Настройка шифрования клиента

Администраторы клиента могут настраивать параметры шифрования клиента. По умолчанию новый клиент использует Qlik Internal KMS для шифрования своего содержимого. Если организации требуется использовать собственный ключ, управляемый пользователем (CMK), для шифрования данных клиента, можно настроить шифрование клиента с использованием CMK от поддерживаемого поставщика ключей.

Qlik Cloud поддерживает CMK от Amazon Web Services (AWS) Служба управления ключами (KMS). Заказчики могут на свое усмотрение использовать один ключ для нескольких клиентов с помощью определения политики ключей AWS KMS, хотя это не рекомендуется в качестве оптимального метода работы. Интеграция CMK и AWS KMS позволяет обеспечить шифрование по клиенту с использованием контекста шифрования API AWS KMS, но необходимо настроить шифрование для каждого клиента индивидуально. Заказчики или партнеры, которые разрешают использование клиентов нескольким организациям-конечным пользователям, должны использовать индивидуальные ключи для каждой такой организации.

Ключ под управлением пользователя (CMK) можно использовать или с новыми, или с существующими клиентами. После смены поставщика ключей для использования CMK шифрование и расшифровка всех данных, хранимых в клиенте, будет осуществляться с использованием этих ключей.

Предварительные требования для CMK

Необходимы учетная запись AWS и ключ AWS KMS для использования CMK вместе с Qlik Cloud. Для получения дополнительной информации о настройке учетной записи AWS KMS и создании ключа AWS KMS см. раздел AWS Служба управления ключами (KMS).

Завершив настройку в AWS, можно сменить поставщика ключей в клиенте для использования ключа AWS KMS.

Создание нового поставщика ключей в клиенте

Прежде чем создавать поставщика ключей, убедитесь, что ключ и политика AWS KMS правильно настроены в AWS KMS. См. AWS Служба управления ключами (KMS). Qlik Cloud поддерживает следующих поставщиков ключей:

Внутренняя KMS Qlik (это KMS по умолчанию, использующий ключи под управлением Qlik)
AWS KMS

Выполните следующие действия.

В Консоль управления перейдите в раздел Параметры.
В разделе Шифрование клиента нажмите Управление поставщиком ключей.
Щелкните карточку Создать.
Введите параметры, требуемые поставщиком ключей.
- Поставщик главных ключей: Поставщик главных ключей AWS KMS — это единственный доступный вариант.
- ARN ключа KMS: ARN ключа KMS или ARN псевдонима. ARN ключа — это имя Amazon Resource Name (ARN) для ключа KMS. ARN псевдонима — это имя Amazon Resource Name (ARN) для псевдонима AWS KMS (понятное имя, присвоенное ключу AWS KMS в процессе создания). Для получения дополнительной информации см. раздел События поставщика ключей. Для получения информации о том, как находить ARN ключа или ARN псевдонима для ключа KMS, см. раздел Поиск идентификатора ключа и ARN ключа или Поиск псевдонима и ARN псевдонима.
- Заголовок: Заголовок для идентификации нового поставщика ключей.
- Описание: Дополнительные
Выберите нужное действие: добавить конфигурацию поставщика ключей и сохранить ее для последующего использования, либо начать миграцию ключей сразу.

После того как клиент настроен для CMK, в случае отключения или удаления CMK данные клиента невозможно будет расшифровать с использованием этих ключей. Если ключ деактивирован, то при повторной активации доступ к данным будет восстановлен. Если ключ удален, доступ к данным восстановить невозможно. Для получения дополнительной информации см. раздел Управление ключами в AWS KMS.

Смена поставщика ключа в клиенте

Можно сменить поставщика ключей с Qlik KMS на AWS KMS, с AWS KMS на другой AWS KMS или вернуться к использованию Qlik KMS после AWS KMS. В процессе миграции ключей клиент продолжит работать как обычно, не затрагивая пользователей.

Если имеется соглашение делового партнера (СДП), на которое распространяется действующий закон HIPAA (Закон США об ответственности и переносе данных о страховании здоровья граждан) и субъект ПМИ (персональная медицинская информация), то вернуться к Qlik KMS после перехода на AWS KMS невозможно. Необходимо создать новый ключ AWS и перенести его, если требуется заменить используемый в данный момент ключ AWS.

