Vai al contenuto principale Passa a contenuto complementare

Configurazione della crittografia tenant

Gli amministratori tenant possono configurare le impostazioni di crittografia del tenant. Per impostazione predefinita, un nuovo tenant utilizza Qlik Internal KMS per crittografare il contenuto del tenant. Se l'organizzazione desidera utilizzare la propria chiave gestita dal cliente (CMK) per crittografare i dati del tenant, è possibile configurare la crittografia del tenant in modo che utilizzi una CMK di un provider di chiavi supportato.

Qlik Cloud supporta l'uso di CMK da Amazon Web Services (AWS) Servizio di gestione chiavi (KMS). I clienti possono scegliere di utilizzare la stessa chiave per più tenant, attraverso la definizione dei criteri della chiave KMS AWS, anche se questa non è una pratica consigliata. L'integrazione CMK e KMS AWS manterrà la crittografia per tenant utilizzando il contesto di crittografia dell'API KMS AWS, ma è necessario configurare la crittografia per ogni tenant individualmente. I clienti o i partner che abilitano i tenant all'uso da parte di più organizzazioni di utenti finali sono tenuti a implementare chiavi individuali per ciascuna organizzazione di utenti finali.

Nota di avvisoÈ possibile utilizzare CMK con i tenant nuovi o esistenti. Dopo aver modificato il provider di chiavi per utilizzare la propria CMK, tutti i dati a riposo nel tenant saranno crittografati e decrittografati utilizzando queste chiavi.

Prerequisiti CMK

È necessario disporre di un account AWS e di una chiave KMS AWS per utilizzare CMK con Qlik Cloud. Per ulteriori informazioni sulla configurazione di un account KMS AWS e sulla creazione di una chiave KMS AWS, vedere AWS Servizio di gestione chiavi (KMS).

Dopo aver completato la configurazione in AWS, è possibile cambiare il provider di chiavi nel tenant per utilizzare la propria chiave KMS AWS.

Creare un nuovo provider di chiavi nel tenant

Prima di creare il provider di chiavi, verificare che la chiave KMS AWS e il criterio siano stati configurati correttamente in KMS AWS. Vedere AWS Servizio di gestione chiavi (KMS). Qlik Cloud supporta i seguenti provider di chiavi:

  • Qlik Internal KMS (rappresenta il KMS predefinito che utilizza chiavi gestite da Qlik)

  • KMS AWS

  1. In Console di gestione, andare in Impostazioni.

  2. In Crittografia tenant, fare clic su Gestisci provider di chiavi.

  3. Fare clic sulla scheda Crea nuovo.

  4. Immettere i parametri richiesti dal provider di chiavi.

    • Provider di chiavi principale: il provider di chiavi principale KMS AWS è l'unica opzione disponibile.
    • ARN chiave KMS: l'ARN chiave KMS o l'ARN alias. La chiave ARN rappresenta l'Amazon Resource Name (ARN) di una chiave KMS. L'alias ARN è l'Amazon Resource Name (ARN) dell'alias di AWS KMS (il nome descrittivo dato alla chiave KMS AWS al momento della sua creazione). Per maggiori informazioni, consulta Eventi provider di chiavi. Per informazioni su come trovare l'ARN della chiave o l'ARN dell'alias di una chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.
    • Titolo: un titolo che serve a identificare il nuovo provider di chiavi.
    • Descrizione: Opzionale
    • Crea scheda provider di chiavi

      Crea un provider di chiavi principale
  5. Scegliere se si desidera aggiungere la configurazione del provider di chiavi e salvarla per l'utilizzo futuro o avviare subito la migrazione delle chiavi.

Nota di avvisoDopo aver configurato il tenant per la CMK, se si disabilita o si elimina la propria CMK, i dati del tenant non possono essere decrittografati utilizzando queste chiavi. Per una chiave disattivata, se la chiave viene riattivata, l'accesso ai dati verrà ristabilito. Nel caso di una chiave eliminata, l'accesso ai dati sarà definitivamente perso. Per ulteriori informazioni, vedere Gestione delle chiavi in KMS AWS.

Modifica del provider di chiavi nel tenant

È possibile modificare il provider di chiavi dal KMS Qlik in KMS AWS, il KMS AWS in un altro KMS AWS, oppure ripristinare il KMS Qlik dal KMS AWS. Durante il processo di migrazione delle chiavi, il tenant continuerà a funzionare come di consueto, senza alcun impatto per gli utenti.

