メイン コンテンツをスキップする Skip to complementary content

テナント暗号化の構成

テナント管理者は、テナント暗号化設定を構成できます。既定では、新しいテナントは Qlik 内部 KMS を使って、テナントのコンテンツを暗号化できます。組織が独自の顧客管理キー (CMK) を使ってテナント データを暗号化する場合、テナント暗号化でサポートされたキー プロバイダーからの CMK を構成できます。

Qlik Cloud は、Amazon Web Services (AWS) キー管理サービス (KMS) からの CMK を使ってサポートします。顧客は、AWS KMS キー ポリシー定義を使って、複数のテナントに同じキーを使用するよう選択できますが、これはベストプラクティスとして推奨されません。CMKAWS KMS 統合は、AWS KMS API の暗号化コンテクストを使ってテナントごとに保守管理されますが、各テナントに対して個別に暗号化を構成する必要があります。複数のエンドユーザー組織が使用するテナントを有効にする顧客またはパートナーは、エンドユーザー組織ごとに個別のキーを実装する必要があります。

警告メモ空のテナント (新規または既存のテナント) には CMK のみを使用できます。テナント暗号化を設定する際は、テナントにデータ、アプリ、コンテンツが含まれていてはいけません。ただし、テナントで暗号化を構成する前に、IdP を設定することができます。テナントが作成された直後から使用する前までに、暗号化設定を構成することが強く推奨されています。キー プロバイダーが CMK を使用するように変更すると、テナントにあるすべての保存中データが暗号化され、これらのキーを使って復号化されます。暗号化に Qlik 内部 KMS キーを使うように戻すことはできません。

CMK 前提条件

Qlik CloudCMK を使用するには、AWS アカウントと AWS KMS キーが必要です。AWS KMS アカウントの設定と AWS KMS キーの作成の詳細については、「AWS キー管理サービス (KMS)」を参照してください。

AWS でセットアップを完了したら、テナントでキー プロバイダーが AWS KMS キーを使用するように変更できます。

テナントでキー プロバイダーを変更する

キー プロバイダーを変更する前に、AWS KMS キーとポリシーが AWS KMS で正しく構成されていることを確認してください。「AWS キー管理サービス (KMS)」を参照してください。Qlik Cloud は、次のキー プロバイダーをサポートしています:

  • Qlik 内部 KMS (これは、Qlik 管理キーを使った既定の KMS です)

  • AWS KMS

警告メモデータ、アプリ、またはコンテンツを含まない (IdP 以外)、空の、未使用のテナントを使用するようにしてください。
  1. 管理コンソール の [構成] > [設定] > [テナント暗号化] で、[キー プロバイダーの選択] を選択してください。

  2. リストからマスター キー プロバイダー (例: AWS KMS) を選択します。

    マスター キー プロバイダーを選択する

  3. キー プロバイダーによって求められるパラメーターを入力してから、[適用] をクリックします。例えば、AWS KMS の場合、 KMS キー ARN またはエイリアス ARN を入力する必要があります。キー ARN は KMS キーの Amazon Resource Name (ARN) です。エイリアス ARN は、AWS KMS エイリアス (キー作成時に AWS KMS キーにつけられたわかりやすい名前) の Amazon Resource Name (ARN) です 。詳細については、「KMS キー ARN とエイリアス ARN」を参照してください。

    KMS キー ARN を構成する

     

    ヒント メモKMS キーのキー ARN またはエイリアス ARN の検索方法については、「キー ID およびキー ARN の検索」または「エイリアス名とエイリアス ARN の検索」を参照してください。
  4. キー プロバイダーを変更することを確認してから、[変更] をクリックします。