Во время миграции ключей журналы запусков Автоматизация приложения Qlik удаляются без возможности восстановления. Это означает, что для автоматизаций невозможно вывести исторические журнальные данные:

Экспорт журнала запусков
Панель «Вывод»
Панель «По блоку»
Панель «Хронология»

Следующие журналы сохраняются при миграции ключей:

Название запуска автоматизации
Журнал ошибок автоматизации

Выполните следующие действия.

В Консоль управления перейдите в раздел Параметры.
В разделе Шифрование клиента нажмите Управление поставщиком ключей.
Щелкните троеточие на карте поставщика ключей, который требуется использовать в дальнейшем.
Выберите Мигрировать.
В диалоговом окне Изменение поставщика ключей установите флажок, чтобы подтвердить замену текущего ключа, и щелкните Изменить поставщика ключей. После успешной миграции выбранный поставщик ключей становится активным.

Состояние миграции ключей обновляется каждые 15 минут. Миграции обычно занимают 24 часа в зависимости от количества артефактов в клиенте, таких как примечания, приложения, автоматизации, оповещения, журналы событий и т. д. Если миграция выполняется дольше 24 часов, отправьте запрос в поддержку Qlik.

Смену поставщика ключей шифрования можно подтвердить на странице «События» в Консоль управления. Для получения дополнительной информации о типах событий шифрования, связанных с миграцией, см. раздел События поставщика ключей.

Проверка поставщика ключей

Поставщика ключей AWS можно проверить в любое время. При этом выполняются все проверки исправности, и подтверждается соблюдение определенных правил, необходимых для миграции поставщика ключей. Проверка также выполняется автоматически перед началом миграции любого поставщика ключей.

Выполните следующие действия.

В Консоль управления перейдите в раздел Параметры.
В разделе Шифрование клиента нажмите Управление поставщиком ключей.
Щелкните троеточие на карточке поставщика ключей.
Выберите Проверить.

Удаление поставщика ключей

Любого поставщика ключей, кроме поставщика ключей Qlik по умолчанию, можно удалить, если он неактивный.

Выполните следующие действия.

В Консоль управления перейдите в раздел Параметры.
В разделе Шифрование клиента нажмите Управление поставщиком ключей.
Щелкните троеточие на карточке поставщика ключей.
Выберите Удалить.

События поставщика ключей

Изменения поставщика ключей шифрования можно подтвердить на странице «События» в Консоль управления. В журнале событий регистрируются события шифрования следующих типов:

com.qlik.v1.encryption.keyprovider.created
com.qlik.v1.encryption.keyprovider.updated
com.qlik.v1.encryption.keyprovider.deleted
com.qlik.v1.encryption.keyprovider-migration.triggered
com.qlik.v1.encryption.keyprovider-migration.finished
com.qlik.v1.encryption.keyprovider-migration.progressed

События в AWS KMS регистрируются в журнале AWS CloudTrail в разделе История событий. Выполните поиск по именам событий: Encrypt, GenerateDatakey или Decrypt.

API шифрования Qlik и коннекторы

В дополнение к настройке шифрования клиента через консоль управления, в Qlik предусмотрено еще несколько способов управления жизненными циклами поставщиков ключей.

API шифрования для программного управления поставщиками ключей. См. справочную документацию по API по адресу qlik.dev.
Коннектор AWS KMS Автоматизация приложения Qlik, который позволяет настраивать поставщиков ключей в AWS. См. раздел Начало работы с коннектором Amazon KMS.
Коннектор Qlik Platform Operations и коннектор QCS, доступные в формате без кода, встроенная функция Qlik для упрощения управления поставщиками ключей путем манипуляций с блоками коннектора в логическом потоке. См. разделы Обзор коннектора Qlik Platform Operations и Коннекторы Application Automation.

AWS Служба управления ключами (KMS)

Qlik Cloud поддерживает использование ключа, управляемого пользователем (CMK), — Amazon называет это ключом AWS KMS или ключом KMS — из AWS KMS для шифрования или расшифровки данных клиента.

