Konfigurowanie szyfrowania dzierżawy
Skonfiguruj szyfrowanie dzierżawy w Qlik Cloud przy użyciu kluczy usługi AWS Key Management Service (KMS) swojej organizacji.
Administratorzy dzierżawy mogą konfigurować ustawienia szyfrowania dzierżawy. Nowa dzierżawa używa domyślnie wewnętrznego KMS Qlik do szyfrowania zawartości w dzierżawie. Jeśli Twoja organizacja chce używać własnego klucza zarządzanego przez klienta (CMK) do szyfrowania danych dzierżawy, możesz skonfigurować szyfrowanie dzierżawy tak, aby był używany CMK od obsługiwanego dostawcy kluczy.
Qlik Cloud obsługuje CMK z Amazon Web Services (AWS) Usługa zarządzania kluczami (KMS). Klienci mogą zdecydować się na używanie tego samego klucza dla wielu dzierżaw za pomocą definicji zasad klucza AWS KMS, chociaż nie jest to zalecane jako najlepsza praktyka. Integracja CMK i AWS KMS będzie obsługiwać szyfrowanie poszczególnych dzierżaw przy użyciu kontekstu szyfrowania interfejsu API AWS KMS, ale szyfrowanie należy skonfigurować indywidualnie dla każdej dzierżawy. Klienci lub partnerzy, którzy umożliwiają korzystanie z dzierżaw przez wiele organizacji użytkowników końcowych, muszą wdrożyć indywidualne klucze dla każdej organizacji użytkowników końcowych.
Wymagania wstępne CMK
Musisz mieć konto AWS i klucz AWS KMS, aby używać CMK z Qlik Cloud. Aby uzyskać więcej informacji na temat konfigurowania konta AWS KMS i tworzenia klucza AWS KMS, zobacz AWS Usługa zarządzania kluczami (KMS).
Po zakończeniu konfiguracji w AWS możesz zmienić dostawcę kluczy w dzierżawie, aby używać swojego klucza AWS KMS.
Tworzenie nowego dostawcy kluczy w dzierżawie
Przed zmianą dostawcy kluczy sprawdź, czy klucz AWS KMS i zasady zostały poprawnie skonfigurowane w AWS KMS. Zob. AWS Usługa zarządzania kluczami (KMS). Qlik Cloud obsługuje następujących dostawców kluczy:
-
Wewnętrzna usługa zarządzania kluczami Qlik (jest to domyślne KMS używające kluczy zarządzanych przez Qlik)
-
AWS KMS
Wykonaj następujące czynności:
-
W centrum aktywności Administrowanie wybierz Ustawienia.
-
W obszarze Szyfrowanie dzierżawy kliknij pozycję Zarządzaj dostawcą kluczy.
-
Kliknij kartę Utwórz nowy.
-
Wprowadź parametry wymagane przez dostawcę kluczy.
- Dostawca kluczy głównych: jedyną dostępną opcją jest Dostawca kluczy głównych AWS KMS.
- ARN klucza KMS: ARN klucza KMS lub alias ARN. ARN klucza jest nazwą zasobu Amazon (Amazon Resource Name, ARN) klucza KMS. Alias ARN to nazwa zasobu Amazon (Amazon Resource Name, ARN) aliasu AWS KMS (przyjazna nazwa nadana kluczowi AWS KMS podczas jego tworzenia). Aby uzyskać więcej informacji, zobacz temat Zdarzenia związane z dostawcą kluczy. Aby uzyskać informacje o tym, jak znaleźć ARN klucza lub alias ARN klucza KMS, zobacz temat Znajdowanie identyfikatora klucza i ARN klucza lub Znajdowanie nazwy aliasu i aliasu ARN.
- Tytuł: tytuł identyfikujący nowego dostawcę kluczy.
- Opis: opcjonalnie
-
Wybierz, czy chcesz dodać konfigurację dostawcy kluczy i zapisać ją na później, czy też rozpocząć migrację kluczy teraz.
Zmiana dostawcy kluczy w dzierżawie
Możesz zmienić dostawcę kluczy z Qlik KMS na AWS KMS, AWS KMS na inny AWS KMS lub powrócić do Qlik KMS z AWS KMS. Podczas migracji kluczy dzierżawa będzie nadal działać normalnie, bez wpływu na użytkowników.
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie wybierz Ustawienia.
- W obszarze Szyfrowanie dzierżawy kliknij pozycję Zarządzaj dostawcą kluczy.
