Ga naar hoofdinhoud Ga naar aanvullende inhoud

Tenantversleuteling configureren

Stel tenantversleuteling in Qlik Cloud in met behulp van de AWS Key Management Service-sleutels (KMS) van uw organisatie.

Tenantbeheerders kunnen instellingen voor de tenantversleuteling configureren. Standaard gebruikt een nieuwe tenant de interne KMS van Qlik voor het versleutelen van inhoud in de tenant. Als uw organisatie een eigen door klant beheerde sleutel (CMK) wil gebruiken voor het versleutelen van tenantgegevens, kunt u de tenantversleuteling configureren om een CMK van een ondersteunde sleutelprovider te gebruiken.

Qlik Cloud ondersteunt het gebruik van een CMK van de Amazon Web Services (AWS) Key Management Service (KMS). Klanten kunnen dezelfde sleutel voor meerdere tenants gebruiken via de beleiddefinitie van de AWS KMS-sleutel, al wordt dit niet aanbevolen. De integratie van CMK en AWS KMS onderhoudt tenantversleuteling met gebruik van de versleutelingscontext van de AWS KMS API, maar u moet de versleuteling voor elke tenant afzonderlijk configureren. Klanten of partners die tenants inschakelen voor gebruik door meerdere eindgebruikerorganisaties moeten voor elke eindgebruikerorganisatie afzonderlijke sleutels implementeren.

WaarschuwingU kunt CMK gebruiken met nieuwe of bestaande tenants. Nadat u de sleutelprovider hebt gewijzigd om uw CMK te gebruiken, worden alle inactieve gegevens in de tenant versleuteld en ontsleuteld met deze sleutels.

Vereisten van CMK

U moet een AWS-account en AWS KMS-sleutel hebben om CMK te gebruiken met Qlik Cloud. Voor meer informatie over het instellen van een AWS KMS-account en het maken van een AWS KMS-sleutel, raadpleegt u AWS Key Management Service (KMS).

Nadat u de installatie in AWS hebt voltooid, kunt u de sleutelprovider in de tenant wijzigen om uw AWS KMS-sleutel te gebruiken.

Een nieuwe sleutelprovider maken in de tenant

Voordat u de sleutelprovider maakt, moet u controleren of uw AWS KMS-sleutel en beleid correct zijn geconfigureerd in AWS KMS. Zie: AWS Key Management Service (KMS). Qlik Cloud biedt ondersteuning voor de volgende sleutelproviders:

  • Qlik interne KMS (dit is de standaard KMS die gebruikmaakt van door Qlik beheerde sleutels)

  • AWS KMS

  1. In het Beheer-activiteitencentrum gaat u naar Instellingen.

  2. Klik onder Tenantversleuteling op Sleutelprovider wijzigen.

  3. Klik op de kaart Nieuwe maken.

  4. Geef de parameters op die zijn vereist voor de sleutelprovider.

    • Hoofdsleutelprovider: de AWS KMS-hoofdsleutelprovider is de enige optie die beschikbaar is.
    • Sleutel-ARN van KMS: de sleutel-ARN van KMS of de alias-ARN. De sleutel-ARN is de Amazon Resource Name (ARN) voor een KMS-sleutel. De alias-ARN is de Amazon Resource Name (ARN) van de AWS KMS-alias (de beschrijvende naam die wordt gegeven aan de AWS KMS-sleutel op het moment dat de sleutel werd gemaakt). Voor meer informatie raadpleegt u Gebeurtenissen van sleutelprovider Voor meer informatie over de sleutel-ARN of de alias-ARN van een KMS-sleutel raadpleegt u De sleutel-id en sleutel-ARN zoeken of De alias-naam en alias-ARN zoeken.
    • Titel: een titel om de nieuwe sleutelprovider te identificeren.
    • Beschrijving: optioneel
    • Kaart Sleutelprovider maken

      Een mastersleutelprovider maken
  5. Kies of u de sleutelproviderconfiguratie wilt toevoegen en wilt opslaan voor later gebruik of nu wilt starten met het migreren van de sleutel.

