Ir para conteúdo principal Pular para conteúdo complementar

Configurando a criptografia de locatário

Configure a criptografia de locatário no Qlik Cloud usando as chaves do AWS Key Management Service (KMS) da sua organização.

Os administradores de locatários podem definir configurações de criptografia de locatário. Por padrão, um novo locatário usa o Qlik Interno KMS para criptografar o conteúdo do locatário. Se sua organização quiser usar sua própria chave gerenciada pelo cliente (CMK) para criptografar os dados do locatário, você poderá configurar a criptografia do locatário para usar uma CMK de um provedor de chaves com suporte.

O Qlik Cloud oferece suporte ao uso de um CMK a partir do Amazon Web Services (AWS) Key Management Service (KMS). Os clientes podem optar por usar a mesma chave para vários locatários, por meio da definição da política de chaves KMS AWS, embora isso não seja recomendado como melhor prática. A integração do CMK e do KMS AWS manterá a criptografia por locatário usando o contexto de criptografia da API KMS AWS, mas você deve configurar a criptografia para cada locatário individualmente. Clientes ou parceiros que permitem que locatários sejam usados por várias organizações de usuários finais precisam implementar chaves individuais por organização de usuário final.

Nota de advertênciaVocê pode usar o CMK com locatários novos ou existentes. Depois de alterar o provedor de chaves para usar seu CMK, todos os dados em repouso no locatário serão criptografados e descriptografados usando essas chaves.

Pré-requisitos para CMK

Você deve ter uma conta AWS e uma chave KMS AWS para usar CMK com Qlik Cloud. Para obter mais informações sobre como configurar uma conta KMS AWS e criar uma chave KMS AWS, consulte AWS Key Management Service (KMS).

Depois de concluir a configuração no AWS, você poderá alterar o provedor da chave no locatário para usar sua chave KMS AWS.

Criar um novo provedor de chaves no locatário

Antes de criar o provedor de chave, verifique se a política e a chave do KMS AWS foram configuradas corretamente no KMS AWS. Consulte AWS Key Management Service (KMS). O Qlik Cloud oferece suporte aos seguintes provedores de chave:

  • KMS interno do Qlik (esse é o KMS padrão usando chaves gerenciadas pelo Qlik)

  • KMS AWS

  1. No centro de atividades de Administração, acesse Configurações.

  2. Em Criptografia do locatário, clique em Gerenciar provedor de chaves.

  3. Clique no cartão Criar novo.

  4. Insira os parâmetros exigidos pelo provedor de chaves.

    • Provedor de chaves mestre: o provedor de chaves mestre do KMS AWS é a única opção disponível.
    • ARN da chave KMS: o ARN da chave do KMS ou o ARN do alias. O ARN da chave é o nome de recurso da Amazon (ARN) de uma chave KMS. O ARN do alias é o nome de recurso da Amazon (ARN) do alias do AWS KMS (o nome amigável dado para a chave KMS AWS quando essa chave foi criada). Para obter informações, consulte Principais eventos de provedor Para obter informações sobre como localizar o ARN da chave ou o ARN do alias de uma chave KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.
    • Título: um título para identificar o novo provedor de chaves.
    • Descrição: opcional
    • Criar cartão de provedor de chaves

      Criar provedor de chaves-mestre
  5. Escolha se deseja adicionar a configuração do provedor de chaves e salvá-la para uso posterior ou iniciar a migração das chaves agora.

Nota de advertênciaDepois que seu locatário estiver configurado para a CMK, se você desativar ou excluir sua CMK, os dados do locatário não poderão ser descriptografados usando essas chaves. Para uma chave desativada, se ela for reativada, o acesso aos dados será restabelecido. Para uma chave excluída, o acesso aos dados será perdido permanentemente. Para obter mais informações, consulte Gerenciamento de chaves no KMS AWS.

Alterar o provedor de chaves no locatário

Você pode alterar o provedor de chaves do Qlik KMS para o AWS KMS, do AWS KMS para outro AWS KMS ou reverter para o Qlik KMS do AWS KMS. Durante o processo de migração principal, o locatário continuará funcionando normalmente, sem impacto para os usuários.

