Настройка шифрования клиента
Настройте шифрование клиента в Qlik Cloud, используя ключи службы AWS Key Management Service (KMS).
Администраторы клиента могут настраивать параметры шифрования клиента. По умолчанию новый клиент использует Qlik Internal KMS для шифрования своего содержимого. Если организации требуется использовать собственный ключ, управляемый пользователем (CMK), для шифрования данных клиента, можно настроить шифрование клиента с использованием CMK от поддерживаемого поставщика ключей.
Qlik Cloud поддерживает CMK от Amazon Web Services (AWS) Служба управления ключами (KMS). Заказчики могут на свое усмотрение использовать один ключ для нескольких клиентов с помощью определения политики ключей AWS KMS, хотя это не рекомендуется в качестве оптимального метода работы. Интеграция CMK и AWS KMS позволяет обеспечить шифрование по клиенту с использованием контекста шифрования API AWS KMS, но необходимо настроить шифрование для каждого клиента индивидуально. Заказчики или партнеры, которые разрешают использование клиентов нескольким организациям-конечным пользователям, должны использовать индивидуальные ключи для каждой такой организации.
Предварительные требования для CMK
Необходимы учетная запись AWS и ключ AWS KMS для использования CMK вместе с Qlik Cloud. Для получения дополнительной информации о настройке учетной записи AWS KMS и создании ключа AWS KMS см. раздел AWS Служба управления ключами (KMS).
Завершив настройку в AWS, можно сменить поставщика ключей в клиенте для использования ключа AWS KMS.
Создание нового поставщика ключей в клиенте
Прежде чем создавать поставщика ключей, убедитесь, что ключ и политика AWS KMS правильно настроены в AWS KMS. См. AWS Служба управления ключами (KMS). Qlik Cloud поддерживает следующих поставщиков ключей:
-
Внутренняя KMS Qlik (это KMS по умолчанию, использующий ключи под управлением Qlik)
-
AWS KMS
Выполните следующие действия.
-
В центре активности Администрирование выберите Параметры.
-
В разделе Шифрование клиента нажмите Управление поставщиком ключей.
-
Щелкните карточку Создать.
-
Введите параметры, требуемые поставщиком ключей.
- Поставщик главных ключей: поставщик главных ключей AWS KMS — это единственный доступный вариант.
- ARN ключа KMS: ARN ключа KMS или ARN псевдонима. ARN ключа — это имя Amazon Resource Name (ARN) для ключа KMS. ARN псевдонима — это имя Amazon Resource Name (ARN) для псевдонима AWS KMS (понятное имя, присвоенное ключу AWS KMS в процессе создания). Для получения дополнительной информации см. раздел События поставщика ключей. Для получения информации о том, как находить ARN ключа или ARN псевдонима для ключа KMS, см. раздел Поиск идентификатора ключа и ARN ключа или Поиск псевдонима и ARN псевдонима.
- Заголовок: заголовок для идентификации нового поставщика ключей.
- Описание: необязательно
-
Выберите нужное действие: добавить конфигурацию поставщика ключей и сохранить ее для последующего использования, либо начать миграцию ключей сразу.
Смена поставщика ключа в клиенте
Можно сменить поставщика ключей с Qlik KMS на AWS KMS, с AWS KMS на другой AWS KMS или вернуться к использованию Qlik KMS после AWS KMS. В процессе миграции ключей клиент продолжит работать как обычно, не затрагивая пользователей.
Выполните следующие действия.
- В центре активности Администрирование выберите Параметры.
- В разделе Шифрование клиента нажмите Управление поставщиком ключей.
- Щелкните троеточие на карте поставщика ключей, который требуется использовать в дальнейшем.
- Выберите Мигрировать.
- В диалоговом окне Изменение поставщика ключей установите флажок, чтобы подтвердить замену текущего ключа, и щелкните Изменить поставщика ключей. После успешной миграции выбранный поставщик ключей становится активным.
Проверка поставщика ключей
Поставщика ключей AWS можно проверить в любое время. При этом выполняются все проверки исправности, и подтверждается соблюдение определенных правил, необходимых для миграции поставщика ключей. Проверка также выполняется автоматически перед началом миграции любого поставщика ключей.
Выполните следующие действия.
- В центре активности Администрирование выберите Параметры.
- В разделе Шифрование клиента нажмите Управление поставщиком ключей.
- Щелкните троеточие на карточке поставщика ключей.
- Выберите Проверить.
Удаление поставщика ключей
Любого поставщика ключей, кроме поставщика ключей Qlik по умолчанию, можно удалить, если он неактивный.
Выполните следующие действия.
- В центре активности Администрирование выберите Параметры.
- В разделе Шифрование клиента нажмите Управление поставщиком ключей.
- Щелкните троеточие на карточке поставщика ключей.
- Выберите Удалить.
События поставщика ключей
Изменения поставщика ключей шифрования можно подтвердить на странице «События» в центре активности Администрирование. В журнале событий регистрируются события шифрования следующих типов:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
События в AWS KMS регистрируются в журнале AWS CloudTrail в разделе История событий. Выполните поиск по именам событий: Encrypt, GenerateDatakey или Decrypt.