WaarschuwingNadat uw tenant is geconfigureerd voor CMK en u uw CMK uitschakelt of verwijdert, kunt u tenantgegevens niet meer ontsleutelen met deze sleutels. Bij een uitgeschakelde sleutel is toegang tot de gegevens weer mogelijk nadat de sleutel opnieuw is ingeschakeld. Bij een verwijderde sleutel is toegang tot niet meer mogelijk. Ga voor meer informatie naar Sleutelbeheer in AWS KMS.

De sleutelprovider in de tenant wijzigen

U kunt de sleutelprovider wijzigen van Qlik KMS naar AWS KMS, AWS KMS naar een andere AWS KMS, of terugzetten naar Qlik KMS vanuit AWS KMS. Tijdens het sleutelmigratieproces blijft de tenant werken zodat gebruikers nergens last van hebben.

WaarschuwingAls er een Business Associate Agreement (BAA) gerelateerd aan HIPAA van kracht is en u een PHI-onderwerp in HIPAA opslaat, kunt u Qlik KMS niet terugzetten vanuit AWS KMS. U moet een nieuwe AWS-sleutel maken en deze migreren naar de huidig gebruikte AW‑sleutel die moet worden vervangen.
  1. In het Beheer-activiteitencentrum gaat u naar Instellingen.
  2. Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
  3. Klik op het beletselteken op de kaart van de sleutelprovider waarnaar u wilt migreren.
  4. Selecteer Migreren.
  5. In het dialoogvenster Sleutelprovider wijzigen schakelt u het selectievakje in om de vervanging van de huidige sleutel te bevestigen en klikt u op Sleutelprovider wijzigen. Na een succesvolle migratie wordt de gemigreerde sleutelprovider actief.
InformatieDe status van de sleutelmigratie wordt elke 15 minuten bijgewerkt. Migraties duren gewoonlijk maximaal 24 uur, afhankelijk van het aantal artefacten in de tenant, zoals opmerkingen, apps, automatiseringen, waarschuwingen, gebeurtenislogboeken enz. Als uw migratie langer dan 24 uur duurt, dien dan een ticket in bij Qlik Support.
Informatie U kunt de wijziging van de encryptiesleutelprovider verifiëren op de pagina Gebeurtenissen in het Beheer-activiteitencentrum. Ga voor meer informatie over gebeurtenistypen van versleuteling die zijn gerelateerd aan migratie naar Gebeurtenissen van sleutelprovider.

De sleutelprovider valideren

U kunt op elk moment een AWS-sleutelprovider valideren. Met de validatie worden alle gezondheidscontroles uitgevoerd en wordt gecontroleerd of aan de vereiste regels is voldaan voor de migratie van de sleutelprovider. De validatie wordt ook automatisch uitgevoerd voordat er wordt gestart met de migratie van een sleutelprovider.

  1. In het Beheer-activiteitencentrum gaat u naar Instellingen.
  2. Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
  3. Klik op het beletselteken op de kaart van de sleutelprovider.
  4. Selecteer Valideren.

Een sleutelprovider verwijderen

Elke sleutelprovider, met uitzondering van de standaard Qlik-sleutelprovider, kan worden verwijderd als deze inactief is.

  1. In het Beheer-activiteitencentrum gaat u naar Instellingen.
  2. Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
  3. Klik op het beletselteken op de kaart van de sleutelprovider.
  4. Selecteer Verwijderen.

Gebeurtenissen van sleutelprovider

U kunt de wijzigingen van de encryptiesleutelprovider verifiëren op de pagina Gebeurtenissen in het Beheer-activiteitencentrum. Het gebeurtenissenlogboek legt de volgende gebeurtenistypen voor versleuteling vast:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Gebeurtenissen in AWS KMS worden geregistreerd in AWS CloudTrail onder Gebeurtenishistorie. Zoek naar de gebeurtenisnamen: Encrypt, GenerateDatakey, of Decrypt.

Qlik versleutelings-API en -connectoren

Naast de mogelijkheid om tenantversleuteling te configureren via het Beheer-activiteitencentrum, biedt Qlik nog enkele andere manieren om de levenscyclus van sleutelproviders te beheren.

