テナント暗号化の構成

テナント管理者は、テナント暗号化設定を構成できます。既定では、新しいテナントは Qlik 内部 KMS を使って、テナントのコンテンツを暗号化できます。組織が独自の顧客管理キー (CMK) を使ってテナントデータを暗号化する場合、テナント暗号化でサポートされたキープロバイダーからの CMK を構成できます。

Qlik Cloud は、Amazon Web Services (AWS) キー管理サービス (KMS) からの CMK を使ってサポートします。顧客は、AWS KMS キーポリシー定義を使って、複数のテナントに同じキーを使用するよう選択できますが、これはベストプラクティスとして推奨されません。CMK と AWS KMS 統合は、AWS KMS API の暗号化コンテクストを使ってテナントごとに保守管理されますが、各テナントに対して個別に暗号化を構成する必要があります。複数のエンドユーザー組織が使用するテナントを有効にする顧客またはパートナーは、エンドユーザー組織ごとに個別のキーを実装する必要があります。

空のテナント (新規または既存のテナント) には CMK のみを使用できます。テナント暗号化を設定する際は、テナントにデータ、アプリ、コンテンツが含まれていてはいけません。ただし、テナントで暗号化を構成する前に、IdP を設定することができます。テナントが作成された直後から使用する前までに、暗号化設定を構成することが強く推奨されています。キープロバイダーが CMK を使用するように変更すると、テナントにあるすべての保存中データが暗号化され、これらのキーを使って復号化されます。暗号化に Qlik 内部 KMS キーを使うように戻すことはできません。

CMK 前提条件

Qlik Cloud で CMK を使用するには、AWS アカウントと AWS KMS キーが必要です。AWS KMS アカウントの設定と AWS KMS キーの作成の詳細については、「AWS キー管理サービス (KMS)」を参照してください。

AWS でセットアップを完了したら、テナントでキープロバイダーが AWS KMS キーを使用するように変更できます。

テナントでキープロバイダーを変更する

キープロバイダーを変更する前に、AWS KMS キーとポリシーが AWS KMS で正しく構成されていることを確認してください。「AWS キー管理サービス (KMS)」を参照してください。Qlik Cloud は、次のキープロバイダーをサポートしています:

Qlik 内部 KMS (これは、Qlik 管理キーを使った既定の KMS です)
AWS KMS

データ、アプリ、またはコンテンツを含まない (IdP 以外)、空の、未使用のテナントを使用するようにしてください。

次の手順を実行します。

管理コンソールの [構成] > [設定] > [テナント暗号化] で、[キープロバイダーの選択] を選択してください。
リストからマスターキープロバイダー (例: AWS KMS) を選択します。
キープロバイダーによって求められるパラメーターを入力してから、[適用] をクリックします。例えば、AWS KMS の場合、 KMS キー ARN またはエイリアス ARN を入力する必要があります。キー ARN は KMS キーの Amazon Resource Name (ARN) です。エイリアス ARN は、AWS KMS エイリアス (キー作成時に AWS KMS キーにつけられたわかりやすい名前) の Amazon Resource Name (ARN) です。詳細については、「KMS キー ARN とエイリアス ARN」を参照してください。

ヒントメモKMS キーのキー ARN またはエイリアス ARN の検索方法については、「キー ID およびキー ARN の検索」または「エイリアス名とエイリアス ARN の検索」を参照してください。
キープロバイダーを変更することを確認してから、[変更] をクリックします。
[完了] をクリックして、プロセスを完了します。

テナントが CMK に対して構成されたら、CMK を無効化または削除した場合、テナントデータはこれらのキーを使って復号化できません。無効なキーについては、キーが再有効化されたら、データへのアクセスが再確立されます。削除されたキーについては、データへのアクセスが永久に失われます。詳細については、「AWS KMS のキー管理」を参照してください。

[管理コンソール] の [イベント] ポリシーで暗号化キープロバイダーへの変更を検証できます。. イベントログは、次の暗号化イベントタイプをキャプチャします: com.qlik.v1.encryption.keyprovider.created。
AWS KMS のイベントは、[イベント履歴] の AWS CloudTrail にログされます。イベント名: GenerateDatakey または Decrypt を検索します。

AWS キー管理サービス (KMS)

Qlik Cloud は、AWS KMS からの顧客管理キー (CMK) — Amazon はこれを AWS KMS キーまたは KMS キーと呼ぶ — を使ってサポートし、テナントデータを暗号化および復号化します。

下記は、CMK を使用するために AWS を設定するのに必要な一般的ステップです。AWS KMS アカウントを作成し、AWS KMS キーを作成し、そしてQlik Cloud CMK で使用するためのキーポリシーを構成する必要があります。AWS KMS でセットアップを完了したら、Qlik Cloud テナントでキープロバイダーが AWS KMS キーを使用するように変更できます。「テナントでキープロバイダーを変更する」を参照してください。

AWS アカウントを作成する

Amazon Web Services に進んでアカウントを作成します。

AWS KMS アカウントは、Qlik Cloud テナントと同じリージョンである必要があります。

左右対称 AWS KMS キーを作成する

AWS で、AWS KMS 管理コンソールまたは、CreateKey コマンドを使用して AWS KMS API 経由でキーを作成します。キーを作成する際は、次のようにこれらの設定を構成します。