    新しいキー プロバイダーに変更することを確認します。

  5. [完了] をクリックして、プロセスを完了します。

警告メモテナントが CMK に対して構成されたら、CMK を無効化または削除した場合、テナント データはこれらのキーを使って復号化できません。無効なキーについては、キーが再有効化されたら、データへのアクセスが再確立されます。削除されたキーについては、データへのアクセスが永久に失われます。詳細については、「AWS KMS のキー管理」を参照してください。
情報メモ
  • [管理コンソール] の [イベント] ポリシーで暗号化キー プロバイダーへの変更を検証できます。. イベント ログは、次の暗号化イベント タイプをキャプチャします: com.qlik.v1.encryption.keyprovider.created
  • AWS KMS のイベントは、[イベント履歴] の AWS CloudTrail にログされます。イベント名: GenerateDatakey または Decrypt を検索します。

AWS キー管理サービス (KMS)

Qlik Cloud は、AWS KMS からの顧客管理キー (CMK) — Amazon はこれを AWS KMS キーまたは KMS キーと呼ぶ — を使ってサポートし、テナント データを暗号化および復号化します。

下記は、CMK を使用するために AWS を設定するのに必要な一般的ステップです。AWS KMS アカウントを作成し、AWS KMS キーを作成し、そしてQlik Cloud CMK で使用するためのキー ポリシーを構成する必要があります。AWS KMS でセットアップを完了したら、Qlik Cloud テナントでキー プロバイダーが AWS KMS キーを使用するように変更できます。「テナントでキー プロバイダーを変更する」を参照してください。

AWS アカウントを作成する

Amazon Web Services に進んでアカウントを作成します。

情報メモAWS KMS アカウントは、Qlik Cloud テナントと同じリージョンである必要があります。

左右対称 AWS KMS キーを作成する

AWS で、AWS KMS 管理コンソールまたは、CreateKey コマンドを使用して AWS KMS API 経由でキーを作成します。キーを作成する際は、次のようにこれらの設定を構成します。

  • AWS リージョンQlik Cloud テナントがホストされているリージョンを選択します。サポートされた Qlik Cloud リージョンとその関連付けられた AWS リージョン名は次の通りです。現在サポートされているのは単一のリージョン キーです。

    • アメリカ大陸 (USA)—us-east-1

    • ヨーロッパ (アイルランド)—eu-west-1

    • アジア太平洋地域 1 (シンガポール)—ap-southeast-1

    • アジア太平洋地域 2 (オーストラリア)—ap-southeast-2

    • GovCloud (米国)—us-gov-west-1

    • Qlik Sense Enterprise SaaS Government メモGovCloud のリージョンは FIPS に準拠しています。したがって、AWS GovCloud で顧客管理キーを使用すると、デフォルトで FIPS にも準拠することになります。
  • キー タイプ—左右対称。CMK は左右非対称キーをサポートしません。

  • キー用途—暗号化および復号化

キー作成中のその他の設定には次のものが含まれます:

  • キー エイリアスの入力

  • キーを管理できる IAM ユーザーとロールの定義

  • 暗号化操作でキーを使用できる IAM ユーザーとロールの選択

  • キー ポリシーの構成。

AWS KMS キーに関する情報については、「キーの作成」を参照してください。

AWS KMS キー ポリシーの構成

キー ポリシーは、AWS KMS キーへのアクセスを制御します。キーごとに独自のポリシーがあります。キー ポリシーには、AWS KMS キーを Qlik Cloud カスタマー マネージド キー と使用するのに必要な最小限の情報と権限を含んでいる必要があります。AWS KMS 管理コンソールを使用してキーを作成すると、AWS KMS はキー作成中の選択に基づいたステートメントを持つ既定キー ポリシーを作成します。これらのステートメントは、キーを管理して、暗号化操作でキーを使用することができる IAM ユーザーと役割を決定します。

既定のキー ポリシーを編集して、キーを Qlik Cloud CMK で使用するのに必要な権限とパラメータを追加します。これには、次が含まれます。

  • QlikAWS プロキシ アカウントと必要な IAM ロールが、データ キーを生成し、AWS KMS キーを使ってデータを暗号化、復号化できるようにします。別の IAM ロールをキー ポリシーに追加して、CMKQlik Application Automation で使用する必要があります。

