Configurando a criptografia de locatário
Configure a criptografia de locatário no Qlik Cloud usando as chaves do AWS Key Management Service (KMS) da sua organização.
Os administradores de locatários podem definir configurações de criptografia de locatário. Por padrão, um novo locatário usa o Qlik Interno KMS para criptografar o conteúdo do locatário. Se sua organização quiser usar sua própria chave gerenciada pelo cliente (CMK) para criptografar os dados do locatário, você poderá configurar a criptografia do locatário para usar uma CMK de um provedor de chaves com suporte.
O Qlik Cloud oferece suporte ao uso de um CMK a partir do Amazon Web Services (AWS) Key Management Service (KMS). Os clientes podem optar por usar a mesma chave para vários locatários, por meio da definição da política de chaves KMS AWS, embora isso não seja recomendado como melhor prática. A integração do CMK e do KMS AWS manterá a criptografia por locatário usando o contexto de criptografia da API KMS AWS, mas você deve configurar a criptografia para cada locatário individualmente. Clientes ou parceiros que permitem que locatários sejam usados por várias organizações de usuários finais precisam implementar chaves individuais por organização de usuário final.
Pré-requisitos para CMK
Você deve ter uma conta AWS e uma chave KMS AWS para usar CMK com Qlik Cloud. Para obter mais informações sobre como configurar uma conta KMS AWS e criar uma chave KMS AWS, consulte AWS Key Management Service (KMS).
Depois de concluir a configuração no AWS, você poderá alterar o provedor da chave no locatário para usar sua chave KMS AWS.
Criar um novo provedor de chaves no locatário
Antes de criar o provedor de chave, verifique se a política e a chave do KMS AWS foram configuradas corretamente no KMS AWS. Consulte AWS Key Management Service (KMS). O Qlik Cloud oferece suporte aos seguintes provedores de chave:
-
KMS interno do Qlik (esse é o KMS padrão usando chaves gerenciadas pelo Qlik)
-
KMS AWS
Faça o seguinte:
-
No centro de atividades de Administração, acesse Configurações.
-
Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
-
Clique no cartão Criar novo.
-
Insira os parâmetros exigidos pelo provedor de chaves.
- Provedor de chaves mestre: o provedor de chaves mestre do KMS AWS é a única opção disponível.
- ARN da chave KMS: o ARN da chave do KMS ou o ARN do alias. O ARN da chave é o nome de recurso da Amazon (ARN) de uma chave KMS. O ARN do alias é o nome de recurso da Amazon (ARN) do alias do AWS KMS (o nome amigável dado para a chave KMS AWS quando essa chave foi criada). Para obter informações, consulte Principais eventos de provedor Para obter informações sobre como localizar o ARN da chave ou o ARN do alias de uma chave KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.
- Título: um título para identificar o novo provedor de chaves.
- Descrição: opcional
-
Escolha se deseja adicionar a configuração do provedor de chaves e salvá-la para uso posterior ou iniciar a migração das chaves agora.
Alterar o provedor de chaves no locatário
Você pode alterar o provedor de chaves do Qlik KMS para o AWS KMS, do AWS KMS para outro AWS KMS ou reverter para o Qlik KMS do AWS KMS. Durante o processo de migração principal, o locatário continuará funcionando normalmente, sem impacto para os usuários.
Faça o seguinte:
- No centro de atividades de Administração, acesse Configurações.
- Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
- Clique nas reticências no cartão do provedor de chaves para o qual você deseja migrar.
- Selecione Migrar.
- No diálogo Alterar provedor de chave, marque a caixa de seleção para confirmar a substituição da chave atual e clique em Alterar provedor de chave. Após a migração bem-sucedida, o provedor de chaves migrado ficará ativo.
Validar o provedor de chaves
A qualquer momento, você pode validar um provedor de chaves da AWS. A validação conclui todas as verificações de integridade e verifica a adesão às regras definidas exigidas para a migração do provedor de chaves. A validação também é realizada automaticamente antes do início de qualquer migração do provedor de chaves.
Faça o seguinte:
- No centro de atividades de Administração, acesse Configurações.
- Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
- Clique nas reticências no cartão do provedor de chaves.
- Selecione Validar.
Excluir um provedor de chaves
Qualquer provedor de chaves, com exceção do provedor de chaves padrão da Qlik, poderá ser excluído se estiver inativo.
Faça o seguinte:
- No centro de atividades de Administração, acesse Configurações.
- Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
- Clique nas reticências no cartão do provedor de chaves.
- Selecione Excluir.
Principais eventos de provedor
Você pode verificar as alterações no provedor de chave de criptografia na página Eventos do centro de atividades de Administração. O log de eventos captura o seguinte tipo de evento de criptografia:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Os eventos no KMS AWS são registrados no AWS CloudTrail em Histórico de eventos. Pesquise os Nomes dos eventos: Encrypt, GenerateDatakey ou Decrypt.