- Kliknij wielokropek na karcie dostawcy kluczy, do którego chcesz dokonać migracji.
- Wybierz Migruj.
- W oknie dialogowym Zmień dostawcę kluczy zaznacz pole wyboru, aby potwierdzić zamianę bieżącego klucza, i kliknij Zmień dostawcę kluczy. Po pomyślnej migracji nowy dostawca kluczy stanie się aktywny.
Walidacja dostawcy kluczy
W dowolnym momencie możesz poddać walidacji dostawcę klucza AWS. Walidacja kończy wszystkie kontrole poprawności i weryfikuje zgodność ze zdefiniowanymi regułami wymaganymi w przypadku migracji dostawcy kluczy. Walidacja jest również przeprowadzana automatycznie przed rozpoczęciem migracji dowolnego dostawcy kluczy.
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie wybierz Ustawienia.
- W obszarze Szyfrowanie dzierżawy kliknij pozycję Zarządzaj dostawcą kluczy.
- Kliknij wielokropek na karcie dostawcy kluczy.
- Wybierz Sprawdź poprawność.
Usuwanie dostawcy kluczy
Dowolnego dostawcę kluczy, z wyjątkiem domyślnego dostawcy kluczy Qlik, można usunąć, jeśli jest nieaktywny.
Wykonaj następujące czynności:
- W centrum aktywności Administrowanie wybierz Ustawienia.
- W obszarze Szyfrowanie dzierżawy kliknij pozycję Zarządzaj dostawcą kluczy.
- Kliknij wielokropek na karcie dostawcy kluczy.
- Wybierz Usuń.
Zdarzenia związane z dostawcą kluczy
Zmiany dostawcy klucza szyfrowania możesz zweryfikować na stronie Zdarzenia w centrum aktywności Administrowanie. Dziennik zdarzeń przechwytuje następujące typy zdarzeń szyfrowania:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Zdarzenia w AWS KMS są rejestrowane w AWS CloudTrail w Historii zdarzeń. Wyszukaj nazwy zdarzeń: Encrypt, GenerateDatakey lub Decrypt.
API szyfrowania i łączniki Qlik
Oprócz konfigurowania szyfrowania dzierżawy w centrum aktywności Administrowanie Qlik oferuje kilka dodatkowych sposobów zarządzania cyklami życia dostawcy kluczy.
- Interfejs API szyfrowania do programowego zarządzania dostawcami kluczy. Zobacz dokumentację referencyjną API pod adresem qlik.dev.
- Łącznik AWS KMS Automatyzacja aplikacji Qlik, który umożliwia konfigurację dostawców kluczy w AWS. Zobacz temat Jak rozpocząć pracę z łącznikiem Amazon KMS.
- Łącznik Qlik Platform Operations i łącznik QCS, które są dostępne jako niewymagająca pisania kodu, natywna dla Qlik opcja umożliwiająca łatwe zarządzanie dostawcami kluczy przez manipulowanie blokami łączników w logicznym przepływie. Zobacz tematy Omówienie łącznika Qlik Platform Operations i Łączniki do automatyzacji aplikacji.
AWS Usługa zarządzania kluczami (KMS)
Qlik Cloud obsługuje używanie klucza zarządzanego przez klienta (CMK) — Amazon nazywa to kluczem AWS KMS lub KMS — z AWS KMS do szyfrowania i odszyfrowywania danych dzierżawy.
Poniżej przedstawiono ogólne kroki wymagane do skonfigurowania AWS do użytku z CMK. Musisz utworzyć konto AWS KMS, utworzyć klucz AWS KMS i skonfigurować zasady dotyczące kluczy do użytku z Qlik Cloud CMK. Po zakończeniu konfiguracji w AWS KMS możesz zmienić dostawcę kluczy w dzierżawie Qlik Cloud, aby używać klucza AWS KMS. Zob. Tworzenie nowego dostawcy kluczy w dzierżawie.
Tworzenie konta AWS
Przejdź do Amazon Web Services i utwórz konto.
Tworzenie symetrycznego klucza AWS KMS
W AWS utwórz klucz za pomocą Konsoli zarządzania AWS KMS lub interfejsu API AWS KMS za pomocą polecenia CreateKey. Konfigurując klucz wieloregionalny, należy pamiętać, że istnieją ograniczenia dotyczące wyboru regionów zapasowych w zależności od regionu klucza głównego.
-
Region AWS — wybierz region, w którym jest hostowana Twoja dzierżawa Qlik Cloud. Poniżej wymieniono obsługiwane regiony Qlik Cloud i powiązane z nimi kody zapasowych regionów AWS. Obsługiwane są klucze wieloregionalne.
