Configurazione della crittografia tenant
Configurare la crittografia tenant in Qlik Cloud utilizzando le chiavi AWS Key Management Service (KMS) della propria organizzazione.
Gli amministratori tenant possono configurare le impostazioni di crittografia del tenant. Per impostazione predefinita, un nuovo tenant utilizza Qlik Internal KMS per crittografare il contenuto del tenant. Se l'organizzazione desidera utilizzare la propria chiave gestita dal cliente (CMK) per crittografare i dati del tenant, è possibile configurare la crittografia del tenant in modo che utilizzi una CMK di un provider di chiavi supportato.
Qlik Cloud supporta l'uso di CMK da Amazon Web Services (AWS) Servizio di gestione chiavi (KMS). I clienti possono scegliere di utilizzare la stessa chiave per più tenant, attraverso la definizione dei criteri della chiave KMS AWS, anche se questa non è una pratica consigliata. L'integrazione CMK e KMS AWS manterrà la crittografia per tenant utilizzando il contesto di crittografia dell'API KMS AWS, ma è necessario configurare la crittografia per ogni tenant individualmente. I clienti o i partner che abilitano i tenant all'uso da parte di più organizzazioni di utenti finali sono tenuti a implementare chiavi individuali per ciascuna organizzazione di utenti finali.
Prerequisiti CMK
È necessario disporre di un account AWS e di una chiave KMS AWS per utilizzare CMK con Qlik Cloud. Per ulteriori informazioni sulla configurazione di un account KMS AWS e sulla creazione di una chiave KMS AWS, vedere AWS Servizio di gestione chiavi (KMS).
Dopo aver completato la configurazione in AWS, è possibile cambiare il provider di chiavi nel tenant per utilizzare la propria chiave KMS AWS.
Creare un nuovo provider di chiavi nel tenant
Prima di creare il provider di chiavi, verificare che la chiave KMS AWS e il criterio siano stati configurati correttamente in KMS AWS. Vedere AWS Servizio di gestione chiavi (KMS). Qlik Cloud supporta i seguenti provider di chiavi:
-
Qlik Internal KMS (rappresenta il KMS predefinito che utilizza chiavi gestite da Qlik)
-
KMS AWS
Procedere come indicato di seguito:
-
Nel centro attività Amministrazione, andare a Impostazioni.
-
In Crittografia tenant, fare clic su Gestisci provider di chiavi.
-
Fare clic sulla scheda Crea nuovo.
-
Immettere i parametri richiesti dal provider di chiavi.
- Provider di chiavi principale: il provider di chiavi principale KMS AWS è l'unica opzione disponibile.
- ARN chiave KMS: l'ARN chiave KMS o l'ARN alias. La chiave ARN rappresenta l'Amazon Resource Name (ARN) di una chiave KMS. L'alias ARN è l'Amazon Resource Name (ARN) dell'alias di AWS KMS (il nome descrittivo dato alla chiave KMS AWS al momento della sua creazione). Per maggiori informazioni, consulta Eventi provider di chiavi. Per informazioni su come trovare l'ARN della chiave o l'ARN dell'alias di una chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.
- Titolo: un titolo per identificare il nuovo provider di chiavi.
- Descrizione: opzionale
-
Scegliere se si desidera aggiungere la configurazione del provider di chiavi e salvarla per l'utilizzo futuro o avviare subito la migrazione delle chiavi.
Modifica del provider di chiavi nel tenant
È possibile modificare il provider di chiavi dal KMS Qlik in KMS AWS, il KMS AWS in un altro KMS AWS, oppure ripristinare il KMS Qlik dal KMS AWS. Durante il processo di migrazione delle chiavi, il tenant continuerà a funzionare come di consueto, senza alcun impatto per gli utenti.
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Impostazioni.
- In Crittografia tenant, fare clic su Gestisci provider di chiavi.
- Fare clic sull'ellissi sulla scheda del provider a cui si desidera migrare.
- Selezionare Migra.
- Nella finestra di dialogo Cambia provider chiave, selezionare la casella di selezione per confermare la sostituzione della chiave corrente e fare clic su Cambia provider chiave. Una volta completata la migrazione, il provider della chiave migrata diventerà attivo.