API de criptografia e conectores da Qlik
Além de configurar a criptografia de locatário por meio do centro de atividades de Administração, a Qlik oferece diversas outras maneiras de gerenciar os principais ciclos de vida dos provedores.
- Uma API de criptografia para gerenciar os provedores de chaves de maneira programática. Consulte a documentação de referência da API em qlik.dev.
- Um conector KMS AWS do Qlik Application Automation que permite configurar os principais provedores no AWS. Consulte Como começar a usar o conector Amazon KMS.
- O Qlik Platform Operations Connector e o QCS Connector, que estão disponíveis como uma opção no-code e nativa da Qlik para gerenciar provedores de chaves facilmente, manipulando blocos de conectores em um fluxo lógico. Consulte Visão geral de conectores do Qlik Platform Operations e Conectores de automação de aplicativos.
AWS Key Management Service (KMS)
O Qlik Cloud oferece suporte ao uso de uma chave gerenciada pelo cliente (CMK), que a Amazon chama de chave KMS AWS ou chave KMS, a partir do KMS AWS para criptografar e descriptografar seus dados de locatário.
Abaixo estão as etapas gerais necessárias para configurar AWS para uso com CMK. Você deve criar uma conta KMS AWS, criar sua chave KMS AWS e configurar sua política de chave para uso com Qlik Cloud CMK. Depois de concluir a configuração no KMS AWS, você poderá alterar o provedor da chave no locatário do Qlik Cloud para usar sua chave do KMS AWS. Consulte Criar um novo provedor de chaves no locatário.
Criar uma conta AWS
Acesse Amazon Web Services e crie uma conta.
Criar uma chave KMS AWS simétrica
No AWS, crie uma chave usando o KMS AWS Management Console ou por meio da API KMS AWS usando o comando CreateKey. Ao configurar sua chave multirregional, lembre-se de que há limitações quanto às regiões que podem ser selecionadas como regiões de backup, dependendo da região da chave primária.
-
AWS: selecione a região em que seu locatário Qlik Cloud está hospedado.Qlik Cloud As regiões do Qlik Cloud com suporte e seus códigos de região de backup da AWS associados estão listados abaixo. Há suporte para chaves de várias regiões.
Nome da região principal Código da região principal Nome da região de backup Código da região de backup Leste dos EUA (Norte da Virgínia) us-east-1 Leste dos EUA (Ohio) us-east-2 Europa (Irlanda) eu-west-1 Europa (Paris) eu-west-3 Europa (Londres) eu-west-2 Europa (Espanha) eu-south-2 Europa (Frankfurt) eu-central-1 Europa (Milão) eu-south-1 Europa (Suécia) eu-north-1 N/D N/D Ásia-Pacífico (Singapura) ap-southeast-1 Ásia-Pacífico (Seoul) ap-northeast-2 Ásia-Pacífico (Sydney) ap-southeast-2 Ásia-Pacífico (Melbourne) ap-southeast-4 Japão (Tóquio) ap-northeast-1 Japão (Osaka) ap-northeast-3 Índia (Mumbai) ap-south-1 Índia (Hyderabad) ap-south-2 A região da Suécia eu-north-1 não tem uma região de backup devido à sua política específica de trânsito de dados.
Nota de advertênciaPara garantir a configuração correta de uma chave multirregional para uso no Qlik Cloud, você deve criar o par de chaves de acordo com o gráfico de região de backup acima no console do KMS AWS.Nota governamental do Qlik CloudAs regiões do Qlik Cloud Government (us-gov-west-1 ou us-gov-east-1) não precisam de uma configuração de chave de réplica para registrar um CMK. -
Tipo de chave: Simétrica. O CMK não oferece suporte a chaves assimétricas.
-
Uso da chave: criptografia e descriptografia
Outras configurações durante a criação da chave incluem:
-
Inserir um alias de chave
-
Definir os usuários e as funções do Identity and Access Management (IAM) que podem administrar a chave
-
Selecionar os usuários e as funções do IAM que podem usar a chave em operações criptográficas
-
Configurar a política de chaves.
Para obter mais informações sobre a criação de uma chave AWS KMS, consulte Criar chaves.
Configurar a política de chave do KMS AWS
A política de chaves controla o acesso à chave do AWS KMS. Cada chave tem sua própria política. A política de chave deve incluir as informações e permissões mínimas necessárias para usar sua chave do KMS AWS com Qlik Cloud Chaves gerenciadas pelo cliente. Quando você cria uma chave usando o KMS AWS Management Console, o KMS AWS cria uma política de chaves padrão com instruções baseadas nas suas seleções durante a criação da chave. Essas instruções determinam os usuários e as funções do IAM na sua conta que podem administrar a chave e usá-la em operações criptográficas.