Nazwa regionu głównego Kod regionu głównego Nazwa regionu zapasowego Kod regionu zapasowego Wschodnie USA (Wirginia Północna) us-east-1 Wschodnie USA (Ohio) us-east-2 Europa (Irlandia) eu-west-1 Europa (Paryż) eu-west-3 Europa (Londyn) eu-west-2 Europa (Hiszpania) eu-south-2 Europa (Frankfurt) eu-central-1 Europa (Mediolan) eu-south-1 Europa (Szwecja) eu-north-1 nd. nd. Azja i Pacyfik (Singapur) ap-southeast-1 Azja i Pacyfik (Seul) ap-northeast-2 Azja i Pacyfik (Sydney) ap-southeast-2 Azja i Pacyfik (Melbourne) ap-southeast-4 Japonia (Tokio) ap-northeast-1 Japonia (Osaka) ap-northeast-3 Indie (Bombaj) ap-south-1 Indie (Hajdarabad) ap-south-2 Region eu-north-1 Szwecja nie ma regionu zapasowego ze względu na specyficzną politykę tranzytu danych.
OstrzeżenieAby zapewnić poprawną konfigurację klucza wieloregionalnego do użycia w Qlik Cloud, należy utworzyć parę kluczy zgodnie z powyższą tabelą regionów zapasowych w konsoli AWS KMS.Uwaga dotycząca Qlik Cloud GovernmentRegiony Qlik Cloud Government (us-gov-west-1 lub us-gov-east-1) nie wymagają konfiguracji repliki klucza w celu rejestracji CMK. -
Typ klucza — symetryczny. CMK nie obsługuje kluczy asymetrycznych.
-
Użycie klucza — szyfrowanie i odszyfrowywanie
Inne ustawienia podczas tworzenia klucza obejmują:
-
Wprowadzenie aliasu klucza
-
Zdefiniowanie użytkowników na potrzeby zarządzania dostępem i tożsamością (IAM) oraz ról, które mogą administrować kluczem
-
Wybór użytkowników IAM i ról, które mogą używać klucza w operacjach kryptograficznych
-
Konfigurowanie zasady klucza.
Aby uzyskać więcej informacji na temat tworzenia klucza AWS KMS, zobacz Tworzenie kluczy.
Skonfiguruj zasadę klucza AWS KMS
Zasada klucza kontroluje dostęp do klucza AWS KMS. Każdy klucz ma swoją własną zasadę. Zasady kluczy muszą zawierać minimalne informacje i uprawnienia wymagane do używania klucza AWS KMS z funkcją Klucze zarządzane przez klienta Qlik Cloud. Gdy tworzysz klucz za pomocą Konsoli zarządzania AWS KMS, AWS KMS tworzy domyślną zasadę klucza z instrukcjami na podstawie wyborów dokonanych podczas tworzenia klucza. Instrukcje te określają użytkowników IAM i role na Twoim koncie, które mogą administrować kluczem oraz używać go w operacjach kryptograficznych.
Aby dodać uprawnienia i parametry wymagane do używania klucza z funkcją Qlik Cloud CMK, musisz edytować domyślną zasadę klucza. Obejmują one m. in.:
-
Zezwalanie kontom proxy AWS Qlik i wymaganym rolom IAM na generowanie klucza danych oraz szyfrowanie i odszyfrowywanie danych przy użyciu Twojego klucza AWS KMS. Aby używać CMK z Automatyzacja aplikacji Qlik, należy dodać osobne role IAM do zasady klucza.
-
Identyfikowanie identyfikatora dzierżawy Qlik Cloud. Identyfikator dzierżawy jest używany jako kontekst szyfrowania. AWS KMS używa kontekstu szyfrowania jako dodatkowych uwierzytelnionych danych (additional authenticated data, AAD) do obsługi uwierzytelnionego szyfrowania. Oznacza to, że jedna dzierżawa nie może odszyfrować kluczy szyfrujących innej dzierżawy. Zobacz Kontekst szyfrowania. Jeśli używasz tego samego klucza KMS dla wielu dzierżaw, musisz podać identyfikator dzierżawy dla każdej dzierżawy w zasadzie klucza.
Wykonaj następujące czynności:
- Twoje konto klienta AWS oraz użytkownicy i role IAM muszą być poprawne i uwzględnione w zasadzie, patrz Przykładowa zasada klucza AWS KMS. Twoja zasada może zawierać również inne instrukcje.