Convalida provider di chiavi
In qualsiasi momento, è possibile convalidare un provider di chiavi AWS. La convalida completa tutti i controlli di integrità e verifica la conformità alle regole definite richieste per la migrazione del provider di chiavi. La convalida viene anche eseguita automaticamente prima dell'inizio della migrazione di qualsiasi provider di chiavi.
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Impostazioni.
- In Crittografia tenant, fare clic su Gestisci provider di chiavi.
- Fare clic sull'ellissi sulla scheda del provider di chiavi.
- Selezionare Convalida.
Elimina un provider di chiavi
Qualsiasi provider di chiavi, con l'eccezione del provider di chiavi Qlik, può essere eliminato se non è attivo.
Procedere come indicato di seguito:
- Nel centro attività Amministrazione, andare a Impostazioni.
- In Crittografia tenant, fare clic su Gestisci provider di chiavi.
- Fare clic sull'ellissi sulla scheda del provider di chiavi.
- Selezionare Elimina.
Eventi provider di chiavi
È possibile verificare la modifica del provider della chiave di crittografia nella pagina Eventi nel centro attività Amministrazione. Il registro degli eventi acquisisce i seguenti tipi di evento di crittografia:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Gli eventi in KMS AWS vengono registrati in AWS CloudTrail sotto la voce Cronologia eventi. Ricercare per Nomi evento: Crittografia, GenerateDatakey o Decrittografia.
API crittografia Qlik e connettori
Oltre alla configurazione della crittografia del tenant tramite il centro di attività Amministrazione, Qlik offre molti modi per gestire i cicli di vita del provider di chiavi.
- Una crittografia API che consente di gestire in modo programmatico i provider di chiavi. Consultare la documentazione di riferimento relativo alle API su qlik.dev.
- Un connettore Qlik Application Automation KMS AWS che consente di configurare i provider di chiavi in AWS . Vedere la Guida introduttiva al connettore Amazon KMS
- Connettore Qlik per le operazioni sulle piattaforme e il connettore QCS, che sono disponibili come opzione nativa di Qlik senza l'utilizzo di codice per gestire facilmente i provider di chiavi modificando i blocchi del connettore in un flusso logico. Vedere Panoramica del connettore Qlik Platform Operations e Connettori di automazione delle applicazioni.
AWS Servizio di gestione chiavi (KMS)
Qlik Cloud supporta l'utilizzo di una chiave gestita dal cliente (CMK)—Amazon vi fa riferimento come chiave KMS AWS o chiave KMS –da KMS AWS per criptare e decrittare i propri dati tenant.
Di seguito sono riportati i passaggi generali necessari per l'impostazione di AWS per l'utilizzo con CMK. È necessario creare un account KMS AWS, creare la propria chiave KMS AWS e configurare il criterio della chiave per l'uso con Qlik Cloud CMK. Dopo aver completato la configurazione in KMS AWS, è possibile cambiare il provider di chiavi nel tenant di Qlik Cloud per utilizzare una chiave KMS AWS. Vedere Creare un nuovo provider di chiavi nel tenant.
Creare un account AWS
Passare a Amazon Web Services e creare un account.
Creare una chiave KMS AWS simmetrica
In AWS, creare una chiave usando la Console di gestione KMS AWS o attraverso l'API KMS AWS usando il comando CreateKey. Quando si configura la chiave multi-regione, tenere in mente che vi sono limitazioni per le regioni che è possibile selezionare come regioni di backup, dipendendo dalla regione della chiave primaria.
-
AWS Regione—Selezionare la regione in cui si desidera ospitare il proprio tenant Qlik Cloud. Le regioni Qlik Cloud supportate e i codici regione AWS di backup associati sono elencati di seguito. Sono supportate le chiavi multi-regione.
