Tenantversleuteling configureren
Stel tenantversleuteling in Qlik Cloud in met behulp van de AWS Key Management Service-sleutels (KMS) van uw organisatie.
Tenantbeheerders kunnen instellingen voor de tenantversleuteling configureren. Standaard gebruikt een nieuwe tenant de interne KMS van Qlik voor het versleutelen van inhoud in de tenant. Als uw organisatie een eigen door klant beheerde sleutel (CMK) wil gebruiken voor het versleutelen van tenantgegevens, kunt u de tenantversleuteling configureren om een CMK van een ondersteunde sleutelprovider te gebruiken.
Qlik Cloud ondersteunt het gebruik van een CMK van de Amazon Web Services (AWS) Key Management Service (KMS). Klanten kunnen dezelfde sleutel voor meerdere tenants gebruiken via de beleiddefinitie van de AWS KMS-sleutel, al wordt dit niet aanbevolen. De integratie van CMK en AWS KMS onderhoudt tenantversleuteling met gebruik van de versleutelingscontext van de AWS KMS API, maar u moet de versleuteling voor elke tenant afzonderlijk configureren. Klanten of partners die tenants inschakelen voor gebruik door meerdere eindgebruikerorganisaties moeten voor elke eindgebruikerorganisatie afzonderlijke sleutels implementeren.
Vereisten van CMK
U moet een AWS-account en AWS KMS-sleutel hebben om CMK te gebruiken met Qlik Cloud. Voor meer informatie over het instellen van een AWS KMS-account en het maken van een AWS KMS-sleutel, raadpleegt u AWS Key Management Service (KMS).
Nadat u de installatie in AWS hebt voltooid, kunt u de sleutelprovider in de tenant wijzigen om uw AWS KMS-sleutel te gebruiken.
Een nieuwe sleutelprovider maken in de tenant
Voordat u de sleutelprovider maakt, moet u controleren of uw AWS KMS-sleutel en beleid correct zijn geconfigureerd in AWS KMS. Zie: AWS Key Management Service (KMS). Qlik Cloud biedt ondersteuning voor de volgende sleutelproviders:
-
Qlik interne KMS (dit is de standaard KMS die gebruikmaakt van door Qlik beheerde sleutels)
-
AWS KMS
Doe het volgende:
-
In het Beheer-activiteitencentrum gaat u naar Instellingen.
-
Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
-
Klik op de kaart Nieuwe maken.
-
Geef de parameters op die zijn vereist voor de sleutelprovider.
- Hoofdsleutelprovider: de AWS KMS-hoofdsleutelprovider is de enige optie die beschikbaar is.
- Sleutel-ARN van KMS: de sleutel-ARN van KMS of de alias-ARN. De sleutel-ARN is de Amazon Resource Name (ARN) voor een KMS-sleutel. De alias-ARN is de Amazon Resource Name (ARN) van de AWS KMS-alias (de beschrijvende naam die wordt gegeven aan de AWS KMS-sleutel op het moment dat de sleutel werd gemaakt). Voor meer informatie raadpleegt u Gebeurtenissen van sleutelprovider Voor meer informatie over de sleutel-ARN of de alias-ARN van een KMS-sleutel raadpleegt u De sleutel-id en sleutel-ARN zoeken of De alias-naam en alias-ARN zoeken.
- Titel: een titel om de nieuwe sleutelprovider te identificeren.
- Beschrijving: optioneel
-
Kies of u de sleutelproviderconfiguratie wilt toevoegen en wilt opslaan voor later gebruik of nu wilt starten met het migreren van de sleutel.
De sleutelprovider in de tenant wijzigen
U kunt de sleutelprovider wijzigen van Qlik KMS naar AWS KMS, AWS KMS naar een andere AWS KMS, of terugzetten naar Qlik KMS vanuit AWS KMS. Tijdens het sleutelmigratieproces blijft de tenant werken zodat gebruikers nergens last van hebben.
Doe het volgende:
- In het Beheer-activiteitencentrum gaat u naar Instellingen.
- Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
- Klik op het beletselteken op de kaart van de sleutelprovider waarnaar u wilt migreren.
- Selecteer Migreren.
- In het dialoogvenster Sleutelprovider wijzigen schakelt u het selectievakje in om de vervanging van de huidige sleutel te bevestigen en klikt u op Sleutelprovider wijzigen. Na een succesvolle migratie wordt de gemigreerde sleutelprovider actief.