-
Skopiuj wymagany fragment kodu Qlik Cloud poniżej i dodaj go do zasady klucza. W przypadku subskrypcji Qlik Cloud Government skopiuj wstawkę kodu do Qlik Cloud Government.
-
W ciągu EncryptionContext zastąp QLIK_TENANT_ID swoim identyfikatorem TenantID Qlik Cloud.
- Zapisz zasadę klucza.
Wstawka kodu Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Wstawka kodu Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Aby uzyskać więcej informacji na temat zasad kluczy AWS KMS, zobacz Zasady kluczy w KMS.
Przykładowa zasada klucza AWS KMS
Poniższe przykładowe zasady kluczy obejmują podstawowe wymagania dotyczące używania z funkcją Klucze zarządzane przez klienta Qlik Cloud.
-
Konto klienta i użytkownicy IAM oraz role, które mogą administrować kluczem i go używać.
-
Konta Qlik i role IAM, które mogą używać klucza do operacji kryptograficznych: Encrypt, Decrypt i GenerateDataKey.
-
Konta Qlik i role IAM Automatyzacja aplikacji, które mogą używać klucza z Automatyzacja aplikacji.
-
Kontekst szyfrowania, który identyfikuje numer identyfikacyjny dzierżawy Qlik Cloud (TenantID).
Wybrana sekcja (B, C i D) w przykładzie zasady identyfikuje parametry wymagane przez funkcję Klucze zarządzane przez klienta Qlik Cloud.
ARN klucza KMS i alias ARN
Nazwa zasobu Amazon (Amazon Resource Name, ARN) to unikatowy, w pełni kwalifikowany identyfikator klucza KMS. Obejmuje kontekst szyfrowania (TenantID), konto AWS, region i identyfikator klucza. ARN jest tworzony podczas tworzenia klucza AWS KMS w Usługa zarządzania kluczami AWS. W Qlik Cloud podczas zmiany dostawcy klucza głównego w centrum aktywności Administrowanie w celu użycia klucza AWS KMS należy podać ARN klucza lub alias ARN, aby połączyć usługę szyfrowania Qlik z kluczem AWS KMS.Zobacz temat Tworzenie nowego dostawcy kluczy w dzierżawie.
ARN używa formatu:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Poniżej podano przykład prawidłowego ARN klucza:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Alias ARN ma format:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Poniżej znajduje się przykład prawidłowego aliasu ARN, gdzie CMK-Example-Alias jest nazwą aliasu:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Aby uzyskać więcej informacji na temat lokalizowania ARN klucza lub aliasu ARN dla klucza KMS, zobacz temat Znajdowanie identyfikatora klucza i ARN klucza lub Znajdowanie nazwy aliasu i aliasu ARN.
Klucz wieloregionalny do odzyskiwania po awarii (DR) AWS KMS
Klucze wieloregionalne umożliwiają uzyskiwanie dostępu do zaszyfrowanych danych i ich przetwarzanie, nawet kiedy w głównym regionie występuje awaria. Dzięki replice klucza można odszyfrować dane w regionie zapasowym, a dane zaszyfrowane w kopii zapasowej można później odszyfrować po przywróceniu w regionie głównym.
Aby utworzyć klucz wieloregionalny w AWS KMS, wykonaj następujące kroki:
-
W AWS Management Console kliknij Create a key.
-
W kroku 1 skonfigurujesz konfigurację klucza. W sekcji Advanced options wybierz KMS dla Key material origin, a w sekcji Regionality wybierz Multi-region key. Kliknij Dalej, aby kontynuować.
-
W kroku 2 dodasz alias dla klucza. Po dodaniu nazwy możesz dodać opis i znaczniki. Kliknij Dalej, aby kontynuować.
-
W kroku 3 możesz wybrać użytkowników IAM i role, które mogą administrować kluczem. Kliknij Dalej, aby kontynuować.
-
W kroku 4 możesz wybrać role użytkowników IAM, którzy mogą używać klucza KMS. Aby kontynuować, kliknij Dalej.
-
W kroku 5 sprawdzisz szczegóły konfiguracji. Upewnij się, czy Regionality ma ustawienie Multi-region key.
Zasady dotyczące kluczy obejmują wszystkie wymagania odnoszące się do stosowania klucza wieloregionalnego z funkcją Qlik Cloud Klucze zarządzane przez klienta, w tym działanie KMS DescribeKey. Więcej informacji na temat działania DescribeKey zawiera temat AWS KMS DescribeKey.