AWS Key Management Service (KMS)

Qlik Cloud biedt ondersteuning voor een door klant beheerde sleutel (CMK) — Amazon verwijst hiernaar als een AWS KMS -sleutel of KMS -sleutel — van AWS KMS voor het versleutelen en ontsleutelen van uw tenantgegevens.

Hieronder vindt u de algemene stappen die zijn vereist voor het instellen van AWS voor gebruik met CMK. U moet een AWS KMS-account maken, uw AWS KMS-sleutel maken en uw sleutelbeleid configureren voor gebruik met Qlik Cloud CMK. Nadat u de installatie in AWS KMS hebt voltooid, kunt u de sleutelprovider in uw Qlik Cloud-tenant wijzigen om een AWS KMS-sleutel te gebruiken. Zie: Een nieuwe sleutelprovider maken in de tenant.

Een AWS-account maken

Ga naar Amazon Web Services om een account te maken.

Een symmetrische AWS KMS-sleutel gebruiken

In AWS maakt u een sleutel via de AWS KMS Beheerconsole of via de AWS KMS API met behulp van de opdracht CreateKey. Bij het configureren van uw multiregionale sleutel moet u er rekening mee houden dat er afhankelijk van de regio van de primaire sleutel beperkingen gelden voor de regio's die als back-upregio's geselecteerd kunnen worden.

  • AWS Regio—Selecteer de regio waar uw Qlik Cloud-tenant wordt gehost. Ondersteunde regio's voor Qlik Cloud en de gekoppelde regiocodes voor AWS staan hieronder weergegeven. Multiregionale sleutels worden ondersteund.

    Primaire regionaam Primaire regiocode Back-upregionaam Back-upregiocode
    VS - oost (Northern Virginia) us-east-1 VS - oost (Ohio) us-east-2
    Europa (Ierland) eu-west-1 Europa (Parijs) eu-west-3
    Europa (Londen) eu-west-2 Europa (Spanje) eu-south-2
    Europa (Frankfurt) eu-central-1 Europa (Milaan) eu-south-1
    Europa (Zweden) eu-north-1 n.v.t. n.v.t.
    Azië en Stille Oceaan (Singapore) ap-southeast-1 Azië en Stille Oceaan (Seoul) ap-northeast-2
    Azië en Stille Oceaan (Sydney) ap-southeast-2 Azië en Stille Oceaan (Melbourne) ap-southeast-4
    Japan (Tokio) ap-northeast-1 Japan (Osaka) ap-northeast-3
    India (Mumbai) ap-south-1 India (Hyderabad) ap-south-2

    De regio eu-north-1 Zweden heeft geen back-upregio vanwege het specifieke beleid voor gegevensdoorvoer.

    WaarschuwingU moet de sleutelparen maken volgens het bovenstaande diagram met back-upregio's in de AWS KMS-console om te zorgen dat u de juiste setup gebruikt voor een multiregionale sleutel voor gebruik in Qlik Cloud.
    Opmerking over Qlik Cloud GovernmentDe Qlik Cloud Government-regio's (us-gov-west-1 of us-gov-east-1) hebben geen configuratie voor een replicasleutel nodig om een CMK te registreren.
  • Sleuteltype—Symmetrisch. CMK biedt geen ondersteuning voor asymmetrische sleutels.

  • Sleutelgebruik—Versleutelen en ontsleutelen

Andere instellingen tijdens het maken van een sleutel zijn:

  • Een sleutel-alias opgeven

  • De IAM-gebruikers en -rollen (Identity and Access Management) definiëren voor het beheren van de sleutel

  • De IAM-gebruikers en -rollen selecteren die de sleutel in cryptografiebewerkingen kunnen gebruiken

  • Het sleutelbeleid configureren.

Voor meer informatie over het maken van een AWS KMS-sleutel raadpleegt u Sleutels maken.

Het sleutelbeleid voor AWS KMS configureren.