  • Qlik Cloud TenantID の識別。テナント ID は、暗号化コンテキストとして使用されます。AWS KMS は暗号化コンテキストを追加認証データ (AAD) として使用し、認証された暗号化をサポートします。つまり、あるテナントは別のテナントの暗号キーを復号化できないということです。「暗号化コンテキスト」を参照してください。複数のテナントに KMS キーを使用している場合、キー ポリシーで各テナントのテナント ID を含める必要があります。

  1. 顧客の AWS アカウントと IAM ユーザーとロールが正しく、ポリシーに含まれていることを確認してください。「例の AWS KMS キー ポリシー」を参照してください。ポリシーに、他のステートメントも含まれている可能性があります。
  2. 下記の必要な Qlik Cloud コード スニペットをコピーして、キー ポリシーに追加します。Qlik Sense Enterprise SaaS - Government (US) サブスクリプションの場合は、Qlik Sense Enterprise SaaS - Government (US) コード スニペットをコピーします。

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    
                    
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    Qlik Sense Enterprise SaaS Government メモQlik Sense Enterprise SaaS - Government (US)Qlik Application Automation をサポートしていません。ただし、Qlik Sense Enterprise SaaS - Government (US) のキー ポリシー コード スニペットには、将来的に アプリケーションの自動化 をサポートする可能性があるため、プロキシ アカウントと IAM ロールを有効にする ARN が含まれています。
  4. EncryptionContext 文字列で、QLIK_TENANT_IDQlik Cloud TenantID と置き換えます。

  5. ヒント メモテナント ID を見つけるには、Qlik Cloud テナントのハブから、ユーザー プロファイルを選択して、次に [情報] を選択します。[テナント ID] で、ID 文字列を選択してコピーします。 [設定] > [テナント] の 管理コンソール で、[表示名] または [エイリアス ホスト名] を使用しないでください。
  6. キー ポリシーを保存します。

AWS KMS キー ポリシーの詳細については、「KMS のキー ポリシー」を参照してください。

例の AWS KMS キー ポリシー

次のキー ポリシー例には、Qlik Cloud カスタマー マネージド キー と使用するための基本要件が含まれています。

  1. キーを管理して使用できる顧客アカウントおよび IAM ユーザーとロール。

  2. 暗号化操作にキーを使用することが許可された Qlik アカウントと IAM ロール: EncryptDecrypt、および GenerateDataKey

  3. アプリケーションの自動化 でキーを使用することが許可されている Qlik アカウントと アプリケーションの自動化 IAM ロール。

  4. Qlik Cloud テナント ID 番号 (TenantID) を識別する暗号化コンテキスト。

ポリシー例で選択されたセクション (B、C、および D) は、Qlik Cloud カスタマー マネージド キー に必要なパラメータを識別します。

AWS KMS キー ポリシー例

キー ポリシーの例

KMS キー ARN とエイリアス ARN

Amazon Resource Name (ARN) は、KMS キーに対して一意の、完全修飾識別子です。暗号化コンテキスト (TenantID)、AWS アカウント、リージョン、キー ID を含みます。ARN は、AWS KMS キーを AWS キー管理サービス で作成すると作成されます。Qlik Cloud では、管理コンソール のマスター キー プロバイダーが AWS KMS キーを使用するように変更する際、キー ARN またはエイリアス ARN を提供して Qlik 暗号化サービスを AWS KMS キーに接続する必要があります。「テナントでキー プロバイダーを変更する」を参照してください。

A) AWS KMS キー ARN、および B) AWS キー管理サービス のエイリアス ARN

AWS KMS キー ARN とエイリアス ARN

ARN は次の形式を使用する必要があります:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

次は、有効なキー ARN の例です:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

エイリアス ARN は次の形式を使用する必要があります:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

次は、CMK-Example-Alias がエイリアス名である有効なエイリアス ARN の例です:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

KMS キーのキー ARN またはエイリアス ARN の検索方法については、「キー ID およびキー ARN の検索」または「エイリアス名とエイリアス ARN の検索」を参照してください。