Nota de advertênciaSe houver um Contrato de parceria comercial (BAA) relacionado ao HIPAA em vigor e você estiver armazenando PHI sujeito ao HIPAA, não será possível reverter para o Qlik KMS a partir do AWS KMS. Você deve criar uma nova chave AWS e migrar para ela se a chave AWS atualmente em uso precisar ser substituída.
  1. No centro de atividades de Administração, acesse Configurações.
  2. Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
  3. Clique nas reticências no cartão do provedor de chaves para o qual você deseja migrar.
  4. Selecione Migrar.
  5. No diálogo Alterar provedor de chave, marque a caixa de seleção para confirmar a substituição da chave atual e clique em Alterar provedor de chave. Após a migração bem-sucedida, o provedor de chaves migrado ficará ativo.
Nota informativaO status da migração da chave é atualizado a cada 15 minutos. As migrações normalmente podem levar até 24 horas, dependendo do número de artefatos no locatário, como notas, aplicativos, automações, alertas, logs de eventos e assim por diante. Se sua migração demorar mais de 24 horas, envie um ticket para o Suporte Qlik.
Nota informativa Você pode verificar a alteração no provedor de chave de criptografia na página Eventos do centro de atividades de Administração.Para obter mais informações sobre tipos de eventos de criptografia relacionados à migração, consulte Principais eventos de provedor.

Validar o provedor de chaves

A qualquer momento, você pode validar um provedor de chaves da AWS. A validação conclui todas as verificações de integridade e verifica a adesão às regras definidas exigidas para a migração do provedor de chaves. A validação também é realizada automaticamente antes do início de qualquer migração do provedor de chaves.

  1. No centro de atividades de Administração, acesse Configurações.
  2. Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
  3. Clique nas reticências no cartão do provedor de chaves.
  4. Selecione Validar.

Excluir um provedor de chaves

Qualquer provedor de chaves, com exceção do provedor de chaves padrão da Qlik, poderá ser excluído se estiver inativo.

  1. No centro de atividades de Administração, acesse Configurações.
  2. Em Criptografia do locatário, clique em Gerenciar provedor de chaves.
  3. Clique nas reticências no cartão do provedor de chaves.
  4. Selecione Excluir.

Principais eventos de provedor

Você pode verificar as alterações no provedor de chave de criptografia na página Eventos do centro de atividades de Administração. O log de eventos captura o seguinte tipo de evento de criptografia:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Os eventos no KMS AWS são registrados no AWS CloudTrail em Histórico de eventos. Pesquise os Nomes dos eventos: Encrypt, GenerateDatakey ou Decrypt.

API de criptografia e conectores da Qlik

Além de configurar a criptografia de locatário por meio do centro de atividades de Administração, a Qlik oferece diversas outras maneiras de gerenciar os principais ciclos de vida dos provedores.

AWS Key Management Service (KMS)

O Qlik Cloud oferece suporte ao uso de uma chave gerenciada pelo cliente (CMK), que a Amazon chama de chave KMS AWS ou chave KMS, a partir do KMS AWS para criptografar e descriptografar seus dados de locatário.

Abaixo estão as etapas gerais necessárias para configurar AWS para uso com CMK. Você deve criar uma conta KMS AWS, criar sua chave KMS AWS e configurar sua política de chave para uso com Qlik Cloud CMK. Depois de concluir a configuração no KMS AWS, você poderá alterar o provedor da chave no locatário do Qlik Cloud para usar sua chave do KMS AWS. Consulte Criar um novo provedor de chaves no locatário.

Criar uma conta AWS

Acesse Amazon Web Services e crie uma conta.

Criar uma chave KMS AWS simétrica

No AWS, crie uma chave usando o KMS AWS Management Console ou por meio da API KMS AWS usando o comando CreateKey. Ao configurar sua chave multirregional, lembre-se de que há limitações quanto às regiões que podem ser selecionadas como regiões de backup, dependendo da região da chave primária.

  • AWS: selecione a região em que seu locatário Qlik Cloud está hospedado.Qlik Cloud As regiões do Qlik Cloud com suporte e seus códigos de região de backup da AWS associados estão listados abaixo. Há suporte para chaves de várias regiões.