Nome regione principale Codice regione principale Nome regione di backup Codice regione di backup Stati Uniti orientali (Virginia del Nord) us-east-1 Stati Uniti orientali (Ohio) us-east-2 Europa (Irlanda) eu-west-1 Europa (Parigi) eu-west-3 Europa (Londra) eu-west-2 Europa (Spagna) eu-south-2 Europa (Francoforte) eu-central-1 Europa (Milano) eu-south-1 Europa (Svezia) eu-north-1 N/D N/D Asia-Pacifico (Singapore) ap-southeast-1 Asia-Pacifico (Seoul) ap-northeast-2 Asia-Pacifico (Sydney) ap-southeast-2 Asia-Pacifico (Melbourne) ap-southeast-4 Giappone (Tokyo) ap-northeast-1 Giappone (Osaka) ap-northeast-3 India (Mumbai) ap-south-1 India (Hyderabad) ap-south-2 La regione Svezia eu-north-1 non dispone di una regione di backup a causa della specificità della politica per lo spostamento dei dati.
Nota di avvisoPer assicurare la corretta configurazione di una chiave multi-regione per l'utilizzo in Qlik Cloud, è necessario creare l'abbinamento della chiave secondo il grafico della regione di backup nella console KMS AWS.Nota su Qlik Cloud GovernmentLe regioni di Qlik Cloud Government (us-gov-west-1 o us-gov-east-1) non hanno bisogno della configurazione di una chiave di replica per registrare un CMK. -
Tipo di chiave: Simmetrica. CMK non supporta le chiavi asimmetriche.
-
Utilizzo chiavi—Criptare e decrittare
Altre impostazioni durante la creazione della chiave includono:
-
Inserimento di un alias chiave
-
Definizione degli utenti e dei ruoli IAM (Identity and Access Management) in grado di amministrare la chiave
-
Selezione degli utenti e dei ruoli IAM che possono utilizzare la chiave nelle operazioni di crittografia
-
Configurazione del criterio delle chiavi.
Per ulteriori informazioni sulla creazione di una chiave AWS KMS, vedere Creazione di chiavi.
Configurare il criterio chiave KMS AWS
Il criterio della chiave controlla l'accesso alla chiave AWS KMS. Ogni chiave ha il proprio criterio. Il criterio della chiave deve includere le informazioni e le autorizzazioni minime necessarie per utilizzare la chiave KMS AWS con Qlik Cloud Chiavi gestite dai clienti. Quando si crea una chiave tramite la Console di gestione KMS AWS, KMS AWS crea un criterio chiave predefinito con istruzioni basate sulle selezioni effettuate durante la creazione della chiave. Queste istruzioni determinano gli utenti e i ruoli IAM dell'account che possono amministrare la chiave e utilizzarla nelle operazioni di crittografia.
È necessario modificare il criterio della chiave predefinita per aggiungere le autorizzazioni e i parametri necessari per utilizzare la chiave con Qlik Cloud CMK. Tra cui:
-
Consentire agli account proxy Qlik AWS e ai ruoli IAM richiesti di generare una chiave dati, crittografare e decriptare i dati utilizzando la chiave KMS AWS. È necessario aggiungere ruoli IAM separati al criterio della chiave per utilizzare CMK con Qlik Application Automation.
-
Identificazione del proprio ID tenant Qlik Cloud. L'ID tenant è utilizzato come contesto di crittografia. KMS AWS utilizza il contesto di crittografia come dati autenticati aggiuntivi (AAD) per supportare la crittografia autenticata. Ciò significa che un tenant non può decifrare le chiavi cifrate di un altro tenant. Vedere Contesto di crittografia. Se si utilizza la stessa chiave KMS per più tenant, è necessario includere l'ID tenant per ogni tenant nel criterio della chiave.
Procedere come indicato di seguito:
- Assicurarsi che l'account cliente AWS e gli utenti e ruoli IAM siano corretti e inclusi nel criterio, vedere Esempio di criterio sulle chiavi KMS AWS. Il criterio potrebbe includere anche altre dichiarazioni.
-
Copiare lo snippet di codice Qlik Cloud richiesto qui sotto e aggiungerlo al proprio criterio sulle chiavi. Per le sottoscrizioni Qlik Cloud Government, copiare lo snippet di codice Qlik Cloud Government.
