Ir para conteúdo principal Pular para conteúdo complementar
Recursos da Qilk

Configurando a criptografia de locatário

Os administradores de locatários podem definir configurações de criptografia de locatário. Por padrão, um novo locatário usa o Qlik Interno KMS para criptografar o conteúdo do locatário. Se sua organização quiser usar sua própria chave gerenciada pelo cliente (CMK) para criptografar os dados do locatário, você poderá configurar a criptografia do locatário para usar uma CMK de um provedor de chaves com suporte.

O Qlik Cloud oferece suporte ao uso de um CMK a partir do Amazon Web Services (AWS) Key Management Service (KMS). Os clientes podem optar por usar a mesma chave para vários locatários, por meio da definição da política de chaves KMS AWS, embora isso não seja recomendado como melhor prática. A integração do CMK e do KMS AWS manterá a criptografia por locatário usando o contexto de criptografia da API KMS AWS, mas você deve configurar a criptografia para cada locatário individualmente. Clientes ou parceiros que permitem que locatários sejam usados por várias organizações de usuários finais precisam implementar chaves individuais por organização de usuário final.

Nota de advertênciaVocê apenas pode usar CMK com locatários (locatários novos ou existentes) que estejam vazios. O locatário não deve conter dados, aplicativos ou conteúdo quando você configurar a criptografia de locatário. No entanto, você pode configurar seu IdP antes de configurar a criptografia no locatário. É altamente recomendável que você defina as configurações de criptografia imediatamente após a criação do locatário e antes de qualquer uso. Depois de alterar o provedor de chaves para usar seu CMK, todos os dados em repouso no locatário serão criptografados e descriptografados usando essas chaves. Você não poderá voltar a usar chaves KMS interno do Qlik para criptografia.

Pré-requisitos para CMK

Você deve ter uma conta AWS e uma chave KMS AWS para usar CMK com Qlik Cloud. Para obter mais informações sobre como configurar uma conta KMS AWS e criar uma chave KMS AWS, consulte AWS Key Management Service (KMS).

Depois de concluir a configuração no AWS, você poderá alterar o provedor da chave no locatário para usar sua chave KMS AWS.

Alterar o provedor de chave no locatário

Antes de alterar o provedor de chave, verifique se a política e a chave KMS AWS foram configuradas corretamente no KMS AWS. Consulte AWS Key Management Service (KMS). O Qlik Cloud oferece suporte aos seguintes provedores de chave:

  • KMS interno do Qlik (esse é o KMS padrão usando chaves gerenciadas pelo Qlik)

  • KMS AWS

Nota de advertênciaCertifique-se de usar um locatário vazio e não utilizado que não contenha dados, aplicativos ou conteúdo, exceto configurações de IdP.

Faça o seguinte:

  1. No Management Console, acesse Configurações.

  2. Em Criptografia do locatário, clique em Alterar provedor de chaves.

  3. Selecione o provedor da chave mestra na lista, por exemplo, KMS AWS.

    Selecionar um provedor de chave mestra

  4. Insira os parâmetros exigidos pelo provedor de chave e clique em Aplicar. Por exemplo, para KMS AWS, você deve inserir o ARN da chave KMS ou o ARN do alias. O ARN da chave é o nome de recurso da Amazon (ARN) de uma chave KMS. O ARN do alias é o nome de recurso da Amazon (ARN) do alias do AWS KMS (o nome amigável dado para a chave KMS AWS quando essa chave foi criada). Para obter mais informações, consulte ARN da chave KMS e ARN do alias.

    Configurar o ARN da chave KMS

     

    Nota de dicaPara obter informações sobre como localizar o ARN da chave ou o ARN do alias de uma chave KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.