Nota di avvisoSe è in vigore un Business Associate Agreement (BAA) correlato all'HIPAA e si desidera archiviare un PHI soggetto all'HIPAA, non è possibile ripristinare il KMS Qlik dal KMS AWS. È necessario creare una nuova chiave AWS e migrare ad essa se la chiave AWS  correntemente in uso è stata sostituita.
Nota di avviso

I registri di esecuzione di Qlik Application Automation vengono rimossi in modo permanente durante la migrazione della chiave. Ciò significa che, per le automazioni, non è possibile utilizzare le informazioni cronologiche del registro:

  • Esegui esportazione registro

  • Pannello Output

  • Per pannello d blocco

  • Pannello Cronologico

Le seguenti informazioni vengono mantenute durante la migrazione di una chiave:

  • Titolo esecuzione automazione

  • Registro di errore automazione

  1. In Console di gestione, andare in Impostazioni.
  2. In Crittografia tenant, fare clic su Gestisci provider di chiavi.
  3. Fare clic sull'ellissi sulla scheda del provider a cui si desidera migrare.
  4. Selezionare Migra.
  5. Nella finestra di dialogo Cambia provider chiave, selezionare la casella di selezione per confermare la sostituzione della chiave corrente e fare clic su Cambia provider chiave. Una volta completata la migrazione, il provider della chiave migrata diventerà attivo.
Nota informaticaLo stato della migrazione della chiave viene aggiornato ogni 15 minuti. Le migrazioni solitamente possono richiedere fino a 24 ore, a seconda del numero di artefatti nel tenant, come note, app, automazioni, avvisi, registri di eventi e così via. Se la migrazione richiede più di 24 ore, inviare un ticket a Supporto Qlik.
Nota informatica È possibile verificare la modifica del provider della chiave di crittografia nella pagina Eventi in Console di gestione. Per maggiori informazioni sui tipi di eventi di crittografia correlati alla migrazione, vedere Eventi provider di chiavi.

Convalida provider di chiavi

In qualsiasi momento, è possibile convalidare un provider di chiavi AWS. La convalida completa tutti i controlli di integrità e verifica la conformità alle regole definite richieste per la migrazione del provider di chiavi. La convalida viene anche eseguita automaticamente prima dell'inizio della migrazione di qualsiasi provider di chiavi.

  1. In Console di gestione, andare in Impostazioni.
  2. In Crittografia tenant, fare clic su Gestisci provider di chiavi.
  3. Fare clic sull'ellissi sulla scheda del provider di chiavi.
  4. Selezionare Convalida.

Elimina un provider di chiavi

Qualsiasi provider di chiavi, con l'eccezione del provider di chiavi Qlik, può essere eliminato se non è attivo.

  1. In Console di gestione, andare in Impostazioni.
  2. In Crittografia tenant, fare clic su Gestisci provider di chiavi.
  3. Fare clic sull'ellissi sulla scheda del provider di chiavi.
  4. Selezionare Elimina.

Eventi provider di chiavi

È possibile verificare le modifiche al provider di chiavi di crittografia nella pagina Eventi in Console di gestione. Il registro eventi acquisisce i seguenti tipi di evento di crittografia: .

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Gli eventi in KMS AWS vengono registrati in AWS CloudTrail sotto la voce Cronologia eventi. Cercare i Nomi di eventi: Crittografia, GenerateDatakey o Decrittografia.

API crittografia Qlik e connettori

Oltre alla configurazione della crittografia del tenant tramite Console di gestione, Qlik offre molti modi per gestire i cicli di vita del provider di chiavi.

AWS Servizio di gestione chiavi (KMS)

Qlik Cloud supporta l'utilizzo di una chiave gestita dal cliente (CMK)—Amazon vi fa riferimento come chiave KMS AWS o chiave KMS –da KMS AWS per criptare e decrittare i propri dati tenant.

Di seguito sono riportati i passaggi generali necessari per l'impostazione di AWS per l'utilizzo con CMK. È necessario creare un account KMS AWS, creare la propria chiave KMS AWS e configurare il criterio della chiave per l'uso con Qlik Cloud CMK. Dopo aver completato la configurazione in KMS AWS, è possibile cambiare il provider di chiavi nel tenant di Qlik Cloud per utilizzare una chiave KMS AWS. Vedere Creare un nuovo provider di chiavi nel tenant.

Creare un account AWS

Passare a Amazon Web Services e creare un account.

Creare una chiave KMS AWS simmetrica

In AWS, creare una chiave usando la Console di gestione KMS AWS o attraverso l'API KMS AWS usando il comando CreateKey. Quando si configura la chiave multi-regione, tenere in mente che vi sono limitazioni per le regioni che è possibile selezionare come regioni di backup, dipendendo dalla regione della chiave primaria.

  • AWS Regione—Selezionare la regione in cui si desidera ospitare il proprio tenant Qlik Cloud. Le regioni Qlik Cloud supportate e i codici regione AWS di backup associati sono elencati di seguito. Sono supportate le chiavi multi-regione.