Ниже перечислены общие шаги, которые необходимо выполнить с целью настройки AWS для использования с CMK. Необходимо создать учетную запись AWS KMS, создать ключ AWS KMS и настроить политику ключей для использования вместе с Qlik Cloud CMK. Завершив настройку в AWS KMS, можно сменить поставщика ключей в клиенте Qlik Cloud для использования ключа AWS KMS. См. Создание нового поставщика ключей в клиенте.

Создание учетной записи AWS

Перейдите в Amazon Web Services и создайте учетную запись.

Создайте симметричный ключ AWS KMS

В AWS создайте ключ с помощью консоли управления AWS KMS или через API AWS KMS с использованием команды CreateKey. Настраивая многозонный ключ, следует помнить, что существуют ограничения в отношении того, какие регионы можно выбрать в качестве резервных, в зависимости от зоны первичного ключа.

Регион AWS — выберите регион, где располагается клиент Qlik Cloud. Ниже перечислены поддерживаемые регионы Qlik Cloud и связанные с ними коды резервных регионов AWS. Поддерживаются ключи с несколькими регионами.

Название основного региона	Код основного региона	Резервное имя региона	Резервный код региона
США ― Северная Виргиния	us-east-1	США ― Огайо	us-east-2
Европа ― Ирландия	eu-west-1	Европа ― Париж	eu-west-3
Европа ― Франкфурт	eu-central-1	Европа ― Милан	eu-south-1
Европа ― Лондон	eu-west-2	Европа ― Испания	eu-south-2
Азиатско-Тихоокеанский регион ― Сингапур	ap-southeast-1	Азиатско-Тихоокеанский регион ― Сеул	ap-northeast-2
Азиатско-Тихоокеанский регион ― Сидней	ap-southeast-2	Азиатско-Тихоокеанский регион ― Мельбурн	ap-southeast-4
Япония (Токио)	ap-northeast-1	Япония (Осака)	ap-northeast-3

Чтобы обеспечить правильную настройку многозонного ключа для использования в Qlik Cloud, необходимо создать пары ключей в соответствии с приведенной выше схемой резервных регионов в консоли AWS KMS.

Регионы Qlik Cloud для правительства (us-gov-west-1 или us-gov-east-1) не требуют конфигурации ключа реплики для регистрации CMK.

Тип ключа — симметричный. CMK не поддерживает асимметричные ключи.
Использование ключей — шифрование и расшифровка

Во время создания ключа также доступны другие параметры:

Ввод псевдонима ключа
Определение пользователей и ролей IAM (Identity and Access Management, управление идентификацией и доступом) с возможностью администрирования ключа
Выбор пользователей и ролей IAM, которые могут использовать ключ в криптографических операциях
Настройка политики ключа

Для получения дополнительной информации о создании ключа AWS KMS см. раздел Создание ключей.

Настройка политики ключа AWS KMS

Политика ключа управляет доступом к ключу AWS KMS. Каждый ключ имеет собственную политику. Политика ключей должна содержать минимальную информацию и разрешения, необходимые для использования ключа AWS KMS вместе с Qlik Cloud Ключи под управлением пользователя. Когда ключ создается с помощью консоли управления AWS KMS, AWS KMS создает политику ключа по умолчанию с использованием операторов на основе параметров, выбранных при создании ключа. Эти положения определяют, какие пользователи и роли IAM в учетной записи могут администрировать ключ и использовать его в криптографических операциях.

Необходимо отредактировать политику ключа по умолчанию, чтобы добавить разрешения и параметры, необходимые для использования ключа вместе с Qlik Cloud CMK. К их числу относятся следующие:

Разрешение использования учетных записей-посредников AWS и обязательных ролей IAM в Qlik для создания ключа данных, шифрования и расшифровки данных с помощью ключа AWS KMS. Отдельные роли IAM необходимо добавить в политику ключа для использования CMK вместе с Автоматизация приложения Qlik.
Поиск идентификатора клиента Qlik Cloud. Идентификатор клиента используется в качестве контекста шифрования. AWS KMS использует контекст шифрования в качестве дополнительных аутентифицированных данных (ДАД), чтобы обеспечить поддержку аутентифицированного шифрования. Это означает, что один клиент не может расшифровать ключи шифрования другого клиента. См. раздел Контекст шифрования. Если используется один и тот же ключ KMS для нескольких клиентов, необходимо включить в политику ключа идентификатор клиента для каждого из таких клиентов.