Você deve editar a política de chaves padrão para adicionar as permissões e os parâmetros necessários para usar a chave com o Qlik Cloud CMK. Elas incluem:
-
Permitir que as contas proxy AWS da Qlik e as funções do IAM necessárias gerem uma chave de dados, criptografem e descriptografem dados usando sua chave do KMS AWS. Funções separadas do IAM devem ser adicionadas à política de chave para usar CMKs com o Qlik Application Automation.
-
Identificar seu TenantID do Qlik Cloud. O ID de locatário é usado como contexto de criptografia. O KMS AWS usa o contexto de criptografia como dados autenticados adicionais (AAD) para oferecer suporte à criptografia autenticada. Isso significa que um locatário não pode decifrar as chaves codificadas de outro locatário. Consulte Contexto de criptografia. Se você estiver usando a mesma chave do KMS para vários locatários, deverá incluir o ID de cada locatário na política de chave.
Faça o seguinte:
- Certifique-se de que sua conta AWS de cliente e os usuários e funções do IAM estejam corretos e incluídos na política, consulte Exemplo de política de chave do KMS AWS. Sua política também pode incluir outras instruções.
-
Copie o trecho de código Qlik Cloud necessário abaixo e adicione-o à sua política de chaves. Para assinaturas do Qlik Cloud Government, copie o trecho de código Qlik Cloud Government.
-
Na string EncryptionContext, substitua QLIK_TENANT_ID pelo TenantID do Qlik Cloud.
- Salve a política de chave.
Trecho de código Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Trecho de código Qlik Cloud Government
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Para obter mais informações sobre políticas de chave do KMS AWS, consulte Políticas de chaves no KMS.
Exemplo de política de chave do KMS AWS
O exemplo de política de chave a seguir inclui os requisitos básicos para uso com o Qlik Cloud Chaves gerenciadas pelo cliente.
-
A conta do cliente e os usuários e as funções do IAM que podem administrar e usar a chave.
-
As contas da Qlik e as funções do IAM que têm permissão para usar a chave para operações criptográficas: Encrypt, Decrypt e GenerateDataKey.
-
As contas Qlik e funções do Application Automation IAM que podem usar a chave com o Application Automation.
-
O contexto de criptografia que identifica seu número de identificação de locatário Qlik Cloud (TenantID).
A seção selecionada (B, C e D) no exemplo de política identifica os parâmetros exigidos pelo Qlik Cloud Chaves gerenciadas pelo cliente.
ARN da chave KMS e ARN do alias
O Nome de recurso da Amazon (ARN) é um identificador exclusivo e totalmente qualificado para a chave KMS. Ele inclui o contexto de criptografia (TenantID), a conta AWS, a região e o ID da chave. O ARN é criado quando você cria uma chave KMS AWS no AWS Key Management Service. No Qlik Cloud, ao alterar o provedor de chave mestra no centro de atividades de Administração para usar sua chave KMS AWS, você deve fornecer o ARN da chave ou o ARN do alias para conectar o serviço de criptografia Qlik à sua chave KMS AWS. Consulte Criar um novo provedor de chaves no locatário.
O ARN usa o formato:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Veja a seguir um exemplo de um ARN de chave válido:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
O ARN do alias usa o formato:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Veja a seguir um exemplo de um ARN de alias válido em que CMK-Example-Alias é o nome do alias:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Para obter mais informações sobre como localizar o ARN da chave ou o ARN do alias da sua chave do KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.
Chave multirregional do KMS AWS para recuperação de desastres (DR)
As chaves multirregionais permitem que você continue acessando e processando dados criptografados, mesmo quando a região primária está passando por uma interrupção. Ao criar uma réplica da chave, você pode descriptografar dados na região de backup e quaisquer dados criptografados no backup poderão ser descriptografados posteriormente na região primária depois de restaurados.
Siga estas etapas para criar uma chave multirregional no KMS AWS:
-
No Console de Gerenciamento do AWS, clique em Criar uma chave.
-
Na Etapa 1, você definirá sua configuração de chave. Na seção Opções avançadas, selecione KMS para a Origem do material chave e, na seção Regionalidade, selecione Chave multirregional. Clique em Avançar para continuar.
-
Na Etapa 2, você adicionará um Alias para a chave. Depois de adicionar um nome, você pode optar por adicionar uma descrição e tags. Clique em Avançar para continuar.
-
Na Etapa 3, você pode selecionar os usuários e funções do IAM que podem administrar a chave. Clique em Avançar para continuar.
-
Na Etapa 4, você pode selecionar as funções de usuários do IAM que podem usar a chave KMS. Clique em Avançar para continuar.
-
Na Etapa 5, você revisará os detalhes da configuração. Certifique-se de que Regionalidade esteja definida como Chave multirregional.
A política de chave inclui todos os requisitos para usar a chave multirregional com o Qlik Cloud Chaves gerenciadas pelo cliente, incluindo a ação DescribeKey do KMS. Para obter mais informações sobre DescribeKey, consulte DescribeKey do KMS AWS.