-
Nella stringa EncryptionContext, sostituire QLIK_TENANT_ID con il proprio ID tenant Qlik Cloud.
- Salvare il criterio sulle chiavi.
Snippet di codice Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Snippet di codice Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Per ulteriori informazioni riguardo ai criteri sulle chiavi KMS AWS, vedere Criteri sulle chiavi in KMS.
Esempio di criterio sulle chiavi KMS AWS
Il seguente esempio di criterio sulle chiavi include i requisiti di base per l'uso con Qlik Cloud Chiavi gestite dai clienti.
-
L'account cliente e gli utenti e ruoli IAM che possono amministrare e utilizzare la chiave.
-
Gli account Qlik e i ruoli IAM autorizzati a utilizzare la chiave per le operazioni crittografiche: Encrypt, Decrypt e GenerateDataKey.
-
Gli account Qlik e i ruoli IAM Automazione applicazioni ai quali è consentito l'uso della chiave con Automazione applicazioni.
-
Il contesto di crittografia che identifica il proprio numero di identificazione tenant Qlik Cloud (TenantID).
La sezione selezionata (B, C e D) nell'esempio di criterio identifica i parametri richiesti da Qlik Cloud Chiavi gestite dai clienti.
ARN chiave KMS e ARN alias
Il nome risorsa Amazon (ARN) rappresenta un identificatore univoco e completo per la chiave KMS. Include il contesto di crittografia (TenantID), l'account AWS, la regione e l'ID della chiave. L'ARN viene creato quando si crea una chiave KMS AWS in AWS Servizio di gestione chiavi. In Qlik Cloud, quando si cambia il provider della chiave principale nel centro attività Amministrazione per utilizzare la propria chiave KMS AWS, è necessario fornire l'ARN della chiave o l'ARN dell'alias per collegare il servizio di crittografia Qlik alla propria chiave KMS AWS. Vedere Creare un nuovo provider di chiavi nel tenant.
L'ARN utilizza il formato:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Di seguito è riportato un esempio di ARN chiave valido:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
L'ARN alias utilizza il formato:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Di seguito è riportato un esempio di alias ARN valido, in cui CMK-Example-Alias è il nome dell'alias:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Per maggiori informazioni su come trovare l'ARN della chiave o l'ARN dell'alias della propria chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.
KMS AWS Chiave multi-regione per il Ripristino di emergenza (DR)
Le chiavi multi-regione consentono di continuare ad accedere ed elaborare i dati crittografati, anche quando la regione principale riscontra un'interruzione. Creando una replica della chiave, è possibile decrittografare i dati nella regione di backup, e qualsiasi dati crittografato nel backup può essere decrittografato successivamente nella regione principale dopo il ripristino.
Per creare una chiave multi-regione in KMS AWS, seguire questi passaggi:
-
Nella Console di gestione di AWS, fare clic su Crea una chiave.
-
Nel Passaggio 1 si descrive come impostare la configurazione della chiave. Nella sezione Opzioni avanzate, selezionare KMS per Origine materiale chiave e in nella sezione Regionalità, selezionare Chiave multi-regione. Per continuare, fare clic su Avanti.
-
Nel Passaggio 2 si descrive come aggiungere un Alias per la chiave. Una volta aggiunto un nome, è possibile scegliere di aggiungere una descrizione e dei tag. Per continuare, fare clic su Avanti.
-
Nel Passaggio 3 si descrive come selezionare gli utenti e ruoli IAM che possono amministrare la chiave Per continuare, fare clic su Avanti.
-
Nel Passaggio 4 si descrive come selezionare i ruoli utente IAM che possono utilizzare la chiave KMS. Fare clic su Avanti per continuare.
-
Nel passaggio 5 si descrive come verificare i dettagli di configurazione. Assicurarsi che l'opzione Regionalità sia impostata su Chiave multi-regione.
Il criterio Chiave include tutti i requisiti per utilizzare la chiave multi-regione con Qlik Cloud Chiavi gestite dai clienti, inclusa l'azione KMS DescribeKey. Per maggiori informazioni su DescribeKey, vedere KMS AWS DescribeKey.