Выполните следующие действия.

Убедитесь, что правильно указаны учетная запись AWS заказчика, пользователи и роли IAM и что они включены в политику, см. раздел Пример политики ключа AWS KMS. Политика может также включать другие положения.
Скопируйте необходимый фрагмент кода Qlik Cloud ниже и добавьте его в политику ключа. Для подписок Qlik Cloud для правительства скопируйте фрагмент кода Qlik Cloud для правительства.

Фрагмент кода Qlik Cloud


               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

Фрагмент кода Qlik Cloud для правительства

[
    {
        "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:TenantId": [
                    "QLIK_TENANT_ID"
                ]
            }
        }
    },
    {
        "Sid": "Enable KMS Key policy for proxy account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": "kms:DescribeKey",
        "Resource": "*"
    }
]

В строке EncryptionContext замените QLIK_TENANT_ID идентификатором клиента Qlik Cloud.

Чтобы найти идентификатор клиента, в хабе клиента Qlik Cloud выберите свой профиль пользователя, затем выберите О программе. В поле Идентификатор клиента выделите и скопируйте строку идентификатора. Не используйте параметры Отображаемое имя или Псевдоним имени сервера в Консоль управления на вкладке Параметры> Клиент.

Сохраните политику ключа.

Для получения дополнительной информации о политиках ключей AWS KMS, см. раздел Политики ключей в KMS.

Пример политики ключа AWS KMS

Следующий пример политики ключа содержит базовые требования для использования с Qlik Cloud Ключи под управлением пользователя.

Учетная запись заказчика, а также пользователи и роли IAM, которые могут администрировать использовать ключ.
Учетные записи Qlik, а также роли IAM, которым разрешено использовать ключ для криптографических операций: Encrypt, Decrypt и GenerateDataKey.
Учетные записи Qlik, а также роли IAM Автоматизация приложений, которым разрешено использовать ключ с Автоматизация приложений.
Контекст шифрования, который идентифицирует идентификационный номер клиента Qlik Cloud (TenantID).

Выбранный раздел (B, C и D) в примере политики идентифицирует параметры, необходимые для Qlik Cloud Ключи под управлением пользователя.

ARN ключа KMS и ARN псевдонима

Amazon Resource Name (ARN) — это уникальный, полностью квалифицированный идентификатор для ключа KMS. Он включает контекст шифрования (идентификатор клиента), учетную запись AWS, регион и идентификатор ключа. ARN создается при создании ключа AWS KMS в AWS Служба управления ключами. В Qlik Cloud при смене основного поставщика ключей в Консоль управления для использования ключа AWS KMS необходимо предоставить ARN ключа или ARN псевдонима, чтобы подключить службу шифрования Qlik к ключу AWS KMS. См. раздел Создание нового поставщика ключей в клиенте.

ARN ключа AWS KMS и ARN псевдонима — A) ARN ключа AWS KMS и B) ARN псевдонима в AWS Служба управления ключами

ARN использует формат:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Ниже приводится пример действительного ARN ключа:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

ARN псевдонима использует формат:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Ниже приводится пример действительного ARN, где CMK-Example-Alias — это имя псевдонима:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Для получения дополнительной информации о том, как находить ARN ключа или ARN псевдонима для ключа KMS, см. раздел Поиск идентификатора ключа и ARN ключа или Поиск псевдонима и ARN псевдонима.

Многозонный ключ AWS KMS для аварийного восстановления (АВ)

Многозонные ключи обеспечивают непрерывную доступность и обработку зашифрованных данных, даже когда возникают перебои в работе основного региона. Благодаря созданию реплики ключа можно расшифровать данные в резервном регионе, и все данные, зашифрованные в резервном регионе, затем можно расшифровать в первичном регионе после восстановления.

Выполните следующие действия, чтобы создать многозонный ключ в AWS KMS:

На консоли управления AWS щелкните Создать ключ.