Met het sleutelbeleid wordt de toegang tot de AWS KMS-sleutel beheerd. Elke sleutel heeft zijn eigen beleid. Het sleutelbeleid moet de minimumgegevens en - machtigingen bevatten die zijn vereist voor het gebruik van uw AWS KMS-sleutel met Qlik Cloud Door klant beheerde sleutels. Als u een sleutel maakt met behulp van de AWS KMS Beheerconsole, maakt AWS KMS een standaard sleutelbeleid met instructies op basis van uw selecties tijdens het maken van de sleutel. Deze instructies bepalen welke IAM-gebruikers en -rollen binnen uw account de sleutel kunnen beheren en de sleutel in cryptografiebewerkingen kunnen gebruiken.

U moet het standaard sleutelbeleid bewerken om de machtigingen en parameters toe te voegen die zijn vereist om de sleutel met Qlik Cloud CMK te gebruiken. Hiertoe behoren:

  • AWS-proxyaccounts van Qlik en de vereiste IAM-rollen toestaan om een gegevensleutel te genereren en gegevens te versleutelen en ontsleutelen met uw AWS KMS-sleutel. U moet afzonderlijke IAM-rollen toevoegen tot het sleutelbeleid om CMKs met Qlik toepassingsautomatisering te kunnen gebruiken.

  • Uw Qlik Cloud tenant-id identificeren. De tenant-id wordt gebruikt als de versleutelingscontext. AWS KMS gebruikt de versleutelingscontext als aanvullende geauthenticeerde gegevens (AAD - additional authenticated data) ter ondersteuning van geauthenticeerde versleuteling. Dit betekent dat een tenant de cijfersleutels van een andere tenant niet kan ontsleutelen. Zie Versleutelingscontext. Als u dezelfde KMS-sleutel voor meerdere tenants gebruikt, moet u de tenant-id opnemen voor elke tenant in het sleutelbeleid.

  1. Controleer of uw klantaccount voor AWS en de IAM-gebruikers en -rollen correct zijn en zijn opgenomen in het beleid. Zie hiervoor: Voorbeeld van sleutelbeleid voor AWS KMS. Uw beleid bevat mogelijk ook andere instructies.
  2. Kopieer hieronder het vereiste stukje code voor Qlik Cloud en voeg deze toe aan uw sleutelbeleid. Voor Qlik Cloud Government-abonnementen kopieert u het stukje code van Qlik Cloud Government.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    [
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        },
        {
            "Sid": "Enable KMS Key policy for proxy account",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
  4. In de EncryptionContext tekenreeks vervangt u QLIK_TENANT_ID door uw Qlik Cloud tenant-id.

  5. Tip Om uw tenant-id te vinden, gaat u naar een activiteitencentrum, selecteert u uw gebruikersprofiel en selecteert u vervolgens Over. Onder Tenant-id selecteert en kopieert u de id-reeks. Gebruik niet de Weergavenaam of Alias-hostnaam in het Beheer-activiteitencentrum onder Instellingen > Tenant.
  6. Sla het sleutelbeleid op.

Voor meer informatie over sleutelbeleid voor AWS KMS raadpleegt u Sleutelbeleid in KMS.

Voorbeeld van sleutelbeleid voor AWS KMS

Het volgende voorbeeldsleutelbeleid omvat de basisvereisten voor het gebruik met Qlik Cloud Door klant beheerde sleutels.

  1. het klantaccount en IAM-gebruikers en -rollen die de sleutel kunnen beheren en gebruiken.

  2. De Qlik-accounts en IAM-rollen die toestemming hebben om de sleutel te gebruiken voor cryptografiebewerkingen: Encrypt, Decrypt en GenerateDataKey.

  3. De Qlik -accounts en Toepassingsautomatisering IAM-rollen die toestemming hebben om de sleutel te gebruiken voor Toepassingsautomatisering.

  4. De versleutelingscontext waarmee het tenantidentificatienummer (tenant-id) voor Qlik Cloud wordt geïdentificeerd.

De geselecteerde sectie (B, C en D) in het voorbeeldbeleid identificeert de parameters die vereist zijn voor Qlik Cloud Door klant beheerde sleutels.