  5. Confirme que você deseja alterar o provedor de chave e clique em Alterar.


    Confirmar a alteração para um novo provedor de chave

  6. Clique em Concluído para concluir o processo.

Nota de advertênciaDepois que seu locatário estiver configurado para CMK, se você desativar ou excluir sua CMK, os dados do locatário não poderão ser descriptografados usando essas chaves. Para uma chave desativada, se ela for reativada, o acesso aos dados será restabelecido. Para uma chave excluída, o acesso aos dados será perdido permanentemente. Para obter mais informações, consulte Gerenciamento de chaves no KMS AWS.
Nota informativa
  • Você pode verificar a alteração no provedor de chave de criptografia na página Eventos do Management Console. O log de eventos captura o seguinte tipo de evento de criptografia: com.qlik.v1.encryption.keyprovider.created.
  • Os eventos no KMS AWS são registrados no AWS CloudTrail em Histórico de eventos. Procure os Nomes de eventos: GenerateDatakey ou Decrypt.

AWS Key Management Service (KMS)

O Qlik Cloud oferece suporte ao uso de uma chave gerenciada pelo cliente (CMK), que a Amazon chama de chave KMS AWS ou chave KMS, a partir do KMS AWS para criptografar e descriptografar seus dados de locatário.

Abaixo estão as etapas gerais necessárias para configurar AWS para uso com CMK. Você deve criar uma conta KMS AWS, criar sua chave KMS AWS e configurar sua política de chave para uso com Qlik Cloud CMK. Depois de concluir a configuração no KMS AWS, você poderá alterar o provedor de chave no locatário Qlik Cloud para usar uma chave KMS AWS. Consulte Alterar o provedor de chave no locatário.

Criar uma conta AWS

Acesse Amazon Web Services e crie uma conta.

Nota informativaSua conta do KMS AWS deve estar na mesma região do seu locatário do Qlik Cloud.

Criar uma chave KMS AWS simétrica

No AWS, crie uma chave usando o KMS AWS Management Console ou por meio da API KMS AWS usando o comando CreateKey. Ao criar sua chave, defina essas configurações da seguinte forma:

  • Região da AWS: selecione a região em que seu locatário Qlik Cloud está hospedado. As regiões da Qlik Cloud com suporte e seus nomes de regiões da AWS associadas estão listados abaixo. Atualmente, apenas chaves de região única são aceitas.

    • Américas (EUA): us-east-1

    • Europa (Irlanda): eu-west-1

    • Ásia-Pacífico 1 (Singapura): ap-southeast-1

    • Ásia Pacífico 2 (Austrália): ap-southeast-2

    • GovCloud (EUA): us-gov-west-1

      • Nota do Qlik Sense Enterprise SaaS GovernmentA região GovCloud é compatível com o FIPS. Portanto, o uso de chaves gerenciadas pelo cliente no AWS GovCloud também é compatível com o FIPS por padrão.

  • Tipo de chave: Simétrica. O CMK não oferece suporte a chaves assimétricas.

  • Uso da chave: criptografia e descriptografia

Outras configurações durante a criação da chave incluem:

  • Inserir um alias de chave

  • Definir os usuários e as funções do IAM que podem administrar a chave

  • Selecionar os usuários e as funções do IAM que podem usar a chave em operações criptográficas

  • Configurar a política de chaves.

Para obter mais informações sobre a criação de uma chave AWS KMS, consulte Criar chaves.

Configurar a política de chave do KMS AWS

A política de chaves controla o acesso à chave do AWS KMS. Cada chave tem sua própria política. A política de chave deve incluir as informações e permissões mínimas necessárias para usar sua chave do KMS AWS com Qlik Cloud Chaves gerenciadas pelo cliente. Quando você cria uma chave usando o KMS AWS Management Console, o KMS AWS cria uma política de chaves padrão com instruções baseadas nas suas seleções durante a criação da chave. Essas instruções determinam os usuários e as funções do IAM na sua conta que podem administrar a chave e usá-la em operações criptográficas.