API шифрования Qlik и коннекторы
В дополнение к настройке шифрования клиента через центр активности Администрирование, в Qlik предусмотрено еще несколько способов управления жизненными циклами поставщиков ключей.
- API шифрования для программного управления поставщиками ключей. См. справочную документацию по API по адресу qlik.dev.
- Коннектор AWS KMS Автоматизация приложения Qlik, который позволяет настраивать поставщиков ключей в AWS. См. раздел Начало работы с коннектором Amazon KMS.
- Коннектор Qlik Platform Operations и коннектор QCS, доступные в формате без кода, встроенная функция Qlik для упрощения управления поставщиками ключей путем манипуляций с блоками коннектора в логическом потоке. См. разделы Обзор коннектора Qlik Platform Operations и Коннекторы Application Automation.
AWS Служба управления ключами (KMS)
Qlik Cloud поддерживает использование ключа, управляемого пользователем (CMK), — Amazon называет это ключом AWS KMS или ключом KMS — из AWS KMS для шифрования или расшифровки данных клиента.
Ниже перечислены общие шаги, которые необходимо выполнить с целью настройки AWS для использования с CMK. Необходимо создать учетную запись AWS KMS, создать ключ AWS KMS и настроить политику ключей для использования вместе с Qlik Cloud CMK. Завершив настройку в AWS KMS, можно сменить поставщика ключей в клиенте Qlik Cloud для использования ключа AWS KMS. См. Создание нового поставщика ключей в клиенте.
Создание учетной записи AWS
Перейдите в Amazon Web Services и создайте учетную запись.
Создайте симметричный ключ AWS KMS
В AWS создайте ключ с помощью консоли управления AWS KMS или через API AWS KMS с использованием команды CreateKey. Настраивая многозонный ключ, следует помнить, что существуют ограничения в отношении того, какие регионы можно выбрать в качестве резервных, в зависимости от зоны первичного ключа.
-
Регион AWS — выберите регион, где располагается клиент Qlik Cloud. Ниже перечислены поддерживаемые регионы Qlik Cloud и связанные с ними коды резервных регионов AWS. Поддерживаются ключи с несколькими регионами.
Название основного региона Код основного региона Резервное имя региона Резервный код региона Восток США (Северная Виргиния) us-east-1 Восток США (Огайо) us-east-2 Европа (Ирландия) eu-west-1 Европа (Париж) eu-west-3 Европа (Лондон) eu-west-2 Европа (Испания) eu-south-2 Европа (Франкфурт) eu-central-1 Европа (Милан) eu-south-1 Европа (Швеция) eu-north-1 Н/П Н/П Азиатско-Тихоокеанский регион (Сингапур) ap-southeast-1 Азиатско-Тихоокеанский регион (Сеул) ap-northeast-2 Азиатско-Тихоокеанский регион (Сидней) ap-southeast-2 Азиатско-Тихоокеанский регион (Мельбурн) ap-southeast-4 Япония (Токио) ap-northeast-1 Япония (Осака) ap-northeast-3 Индия (Мумбаи) ap-south-1 Индия (Хайдарабад) ap-south-2 Регион eu-north-1 Швеция не имеет резервного региона из-за специфичной политики транзита данных.
Примечание к предупреждениюЧтобы обеспечить правильную настройку многозонного ключа для использования в Qlik Cloud, необходимо создать пары ключей в соответствии с приведенной выше схемой резервных регионов в консоли AWS KMS.Примечание о Qlik Cloud для правительстваРегионы Qlik Cloud для правительства (us-gov-west-1 или us-gov-east-1) не требуют конфигурации ключа реплики для регистрации CMK. -
Тип ключа — симметричный. CMK не поддерживает асимметричные ключи.
-
Использование ключей — шифрование и расшифровка
Во время создания ключа также доступны другие параметры:
-
Ввод псевдонима ключа
-
Определение пользователей и ролей IAM (Identity and Access Management, управление идентификацией и доступом) с возможностью администрирования ключа
-
Выбор пользователей и ролей IAM, которые могут использовать ключ в криптографических операциях
-
Настройка политики ключа
Для получения дополнительной информации о создании ключа AWS KMS см. раздел Создание ключей.
Настройка политики ключа AWS KMS
Политика ключа управляет доступом к ключу AWS KMS. Каждый ключ имеет собственную политику. Политика ключей должна содержать минимальную информацию и разрешения, необходимые для использования ключа AWS KMS вместе с Qlik Cloud Ключи под управлением пользователя. Когда ключ создается с помощью консоли управления AWS KMS, AWS KMS создает политику ключа по умолчанию с использованием операторов на основе параметров, выбранных при создании ключа. Эти положения определяют, какие пользователи и роли IAM в учетной записи могут администрировать ключ и использовать его в криптографических операциях.