Voorbeeld van sleutelbeleid voor AWS KMS

Voorbeeld van sleutelbeleid

KMS sleutel-ARN en alias-ARN

De Amazon Resource Name (ARN) is een unieke, volledig gekwalificeerde id voor de KMS-sleutel. Deze bevat de versleutelingscontext (tenant-id), het AWS-account, de regio en de sleutel-id. De ARN wordt gemaakt als u een AWS KMS-sleutel maakt in de AWS Key Management Service. In Qlik Cloud, als u de hoofdsleutelprovider in het Beheer-activiteitencentrum wijzigt om uw AWS KMS-sleutel te gebruiken, moet u de sleutel-ARN of de alias-ARN opgeven om de Qlik-versleutelingsservice te verbinden met uw AWS KMS-sleutel. Zie Een nieuwe sleutelprovider maken in de tenant.

A) AWS KMS sleutel-ARN en B) Alias-ARN in de AWS Key Management Service

AWS KMS sleutel-ARN en alias-ARN

De ARN gebruikt de indeling:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Het volgende is een voorbeeld van een geldige sleutel-ARN:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

De alias-ARN gebruikt de indeling:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Het volgende is een voorbeeld van een geldige alias-ARN waarbij CMK-Example-Alias de aliasnaam is:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Voor meer informatie over het vinden van de sleutel-ARN of de alias-ARN van een KMS-sleutel raadpleegt u De sleutel-id en sleutel-ARN zoeken of De alias-naam en alias-ARN zoeken.

AWS KMS multiregionale sleutel voor herstel na noodgeval

Met multiregionale sleutels hebt u toegang tot versleutelde gegevens en kunt u deze verwerken, zelfs als er bij een primaire regio een storing is opgetreden. Door een replica van de sleutel te maken, kunt u gegevens in de back-upregio ontsleutelen. Gegevens die in de back-up zijn versleuteld, kunnen na herstel in de primaire regio worden ontsleuteld.

Volg deze stappen om een multiregionale sleutel in AWS KMS te maken:

  1. Klik in de AWS Beheerconsole op Een sleutel maken.

  2. AWS Management Console met knop om een CMK-sleutel te maken.

  3. In stap 1 stelt u de sleutelconfiguratie in. In de sectie Geavanceerde opties selecteert u KMS voor Oorsprong sleutelmateriaal en in de sectie Regio, selecteert u Multiregionale sleutel. Klik op Volgende om door te gaan.

  4. AWS Management Console met knop om een CMK-sleutel te maken.

  5. In stap 2 voegt u een alias voor de sleutel toe. Nadat u een naam hebt toegevoegd, kunt u eventueel een beschrijving en labels toevoegen. Klik op Volgende om door te gaan.

  6. AWS Management Console met knop om een CMK-sleutel te maken.

  7. In stap 3 kunt u de IAM-gebruikers en -rollen definiëren voor het beheren van de sleutel. Klik op Volgende om door te gaan.

  8. AWS Management Console met knop om een CMK-sleutel te maken.

  9. In stap 4 kunt u de IAM-gebruikersrollen selecteren die gebruik kunnen maken van de KMS-sleutel. Klik op Volgende om door te gaan.

  10. AWS Management Console met knop om een CMK-sleutel te maken.

  11. In stap 5 controleert u de configuratiedetails. Zorg dat Regio is ingesteld op Multiregionale sleutel.

  12. AWS Management Console met knop om een CMK-sleutel te maken.


Het sleutelbeleid bevat alle vereisten voor het gebruik van de multiregionale sleutel met Qlik Cloud Door klant beheerde sleutels, inclusief de KMS-actie DescribeKey. Voor meer informatie over DescribeKey gaat u naar AWS KMS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
WaarschuwingAWS KMS biedt geen ondersteuning voor het wijzigen van het sleuteltype nadat het is gemaakt. Dit betekent dat een afzonderlijke regio niet kan worden gewijzigd in multiregionaal en andersom. Als uw bestaande sleutel al is geconfigureerd voor multiregionaal, dan kunt u het beleid aanpassen en de replicaregio's bijwerken.

Was deze pagina nuttig?

Als u problemen ervaart op deze pagina of de inhoud onjuist is – een typfout, een ontbrekende stap of een technische fout – laat het ons weten zodat we dit kunnen verbeteren!