De sleutelprovider valideren
U kunt op elk moment een AWS-sleutelprovider valideren. Met de validatie worden alle gezondheidscontroles uitgevoerd en wordt gecontroleerd of aan de vereiste regels is voldaan voor de migratie van de sleutelprovider. De validatie wordt ook automatisch uitgevoerd voordat er wordt gestart met de migratie van een sleutelprovider.
Doe het volgende:
- In het Beheer-activiteitencentrum gaat u naar Instellingen.
- Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
- Klik op het beletselteken op de kaart van de sleutelprovider.
- Selecteer Valideren.
Een sleutelprovider verwijderen
Elke sleutelprovider, met uitzondering van de standaard Qlik-sleutelprovider, kan worden verwijderd als deze inactief is.
Doe het volgende:
- In het Beheer-activiteitencentrum gaat u naar Instellingen.
- Klik onder Tenantversleuteling op Sleutelprovider wijzigen.
- Klik op het beletselteken op de kaart van de sleutelprovider.
- Selecteer Verwijderen.
Gebeurtenissen van sleutelprovider
U kunt de wijzigingen van de encryptiesleutelprovider verifiëren op de pagina Gebeurtenissen in het Beheer-activiteitencentrum. Het gebeurtenissenlogboek legt de volgende gebeurtenistypen voor versleuteling vast:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Gebeurtenissen in AWS KMS worden geregistreerd in AWS CloudTrail onder Gebeurtenishistorie. Zoek naar de gebeurtenisnamen: Encrypt, GenerateDatakey, of Decrypt.
Qlik versleutelings-API en -connectoren
Naast de mogelijkheid om tenantversleuteling te configureren via het Beheer-activiteitencentrum, biedt Qlik nog enkele andere manieren om de levenscyclus van sleutelproviders te beheren.
- Een versleutelings-API om de sleutelproviders via programmeertaal te beheren. Raadpleeg de referentiedocumentatie voor API op qlik.dev.
- Een AWS KMS Qlik toepassingsautomatisering‑connector waarmee u de sleutelproviders in AWS kunt configureren. Raadpleeg Aan de slag met de Amazon KMS-connector
- De Qlik Platform Operations-connector en QCS-connector zijn een systeemeigen optie in Qlik zonder code, waarmee u eenvoudig sleutelproviders kunt beheren door connectorblokken in een logische stroom te bewerken. ZieOverzicht Qlik Platform Operations-connector en Application Automation-connectoren.
AWS Key Management Service (KMS)
Qlik Cloud biedt ondersteuning voor een door klant beheerde sleutel (CMK) — Amazon verwijst hiernaar als een AWS KMS -sleutel of KMS -sleutel — van AWS KMS voor het versleutelen en ontsleutelen van uw tenantgegevens.
Hieronder vindt u de algemene stappen die zijn vereist voor het instellen van AWS voor gebruik met CMK. U moet een AWS KMS-account maken, uw AWS KMS-sleutel maken en uw sleutelbeleid configureren voor gebruik met Qlik Cloud CMK. Nadat u de installatie in AWS KMS hebt voltooid, kunt u de sleutelprovider in uw Qlik Cloud-tenant wijzigen om een AWS KMS-sleutel te gebruiken. Zie: Een nieuwe sleutelprovider maken in de tenant.
Een AWS-account maken
Ga naar Amazon Web Services om een account te maken.
Een symmetrische AWS KMS-sleutel gebruiken
In AWS maakt u een sleutel via de AWS KMS Beheerconsole of via de AWS KMS API met behulp van de opdracht CreateKey. Bij het configureren van uw multiregionale sleutel moet u er rekening mee houden dat er afhankelijk van de regio van de primaire sleutel beperkingen gelden voor de regio's die als back-upregio's geselecteerd kunnen worden.
-
AWS Regio—Selecteer de regio waar uw Qlik Cloud-tenant wordt gehost. Ondersteunde regio's voor Qlik Cloud en de gekoppelde regiocodes voor AWS staan hieronder weergegeven. Multiregionale sleutels worden ondersteund.
