seguito è riportato un esempio di alias ARN valido, in cui CMK-Example-Alias è il nome dell'alias:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Per maggiori informazioni su come trovare l'ARN della chiave o l'ARN dell'alias della propria chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.