AWS リージョン— Qlik Cloud テナントがホストされているリージョンを選択します。サポートされた Qlik Cloud リージョンとその関連付けられた AWS リージョン名は次の通りです。現在サポートされているのは単一のリージョンキーです。
- アメリカ大陸 (USA)—us-east-1
- ヨーロッパ (アイルランド)—eu-west-1
- アジア太平洋地域 1 (シンガポール)—ap-southeast-1
- アジア太平洋地域 2 (オーストラリア)—ap-southeast-2
- GovCloud (米国)—us-gov-west-1
キータイプ—左右対称。CMK は左右非対称キーをサポートしません。
キー用途—暗号化および復号化

キー作成中のその他の設定には次のものが含まれます:

キーエイリアスの入力
キーを管理できる IAM ユーザーとロールの定義
暗号化操作でキーを使用できる IAM ユーザーとロールの選択
キーポリシーの構成。

AWS KMS キーに関する情報については、「キーの作成」を参照してください。

AWS KMS キーポリシーの構成

キーポリシーは、AWS KMS キーへのアクセスを制御します。キーごとに独自のポリシーがあります。キーポリシーには、AWS KMS キーを Qlik Cloud カスタマーマネージドキーと使用するのに必要な最小限の情報と権限を含んでいる必要があります。AWS KMS 管理コンソールを使用してキーを作成すると、AWS KMS はキー作成中の選択に基づいたステートメントを持つ既定キーポリシーを作成します。これらのステートメントは、キーを管理して、暗号化操作でキーを使用することができる IAM ユーザーと役割を決定します。

既定のキーポリシーを編集して、キーを Qlik Cloud CMK で使用するのに必要な権限とパラメータを追加します。これには、次が含まれます。

Qlik の AWS プロキシアカウントと必要な IAM ロールが、データキーを生成し、AWS KMS キーを使ってデータを暗号化、復号化できるようにします。別の IAM ロールをキーポリシーに追加して、CMK を Qlik Application Automation で使用する必要があります。
Qlik Cloud TenantID の識別。テナント ID は、暗号化コンテキストとして使用されます。AWS KMS は暗号化コンテキストを追加認証データ (AAD) として使用し、認証された暗号化をサポートします。つまり、あるテナントは別のテナントの暗号キーを復号化できないということです。「暗号化コンテキスト」を参照してください。複数のテナントに KMS キーを使用している場合、キーポリシーで各テナントのテナント ID を含める必要があります。

次の手順を実行します。

顧客の AWS アカウントと IAM ユーザーとロールが正しく、ポリシーに含まれていることを確認してください。「例の AWS KMS キーポリシー」を参照してください。ポリシーに、他のステートメントも含まれている可能性があります。
下記の必要な Qlik Cloud コードスニペットをコピーして、キーポリシーに追加します。Qlik Sense Enterprise SaaS - Government (US) サブスクリプションの場合は、Qlik Sense Enterprise SaaS - Government (US) コードスニペットをコピーします。

Qlik Cloud コードスニペット


               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

Qlik Sense Enterprise SaaS - Government (US) コードスニペット


                
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

Qlik Sense Enterprise SaaS - Government (US) は Qlik Application Automation をサポートしていません。ただし、Qlik Sense Enterprise SaaS - Government (US) のキーポリシーコードスニペットには、将来的にアプリケーションの自動化をサポートする可能性があるため、プロキシアカウントと IAM ロールを有効にする ARN が含まれています。

EncryptionContext 文字列で、QLIK_TENANT_ID を Qlik Cloud TenantID と置き換えます。

テナント ID を見つけるには、Qlik Cloud テナントのハブから、ユーザープロファイルを選択して、次に [情報] を選択します。[テナント ID] で、ID 文字列を選択してコピーします。 [設定] > [テナント] の管理コンソールで、[表示名] または [エイリアスホスト名] を使用しないでください。

キーポリシーを保存します。

AWS KMS キーポリシーの詳細については、「KMS のキーポリシー」を参照してください。

例の AWS KMS キーポリシー

次のキーポリシー例には、Qlik Cloud カスタマーマネージドキーと使用するための基本要件が含まれています。

キーを管理して使用できる顧客アカウントおよび IAM ユーザーとロール。
暗号化操作にキーを使用することが許可された Qlik アカウントと IAM ロール: Encrypt、Decrypt、および GenerateDataKey。
アプリケーションの自動化でキーを使用することが許可されている Qlik アカウントとアプリケーションの自動化 IAM ロール。
Qlik Cloud テナント ID 番号 (TenantID) を識別する暗号化コンテキスト。

ポリシー例で選択されたセクション (B、C、および D) は、Qlik Cloud カスタマーマネージドキーに必要なパラメータを識別します。

KMS キー ARN とエイリアス ARN

Amazon Resource Name (ARN) は、KMS キーに対して一意の、完全修飾識別子です。暗号化コンテキスト (TenantID)、AWS アカウント、リージョン、キー ID を含みます。ARN は、AWS KMS キーを AWS キー管理サービスで作成すると作成されます。Qlik Cloud では、管理コンソールのマスターキープロバイダーが AWS KMS キーを使用するように変更する際、キー ARN またはエイリアス ARN を提供して Qlik 暗号化サービスを AWS KMS キーに接続する必要があります。「テナントでキープロバイダーを変更する」を参照してください。

ARN は次の形式を使用する必要があります:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

次は、有効なキー ARN の例です:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

エイリアス ARN は次の形式を使用する必要があります:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

次は、CMK-Example-Alias がエイリアス名である有効なエイリアス ARN の例です:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

KMS キーのキー ARN またはエイリアス ARN の検索方法については、「キー ID およびキー ARN の検索」または「エイリアス名とエイリアス ARN の検索」を参照してください。