Primaire regionaam Primaire regiocode Back-upregionaam Back-upregiocode VS - oost (Northern Virginia) us-east-1 VS - oost (Ohio) us-east-2 Europa (Ierland) eu-west-1 Europa (Parijs) eu-west-3 Europa (Londen) eu-west-2 Europa (Spanje) eu-south-2 Europa (Frankfurt) eu-central-1 Europa (Milaan) eu-south-1 Europa (Zweden) eu-north-1 n.v.t. n.v.t. Azië en Stille Oceaan (Singapore) ap-southeast-1 Azië en Stille Oceaan (Seoul) ap-northeast-2 Azië en Stille Oceaan (Sydney) ap-southeast-2 Azië en Stille Oceaan (Melbourne) ap-southeast-4 Japan (Tokio) ap-northeast-1 Japan (Osaka) ap-northeast-3 India (Mumbai) ap-south-1 India (Hyderabad) ap-south-2 De regio eu-north-1 Zweden heeft geen back-upregio vanwege het specifieke beleid voor gegevensdoorvoer.
WaarschuwingU moet de sleutelparen maken volgens het bovenstaande diagram met back-upregio's in de AWS KMS-console om te zorgen dat u de juiste setup gebruikt voor een multiregionale sleutel voor gebruik in Qlik Cloud.Opmerking over Qlik Cloud GovernmentDe Qlik Cloud Government-regio's (us-gov-west-1 of us-gov-east-1) hebben geen configuratie voor een replicasleutel nodig om een CMK te registreren. -
Sleuteltype—Symmetrisch. CMK biedt geen ondersteuning voor asymmetrische sleutels.
-
Sleutelgebruik—Versleutelen en ontsleutelen
Andere instellingen tijdens het maken van een sleutel zijn:
-
Een sleutel-alias opgeven
-
De IAM-gebruikers en -rollen (Identity and Access Management) definiëren voor het beheren van de sleutel
-
De IAM-gebruikers en -rollen selecteren die de sleutel in cryptografiebewerkingen kunnen gebruiken
-
Het sleutelbeleid configureren.
Voor meer informatie over het maken van een AWS KMS-sleutel raadpleegt u Sleutels maken.
Het sleutelbeleid voor AWS KMS configureren.
Met het sleutelbeleid wordt de toegang tot de AWS KMS-sleutel beheerd. Elke sleutel heeft zijn eigen beleid. Het sleutelbeleid moet de minimumgegevens en - machtigingen bevatten die zijn vereist voor het gebruik van uw AWS KMS-sleutel met Qlik Cloud Door klant beheerde sleutels. Als u een sleutel maakt met behulp van de AWS KMS Beheerconsole, maakt AWS KMS een standaard sleutelbeleid met instructies op basis van uw selecties tijdens het maken van de sleutel. Deze instructies bepalen welke IAM-gebruikers en -rollen binnen uw account de sleutel kunnen beheren en de sleutel in cryptografiebewerkingen kunnen gebruiken.
U moet het standaard sleutelbeleid bewerken om de machtigingen en parameters toe te voegen die zijn vereist om de sleutel met Qlik Cloud CMK te gebruiken. Hiertoe behoren:
-
AWS-proxyaccounts van Qlik en de vereiste IAM-rollen toestaan om een gegevensleutel te genereren en gegevens te versleutelen en ontsleutelen met uw AWS KMS-sleutel. U moet afzonderlijke IAM-rollen toevoegen tot het sleutelbeleid om CMKs met Qlik toepassingsautomatisering te kunnen gebruiken.
-
Uw Qlik Cloud tenant-id identificeren. De tenant-id wordt gebruikt als de versleutelingscontext. AWS KMS gebruikt de versleutelingscontext als aanvullende geauthenticeerde gegevens (AAD - additional authenticated data) ter ondersteuning van geauthenticeerde versleuteling. Dit betekent dat een tenant de cijfersleutels van een andere tenant niet kan ontsleutelen. Zie Versleutelingscontext. Als u dezelfde KMS-sleutel voor meerdere tenants gebruikt, moet u de tenant-id opnemen voor elke tenant in het sleutelbeleid.
Doe het volgende:
- Controleer of uw klantaccount voor AWS en de IAM-gebruikers en -rollen correct zijn en zijn opgenomen in het beleid. Zie hiervoor: Voorbeeld van sleutelbeleid voor AWS KMS. Uw beleid bevat mogelijk ook andere instructies.
-
Kopieer hieronder het vereiste stukje code voor Qlik Cloud en voeg deze toe aan uw sleutelbeleid. Voor Qlik Cloud Government-abonnementen kopieert u het stukje code van Qlik Cloud Government.