Необходимо отредактировать политику ключа по умолчанию, чтобы добавить разрешения и параметры, необходимые для использования ключа вместе с Qlik Cloud CMK. К их числу относятся следующие:
-
Разрешение использования учетных записей-посредников AWS и обязательных ролей IAM в Qlik для создания ключа данных, шифрования и расшифровки данных с помощью ключа AWS KMS. Отдельные роли IAM необходимо добавить в политику ключа для использования CMK вместе с Автоматизация приложения Qlik.
-
Поиск идентификатора клиента Qlik Cloud. Идентификатор клиента используется в качестве контекста шифрования. AWS KMS использует контекст шифрования в качестве дополнительных аутентифицированных данных (ДАД), чтобы обеспечить поддержку аутентифицированного шифрования. Это означает, что один клиент не может расшифровать ключи шифрования другого клиента. См. раздел Контекст шифрования. Если используется один и тот же ключ KMS для нескольких клиентов, необходимо включить в политику ключа идентификатор клиента для каждого из таких клиентов.
Выполните следующие действия.
- Убедитесь, что правильно указаны учетная запись AWS заказчика, пользователи и роли IAM и что они включены в политику, см. раздел Пример политики ключа AWS KMS. Политика может также включать другие положения.
-
Скопируйте необходимый фрагмент кода Qlik Cloud ниже и добавьте его в политику ключа. Для подписок Qlik Cloud для правительства скопируйте фрагмент кода Qlik Cloud для правительства.
-
В строке EncryptionContext замените QLIK_TENANT_ID идентификатором клиента Qlik Cloud.
- Сохраните политику ключа.
Фрагмент кода Qlik Cloud
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Фрагмент кода Qlik Cloud для правительства
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Для получения дополнительной информации о политиках ключей AWS KMS, см. раздел Политики ключей в KMS.
Пример политики ключа AWS KMS
Следующий пример политики ключа содержит базовые требования для использования с Qlik Cloud Ключи под управлением пользователя.
-
Учетная запись заказчика, а также пользователи и роли IAM, которые могут администрировать использовать ключ.
-
Учетные записи Qlik, а также роли IAM, которым разрешено использовать ключ для криптографических операций: Encrypt, Decrypt и GenerateDataKey.
-
Учетные записи Qlik, а также роли IAM Автоматизация приложений, которым разрешено использовать ключ с Автоматизация приложений.
-
Контекст шифрования, который идентифицирует идентификационный номер клиента Qlik Cloud (TenantID).
Выбранный раздел (B, C и D) в примере политики идентифицирует параметры, необходимые для Qlik Cloud Ключи под управлением пользователя.
ARN ключа KMS и ARN псевдонима
Amazon Resource Name (ARN) — это уникальный, полностью квалифицированный идентификатор для ключа KMS. Он включает контекст шифрования (идентификатор клиента), учетную запись AWS, регион и идентификатор ключа. ARN создается при создании ключа AWS KMS в AWS Служба управления ключами. В Qlik Cloud при смене основного поставщика ключей в центре активности Администрирование для использования ключа AWS KMS необходимо предоставить ARN ключа или ARN псевдонима, чтобы подключить службу шифрования Qlik к ключу AWS KMS. См. раздел Создание нового поставщика ключей в клиенте.
ARN использует формат:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Ниже приводится пример действительного ARN ключа:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
ARN псевдонима использует формат:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Ниже приводится пример действительного ARN, где CMK-Example-Alias — это имя псевдонима:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Для получения дополнительной информации о том, как находить ARN ключа или ARN псевдонима для ключа KMS, см. раздел Поиск идентификатора ключа и ARN ключа или Поиск псевдонима и ARN псевдонима.
Многозонный ключ AWS KMS для аварийного восстановления (АВ)
Многозонные ключи обеспечивают непрерывную доступность и обработку зашифрованных данных, даже когда возникают перебои в работе основного региона. Благодаря созданию реплики ключа можно расшифровать данные в резервном регионе, и все данные, зашифрованные в резервном регионе, затем можно расшифровать в первичном регионе после восстановления.
Выполните следующие действия, чтобы создать многозонный ключ в AWS KMS:
-
На консоли управления AWS щелкните Создать ключ.
-
На этапе 1 выполняется настройка конфигурации ключа. В разделе Дополнительные параметры выберите KMS в поле Источник материала ключа и в разделе Региональность выберите Многозонный ключ. Нажмите кнопку Далее, чтобы продолжить.
-
На этапе 2 необходимо добавить Псевдоним для ключа. Указав имя, можно добавить описание и теги. Нажмите кнопку Далее, чтобы продолжить.
-
На этапе 3 можно выбрать пользователей и роли IAM, которым предоставляется возможность администрирования ключа. Нажмите кнопку Далее, чтобы продолжить.
-
На этапе 4 можно выбрать пользователей IAM, которым предоставляется возможность работать с ключом KMS. Нажмите кнопку Далее, чтобы продолжить.
-
На этапе 5 необходимо проверить детали конфигурации. Убедитесь, что для параметра «Региональность» выбрано значение Многозонный ключ.
Политика ключей содержит все требования для использования многозонного ключа с Qlik Cloud Ключи под управлением пользователя, включая действие KMS DescribeKey. Для получения дополнительной информации о DescribeKey см. раздел AWS KMS DescribeKey.