Você deve editar a política de chaves padrão para adicionar as permissões e os parâmetros necessários para usar a chave com o Qlik Cloud CMK. Elas incluem:

  • Permitir que as contas proxy AWS da Qlik e as funções do IAM necessárias gerem uma chave de dados, criptografem e descriptografem dados usando sua chave do KMS AWS. Funções separadas do IAM devem ser adicionadas à política de chave para usar CMKs com o Qlik Application Automation.

  • Identificar seu TenantID do Qlik Cloud. O ID de locatário é usado como contexto de criptografia. O KMS AWS usa o contexto de criptografia como dados autenticados adicionais (AAD) para oferecer suporte à criptografia autenticada. Isso significa que um locatário não pode decifrar as chaves codificadas de outro locatário. Consulte Contexto de criptografia. Se você estiver usando a mesma chave do KMS para vários locatários, deverá incluir o ID de cada locatário na política de chave.

Faça o seguinte:

  1. Certifique-se de que sua conta AWS de cliente e os usuários e funções do IAM estejam corretos e incluídos na política, consulte Exemplo de política de chave do KMS AWS. Sua política também pode incluir outras instruções.

  2. Copie o trecho de código Qlik Cloud necessário abaixo e adicione-o à sua política de chaves. Para assinaturas do Qlik Cloud Government, copie o trecho de código Qlik Cloud Government.

    3. Trecho de código Qlik Cloud

    
               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

    Trecho de código Qlik Cloud Government

    
                
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

  3. Na string EncryptionContext, substitua QLIK_TENANT_ID pelo TenantID do Qlik Cloud.

    4. Nota de dicaPara encontrar seu ID de locatário, no hub do seu locatário do Qlik Cloud, selecione seu perfil de usuário e depois selecione Sobre. Em ID do locatário, selecione e copie a string de ID. Não use o nome de Nome de exibição ou o Nome de host do alias no Management Console em Configurações > Locatário.
  4. Salve a política de chave.

Para obter mais informações sobre políticas de chave do KMS AWS, consulte Políticas de chaves no KMS.

Exemplo de política de chave do KMS AWS

O exemplo de política de chave a seguir inclui os requisitos básicos para uso com o Qlik Cloud Chaves gerenciadas pelo cliente.

  1. A conta do cliente e os usuários e as funções do IAM que podem administrar e usar a chave.

  2. As contas da Qlik e as funções do IAM que têm permissão para usar a chave para operações criptográficas: Encrypt, Decrypt e GenerateDataKey.

  3. As contas Qlik e funções do Automação de aplicativos IAM que podem usar a chave com o Automação de aplicativos.

  4. O contexto de criptografia que identifica seu número de identificação de locatário Qlik Cloud (TenantID).

A seção selecionada (B, C e D) no exemplo de política identifica os parâmetros exigidos pelo Qlik Cloud Chaves gerenciadas pelo cliente.

Exemplo de política chave do KMS AWS

Exemplo de política de chave

ARN da chave KMS e ARN do alias

O Nome de recurso da Amazon (ARN) é um identificador exclusivo e totalmente qualificado para a chave KMS. Ele inclui o contexto de criptografia (TenantID), a conta AWS, a região e o ID da chave. O ARN é criado quando você cria uma chave KMS AWS no AWS Key Management Service. No Qlik Cloud, ao alterar o provedor de chave mestra no Management Console para usar sua chave KMS AWS, você deve fornecer o ARN da chave ou o ARN do alias para conectar o serviço de criptografia Qlik à sua chave KMS AWS. Consulte Alterar o provedor de chave no locatário.

A) ARN da chave KMS AWS e B) ARN do alias no AWS Key Management Service

ARN da chave do AWS KMS e ARN do alias

O ARN usa o formato:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Veja a seguir um exemplo de um ARN de chave válido:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

O ARN do alias usa o formato:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Veja a seguir um exemplo de um ARN de alias válido em que CMK-Example-Alias é o nome do alias:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Para obter mais informações sobre como localizar o ARN da chave ou o ARN do alias da sua chave do KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!

Enviar feedback