-
In de EncryptionContext tekenreeks vervangt u QLIK_TENANT_ID door uw Qlik Cloud tenant-id.
- Sla het sleutelbeleid op.
Stukje code van Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Stukje code van Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Voor meer informatie over sleutelbeleid voor AWS KMS raadpleegt u Sleutelbeleid in KMS.
Voorbeeld van sleutelbeleid voor AWS KMS
Het volgende voorbeeldsleutelbeleid omvat de basisvereisten voor het gebruik met Qlik Cloud Door klant beheerde sleutels.
-
het klantaccount en IAM-gebruikers en -rollen die de sleutel kunnen beheren en gebruiken.
-
De Qlik-accounts en IAM-rollen die toestemming hebben om de sleutel te gebruiken voor cryptografiebewerkingen: Encrypt, Decrypt en GenerateDataKey.
-
De Qlik -accounts en Toepassingsautomatisering IAM-rollen die toestemming hebben om de sleutel te gebruiken voor Toepassingsautomatisering.
-
De versleutelingscontext waarmee het tenantidentificatienummer (tenant-id) voor Qlik Cloud wordt geïdentificeerd.
De geselecteerde sectie (B, C en D) in het voorbeeldbeleid identificeert de parameters die vereist zijn voor Qlik Cloud Door klant beheerde sleutels.
KMS sleutel-ARN en alias-ARN
De Amazon Resource Name (ARN) is een unieke, volledig gekwalificeerde id voor de KMS-sleutel. Deze bevat de versleutelingscontext (tenant-id), het AWS-account, de regio en de sleutel-id. De ARN wordt gemaakt als u een AWS KMS-sleutel maakt in de AWS Key Management Service. In Qlik Cloud, als u de hoofdsleutelprovider in het Beheer-activiteitencentrum wijzigt om uw AWS KMS-sleutel te gebruiken, moet u de sleutel-ARN of de alias-ARN opgeven om de Qlik-versleutelingsservice te verbinden met uw AWS KMS-sleutel. Zie Een nieuwe sleutelprovider maken in de tenant.
De ARN gebruikt de indeling:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Het volgende is een voorbeeld van een geldige sleutel-ARN:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
De alias-ARN gebruikt de indeling:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Het volgende is een voorbeeld van een geldige alias-ARN waarbij CMK-Example-Alias de aliasnaam is:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Voor meer informatie over het vinden van de sleutel-ARN of de alias-ARN van een KMS-sleutel raadpleegt u De sleutel-id en sleutel-ARN zoeken of De alias-naam en alias-ARN zoeken.
AWS KMS multiregionale sleutel voor herstel na noodgeval
Met multiregionale sleutels hebt u toegang tot versleutelde gegevens en kunt u deze verwerken, zelfs als er bij een primaire regio een storing is opgetreden. Door een replica van de sleutel te maken, kunt u gegevens in de back-upregio ontsleutelen. Gegevens die in de back-up zijn versleuteld, kunnen na herstel in de primaire regio worden ontsleuteld.
Volg deze stappen om een multiregionale sleutel in AWS KMS te maken:
-
Klik in de AWS Beheerconsole op Een sleutel maken.
-
In stap 1 stelt u de sleutelconfiguratie in. In de sectie Geavanceerde opties selecteert u KMS voor Oorsprong sleutelmateriaal en in de sectie Regio, selecteert u Multiregionale sleutel. Klik op Volgende om door te gaan.
-
In stap 2 voegt u een alias voor de sleutel toe. Nadat u een naam hebt toegevoegd, kunt u eventueel een beschrijving en labels toevoegen. Klik op Volgende om door te gaan.
-
In stap 3 kunt u de IAM-gebruikers en -rollen definiëren voor het beheren van de sleutel. Klik op Volgende om door te gaan.
-
In stap 4 kunt u de IAM-gebruikersrollen selecteren die gebruik kunnen maken van de KMS-sleutel. Klik op Volgende om door te gaan.
-
In stap 5 controleert u de configuratiedetails. Zorg dat Regio is ingesteld op Multiregionale sleutel.
Het sleutelbeleid bevat alle vereisten voor het gebruik van de multiregionale sleutel met Qlik Cloud Door klant beheerde sleutels, inclusief de KMS-actie DescribeKey. Voor meer informatie over DescribeKey gaat u naar AWS KMS DescribeKey.