    Nome da região principal Código da região principal Nome da região de backup Código da região de backup
    Leste dos EUA (Norte da Virgínia) us-east-1 Leste dos EUA (Ohio) us-east-2
    Europa (Irlanda) eu-west-1 Europa (Paris) eu-west-3
    Europa (Londres) eu-west-2 Europa (Espanha) eu-south-2
    Europa (Frankfurt) eu-central-1 Europa (Milão) eu-south-1
    Europa (Suécia) eu-north-1 N/D N/D
    Ásia-Pacífico (Singapura) ap-southeast-1 Ásia-Pacífico (Seoul) ap-northeast-2
    Ásia-Pacífico (Sydney) ap-southeast-2 Ásia-Pacífico (Melbourne) ap-southeast-4
    Japão (Tóquio) ap-northeast-1 Japão (Osaka) ap-northeast-3
    Índia (Mumbai) ap-south-1 Índia (Hyderabad) ap-south-2

    A região da Suécia eu-north-1 não tem uma região de backup devido à sua política específica de trânsito de dados.

    Nota de advertênciaPara garantir a configuração correta de uma chave multirregional para uso no Qlik Cloud, você deve criar o par de chaves de acordo com o gráfico de região de backup acima no console do KMS AWS.
    Nota governamental do Qlik CloudAs regiões do Qlik Cloud Government (us-gov-west-1 ou us-gov-east-1) não precisam de uma configuração de chave de réplica para registrar um CMK.
  • Tipo de chave: Simétrica. O CMK não oferece suporte a chaves assimétricas.

  • Uso da chave: criptografia e descriptografia

Outras configurações durante a criação da chave incluem:

  • Inserir um alias de chave

  • Definir os usuários e as funções do Identity and Access Management (IAM) que podem administrar a chave

  • Selecionar os usuários e as funções do IAM que podem usar a chave em operações criptográficas

  • Configurar a política de chaves.

Para obter mais informações sobre a criação de uma chave AWS KMS, consulte Criar chaves.

Configurar a política de chave do KMS AWS

A política de chaves controla o acesso à chave do AWS KMS. Cada chave tem sua própria política. A política de chave deve incluir as informações e permissões mínimas necessárias para usar sua chave do KMS AWS com Qlik Cloud Chaves gerenciadas pelo cliente. Quando você cria uma chave usando o KMS AWS Management Console, o KMS AWS cria uma política de chaves padrão com instruções baseadas nas suas seleções durante a criação da chave. Essas instruções determinam os usuários e as funções do IAM na sua conta que podem administrar a chave e usá-la em operações criptográficas.

Você deve editar a política de chaves padrão para adicionar as permissões e os parâmetros necessários para usar a chave com o Qlik Cloud CMK. Elas incluem:

  • Permitir que as contas proxy AWS da Qlik e as funções do IAM necessárias gerem uma chave de dados, criptografem e descriptografem dados usando sua chave do KMS AWS. Funções separadas do IAM devem ser adicionadas à política de chave para usar CMKs com o Qlik Application Automation.

  • Identificar seu TenantID do Qlik Cloud. O ID de locatário é usado como contexto de criptografia. O KMS AWS usa o contexto de criptografia como dados autenticados adicionais (AAD) para oferecer suporte à criptografia autenticada. Isso significa que um locatário não pode decifrar as chaves codificadas de outro locatário. Consulte Contexto de criptografia. Se você estiver usando a mesma chave do KMS para vários locatários, deverá incluir o ID de cada locatário na política de chave.

  1. Certifique-se de que sua conta AWS de cliente e os usuários e funções do IAM estejam corretos e incluídos na política, consulte Exemplo de política de chave do KMS AWS. Sua política também pode incluir outras instruções.
  2. Copie o trecho de código Qlik Cloud necessário abaixo e adicione-o à sua política de chaves. Para assinaturas do Qlik Cloud Government, copie o trecho de código Qlik Cloud Government.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    [
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        },
        {
            "Sid": "Enable KMS Key policy for proxy account",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
  4. Na string EncryptionContext, substitua QLIK_TENANT_ID pelo TenantID do Qlik Cloud.

  5. Nota de dica Para encontrar seu ID do locatário, em qualquer centro de atividades, selecione seu perfil de usuário e, em seguida, selecione Sobre. Em ID do locatário, selecione e copie a string de ID. Não use o Nome de exibição ou o Nome do host do alias no centro de atividades de Administração em Configurações > Locatário.
  6. Salve a política de chave.

Para obter mais informações sobre políticas de chave do KMS AWS, consulte Políticas de chaves no KMS.