    Nome regione principale Codice regione principale Nome regione di backup Codice regione di backup
    Stati Uniti (Virginia del Nord) us-east-1 Stati Uniti (Ohio) us-east-2
    Europa (Irlanda) eu-west-1 Europa (Parigi) eu-west-3
    Europa (Francoforte) eu-central-1 Europa (Milano) eu-south-1
    Europa (Londra) eu-west-2 Europa (Spagna) eu-south-2
    Asia-Pacifico (Singapore) ap-southeast-1 Asia-Pacifico (Seoul) ap-northeast-2
    Asia-Pacifico (Sydney) ap-southeast-2 Asia-Pacifico (Melbourne) ap-southeast-4
    Giappone (Tokyo) ap-northeast-1 Giappone (Osaka) ap-northeast-3
    Nota di avvisoPer assicurare la corretta configurazione di una chiave multi-regione per l'utilizzo in Qlik Cloud, è necessario creare l'abbinamento della chiave secondo il grafico della regione di backup nella console KMS AWS.
    Nota su Qlik Cloud GovernmentLe regioni di Qlik Cloud Government (us-gov-west-1 o us-gov-east-1) non hanno bisogno della configurazione di una chiave di replica per registrare un CMK.
  • Tipo di chiave: Simmetrica. CMK non supporta le chiavi asimmetriche.

  • Utilizzo chiavi—Criptare e decrittare

Altre impostazioni durante la creazione della chiave includono:

  • Inserimento di un alias chiave

  • Definizione degli utenti e dei ruoli IAM (Identity and Access Management) in grado di amministrare la chiave

  • Selezione degli utenti e dei ruoli IAM che possono utilizzare la chiave nelle operazioni di crittografia

  • Configurazione del criterio delle chiavi.

Per ulteriori informazioni sulla creazione di una chiave AWS KMS, vedere Creazione di chiavi.

Configurare il criterio chiave KMS AWS

Il criterio della chiave controlla l'accesso alla chiave AWS KMS. Ogni chiave ha il proprio criterio. Il criterio della chiave deve includere le informazioni e le autorizzazioni minime necessarie per utilizzare la chiave KMS AWS con Qlik Cloud Chiavi gestite dai clienti. Quando si crea una chiave tramite la Console di gestione KMS AWS, KMS AWS crea un criterio chiave predefinito con istruzioni basate sulle selezioni effettuate durante la creazione della chiave. Queste istruzioni determinano gli utenti e i ruoli IAM dell'account che possono amministrare la chiave e utilizzarla nelle operazioni di crittografia.

È necessario modificare il criterio della chiave predefinita per aggiungere le autorizzazioni e i parametri necessari per utilizzare la chiave con Qlik Cloud CMK. Tra cui:

  • Consentire agli account proxy Qlik AWS e ai ruoli IAM richiesti di generare una chiave dati, crittografare e decriptare i dati utilizzando la chiave KMS AWS. È necessario aggiungere ruoli IAM separati al criterio della chiave per utilizzare CMK con Qlik Application Automation.

  • Identificazione del proprio ID tenant Qlik Cloud. L'ID tenant è utilizzato come contesto di crittografia. KMS AWS utilizza il contesto di crittografia come dati autenticati aggiuntivi (AAD) per supportare la crittografia autenticata. Ciò significa che un tenant non può decifrare le chiavi cifrate di un altro tenant. Vedere Contesto di crittografia. Se si utilizza la stessa chiave KMS per più tenant, è necessario includere l'ID tenant per ogni tenant nel criterio della chiave.

  1. Assicurarsi che l'account cliente AWS e gli utenti e ruoli IAM siano corretti e inclusi nel criterio, vedere Esempio di criterio sulle chiavi KMS AWS. Il criterio potrebbe includere anche altre dichiarazioni.
  2. Copiare lo snippet di codice Qlik Cloud richiesto qui sotto e aggiungerlo al proprio criterio sulle chiavi. Per le sottoscrizioni Qlik Cloud Government, copiare lo snippet di codice Qlik Cloud Government.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    [
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        },
        {
            "Sid": "Enable KMS Key policy for proxy account",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
  4. Nella stringa EncryptionContext, sostituire QLIK_TENANT_ID con il proprio ID tenant Qlik Cloud.

  5. Nota di suggerimentoPer trovare il proprio ID tenant, dall'hub del proprio tenant Qlik Cloud, selezionare il proprio profilo utente, quindi selezionare Informazioni. Sotto ID Tenant, selezionare e copiare la stringa ID. Non utilizzare il Nome visualizzato o il Nome host alias in Console di gestione sotto Impostazioni > Tenant.
  6. Salvare il criterio sulle chiavi.

Per ulteriori informazioni riguardo ai criteri sulle chiavi KMS AWS, vedere Criteri sulle chiavi in KMS.