Exemplo de política de chave do KMS AWS

O exemplo de política de chave a seguir inclui os requisitos básicos para uso com o Qlik Cloud Chaves gerenciadas pelo cliente.

  1. A conta do cliente e os usuários e as funções do IAM que podem administrar e usar a chave.

  2. As contas da Qlik e as funções do IAM que têm permissão para usar a chave para operações criptográficas: Encrypt, Decrypt e GenerateDataKey.

  3. As contas Qlik e funções do Application Automation IAM que podem usar a chave com o Application Automation.

  4. O contexto de criptografia que identifica seu número de identificação de locatário Qlik Cloud (TenantID).

A seção selecionada (B, C e D) no exemplo de política identifica os parâmetros exigidos pelo Qlik Cloud Chaves gerenciadas pelo cliente.

Exemplo de política chave do KMS AWS

Exemplo de política de chave

ARN da chave KMS e ARN do alias

O Nome de recurso da Amazon (ARN) é um identificador exclusivo e totalmente qualificado para a chave KMS. Ele inclui o contexto de criptografia (TenantID), a conta AWS, a região e o ID da chave. O ARN é criado quando você cria uma chave KMS AWS no AWS Key Management Service. No Qlik Cloud, ao alterar o provedor de chave mestra no centro de atividades de Administração para usar sua chave KMS AWS, você deve fornecer o ARN da chave ou o ARN do alias para conectar o serviço de criptografia Qlik à sua chave KMS AWS. Consulte Criar um novo provedor de chaves no locatário.

A) ARN da chave KMS AWS e B) ARN do alias no AWS Key Management Service

ARN da chave do AWS KMS e ARN do alias

O ARN usa o formato:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Veja a seguir um exemplo de um ARN de chave válido:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

O ARN do alias usa o formato:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Veja a seguir um exemplo de um ARN de alias válido em que CMK-Example-Alias é o nome do alias:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Para obter mais informações sobre como localizar o ARN da chave ou o ARN do alias da sua chave do KMS, consulte Encontrar o ID da chave e o ARN da chave ou Encontrar o nome do alias e o ARN do alias.

Chave multirregional do KMS AWS para recuperação de desastres (DR)

As chaves multirregionais permitem que você continue acessando e processando dados criptografados, mesmo quando a região primária está passando por uma interrupção. Ao criar uma réplica da chave, você pode descriptografar dados na região de backup e quaisquer dados criptografados no backup poderão ser descriptografados posteriormente na região primária depois de restaurados.

Siga estas etapas para criar uma chave multirregional no KMS AWS:

  1. No Console de Gerenciamento do AWS, clique em Criar uma chave.

  2. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.

  3. Na Etapa 1, você definirá sua configuração de chave. Na seção Opções avançadas, selecione KMS para a Origem do material chave e, na seção Regionalidade, selecione Chave multirregional. Clique em Avançar para continuar.

  4. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.

  5. Na Etapa 2, você adicionará um Alias para a chave. Depois de adicionar um nome, você pode optar por adicionar uma descrição e tags. Clique em Avançar para continuar.

  6. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.

  7. Na Etapa 3, você pode selecionar os usuários e funções do IAM que podem administrar a chave. Clique em Avançar para continuar.

  8. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.

  9. Na Etapa 4, você pode selecionar as funções de usuários do IAM que podem usar a chave KMS. Clique em Avançar para continuar.

  10. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.

  11. Na Etapa 5, você revisará os detalhes da configuração. Certifique-se de que Regionalidade esteja definida como Chave multirregional.

  12. Console de gerenciamento da AWS com link de botão para criar uma chave CMK.


A política de chave inclui todos os requisitos para usar a chave multirregional com o Qlik Cloud Chaves gerenciadas pelo cliente, incluindo a ação DescribeKey do KMS. Para obter mais informações sobre DescribeKey, consulte DescribeKey do KMS AWS.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Nota de advertênciaO KMS AWS não oferece suporte à alteração do tipo de chave depois de criado, o que significa que a região única não pode ser alterada para multirregião e vice-versa. Se a sua chave existente já estiver configurada para multirregião, você poderá modificar a política e atualizar as regiões de réplica.

Esta página ajudou?

Se você encontrar algum problema com esta página ou seu conteúdo - um erro de digitação, uma etapa ausente ou um erro técnico - informe-nos como podemos melhorar!