Esempio di criterio sulle chiavi KMS AWS

Il seguente esempio di criterio sulle chiavi include i requisiti di base per l'uso con Qlik Cloud Chiavi gestite dai clienti.

  1. L'account cliente e gli utenti e ruoli IAM che possono amministrare e utilizzare la chiave.

  2. Gli account Qlik e i ruoli IAM autorizzati a utilizzare la chiave per le operazioni crittografiche: Encrypt, Decrypt e GenerateDataKey.

  3. Gli account Qlik e i ruoli IAM Automazione applicazioni ai quali è consentito l'uso della chiave con Automazione applicazioni.

  4. Il contesto di crittografia che identifica il proprio numero di identificazione tenant Qlik Cloud (TenantID).

La sezione selezionata (B, C e D) nell'esempio di criterio identifica i parametri richiesti da Qlik Cloud Chiavi gestite dai clienti.

Esempio di criterio sulle chiavi KMS AWS

Esempio di criterio sulle chiavi

ARN chiave KMS e ARN alias

Il nome risorsa Amazon (ARN) rappresenta un identificatore univoco e completo per la chiave KMS. Include il contesto di crittografia (TenantID), l'account AWS, la regione e l'ID della chiave. L'ARN viene creato quando si crea una chiave KMS AWS in AWS Servizio di gestione chiavi. In Qlik Cloud, quando si cambia il provider di chiavi principale in Console di gestione per utilizzare la propria chiave KMS AWS, è necessario fornire l'ARN della chiave o l'ARN dell'alias per collegare il servizio di crittografia Qlik alla propria chiave KMS AWS. Vedere Creare un nuovo provider di chiavi nel tenant.

A) ARN chiave KMS AWS, e B) Alias ARN in AWS Servizio di gestione chiavi

ARN chiave AWS KMS e ARN alias

L'ARN utilizza il formato:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Di seguito è riportato un esempio di ARN chiave valido:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

L'ARN alias utilizza il formato:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Di seguito è riportato un esempio di alias ARN valido, in cui CMK-Example-Alias è il nome dell'alias:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Per maggiori informazioni su come trovare l'ARN della chiave o l'ARN dell'alias della propria chiave KMS, vedere Ricerca dell'ID della chiave e dell'ARN della chiave o Ricerca del nome dell'alias e dell'ARN dell'alias.

KMS AWS Chiave multi-regione per il Ripristino di emergenza (DR)

Le chiavi multi-regione consentono di continuare ad accedere ed elaborare i dati crittografati, anche quando la regione principale riscontra un'interruzione. Creando una replica della chiave, è possibile decrittografare i dati nella regione di backup, e qualsiasi dati crittografato nel backup può essere decrittografato successivamente nella regione principale dopo il ripristino.

Per creare una chiave multi-regione in KMS AWS, seguire questi passaggi:

  1. Nella Console di gestione di AWS, fare clic su Crea una chiave.

  2. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.

  3. Nel Passaggio 1 si descrive come impostare la configurazione della chiave. Nella sezione Opzioni avanzate, selezionare KMS per Origine materiale chiave e in nella sezione Regionalità, selezionare Chiave multi-regione. Per continuare, fare clic su Avanti.

  4. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.

  5. Nel Passaggio 2 si descrive come aggiungere un Alias per la chiave. Una volta aggiunto un nome, è possibile scegliere di aggiungere una descrizione e dei tag. Per continuare, fare clic su Avanti.

  6. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.

  7. Nel Passaggio 3 si descrive come selezionare gli utenti e ruoli IAM che possono amministrare la chiave Per continuare, fare clic su Avanti.

  8. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.

  9. Nel Passaggio 4 si descrive come selezionare i ruoli utente IAM che possono utilizzare la chiave KMS. Fare clic su Avanti per continuare.

  10. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.

  11. Nel passaggio 5 si descrive come verificare i dettagli di configurazione. Assicurarsi che l'opzione Regionalità sia impostata su Chiave multi-regione.

  12. Il collegamento del pulsante Console di gestione di AWS per creare una chiave CMK.


Il criterio Chiave include tutti i requisiti per utilizzare la chiave multi-regione con Qlik Cloud Chiavi gestite dai clienti, inclusa l'azione KMS DescribeKey. Per maggiori informazioni su DescribeKey, vedere KMS AWS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Nota di avvisoKMS AWS non supporta la modifica del tipo di chiave una volta creata, quindi una chiave per regioni singole non può essere modificata in una chiave multi-regione e viceversa. Se la chiave esistente è già configurata come multi-regione, è possibile modificare il criterio e aggiornare le regioni della replica.

Hai trovato utile questa pagina?

Se riscontri problemi con questa pagina o con il suo contenuto – un errore di battitura, un passaggio mancante o un errore tecnico – facci sapere come possiamo migliorare!