Gå till huvudinnehåll Gå till ytterligare innehåll

Konfigurera kryptering för klientorganisation

Klientorganisationsadministratörer kan konfigurera inställningarna för kryptering för klientorganisation. Som standard använder en ny klientorganisation Qlik Intern KMS för att kryptera innehåll i klientorganisationen. Om din organisation vill använda sin egen kundhanterade nyckel (CMK) för att kryptera klientdata, kan du konfigurera klientkryptering för att använda en CMK från en nyckelleverantör som stöds.

Qlik Cloud har stöd med hjälp av en CMK från Amazon Web Services (AWS) Nyckelhanteringstjänst (KMS). Kunder kan välja att använda samma nyckel för flera klienter genom nyckelpolicydefinitionen AWS KMS, även om detta inte rekommenderas som bästa praxis. Integrationen av CMK och AWS KMS bibehålls per klientkryptering med hjälp av API-krypteringskontexten i AWS KMS, men du måste konfigurera kryptering för varje enskild klient. Kunder eller partner som gör det möjligt för flera slutanvändarorganisationer att använda klienter, måste implementera individuella nycklar per slutanvändarorganisation.

Anteckning om varningDu kan använda CMK med antingen nya eller befintliga klientorganisationer. När du ändrar din nyckelutfärdare att använda din CMK, kommer alla vilande data att krypteras och dekrypteras med hjälp av dessa nycklar.

CMK förutsättningar

Du måste ha ett AWS-konto och AWS KMS-nyckel att för att använda CMK med Qlik Cloud. Mer information om hur du upprättar ett AWS KMS-konto och skapar en AWS KMS-nyckel finns i AWS Nyckelhanteringstjänst (KMS)

När du har slutfört konfigurationen i AWS kan du ändra nyckelutfärdaren i klienten för att använda din AWS KMS-nyckel.

Skapa en ny nyckelutfärdare i klientorganisationen

Innan du skapar nyckelutfärdaren ska du verifiera att din AWS KMS-nyckel har konfigurerats korrekt i AWS KMS. Se AWS Nyckelhanteringstjänst (KMS). Qlik Cloud stöder följande nyckelleverantörer:

  • Qlik intern KMS (detta är standard KMS med hjälp av Qlik-hanterade nycklar)

  • AWS KMS

  1. I Hanteringskonsol går du till Inställningar.

  2. Under Klientorganisationskryptering klickar du på Hantera nyckelutfärdare.

  3. Klicka på Skapa nytt-kortet.

  4. Ange de parametrar som krävs av nyckelutfärdaren.

    • Huvudnyckelutfärdare: AWS KMS-huvudnyckelutfärdaren är det enda tillgängliga alternativet.
    • KMS-nyckels ARN: KMS-nyckelns ARN eller alias-ARN. Nyckel-ARN är en KMS-nyckels Amazon Resource Name (ARN). Alias-ARN är Amazon Resource Name (ARN) för AWS KMS-aliaset (det användarvänliga namnet som angavs för AWS KMS-nyckeln när nyckeln skapades). Mer information finns i "NyckelutfärdarhändelserInformation om hur du hittar nyckel-ARN eller alias-ARN för en KMS-nyckel finns i Hitta nyckel-ID och nyckel-ARN eller Hitta aliasnamn och alias-ARN.
    • Rubrik: En rubrik för att identifiera den nya nyckelutfärdaren.
    • Beskrivning: Valfritt
    • Skapa nyckelutfärdarkort

      Skapa huvudnyckelutfärdare
  5. Välj om du vill lägga till nyckelutfärdarkonfigurationen och spara den för framtida användning eller starta nyckelmigreringen nu.

Anteckning om varningNär din klient är konfigurerad för CMK kan klientdata inte dekrypteras med dessa nycklar om du inaktiverar eller raderad din CMK. För en inaktiverad nyckel kommer åtkomst till data att återupprättas om nyckeln återaktiveras. För en raderad nyckel kommer åtkomst till dessa data att vara permanent förlorad. Mer information finns i Nyckelhantering i AWS KMS.

Ändra nyckelleverantören i klienten

Du kan ändra nyckelleverantören från Qlik KMS till AWS KMS, från AWS KMS till ett annat AWS KMS eller återgå till Qlik KMS från AWS KMS. Under nyckelns migreringsprocess fortsätter klientorganisationen att fungera som vanligt och användarna påverkas inte.

Anteckning om varningOm det finns ett gällande avtal om affärsförbindelser (BAA) i samband med HIPAA och du lagrar PHI som regleras av HIPAA kan du inte återgå till Qlik KMS från AWS KMS. Du måste skapa en ny AWS-nyckel och migrera till den om den AWS-nyckel som för närvarande används måste bytas ut.
Anteckning om varning

Qlik programautomatisering-körningsloggar rensas permanent under en nyckelmigrering. Detta innebär att du inte kan lista historisk logginformation för dina automatiseringar:

  • Exportera körningslogg

  • Utdataruta

  • Per block-ruta

  • Kronologisk ruta

Följande bevaras under en nyckelmigrering:

  • Automatiseringskörningens rubrik

  • Automatiseringsfellog

  1. I Hanteringskonsol går du till Inställningar.
  2. Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
  3. Klicka på ellipsen på kortet till den nyckelleverantör som du vill migrera till.
  4. Välj Migrera.
  5. I dialogrutan Ändra nyckelleverantör väljer du kryssrutan för att bekräfta bytet av den nuvarande nyckeln och klickar på Ändra nyckelleverantör. När migreringen har slutförts blir den migrerade nyckelleverantören aktiv.
Anteckning om informationStatusen för nyckelmigreringen uppdateras var 15:e minut. Migreringen tar vanligen upp till 24 timmar beroende på antalet artefakter i klientorganisationen, till exempel appar, automatiseringar, aviseringar, händelseloggar och så vidare. Om din migrering tar längre än 24 timmar skapar du ett ärende och skickar det till Qlik Support.
Anteckning om information Du kan verifiera ändringen till krypteringsnyckelleverantören på sidan Händelser i Hanteringskonsol. Mer information om krypteringshändelsetyper finns i Nyckelutfärdarhändelser.

Validera nyckelutfärdaren

Du kan när som helst validera en AWS-nyckelutfärdare Med valideringen slutförs alla rimlighetskontroller och verifieras att de definierade nödvändiga reglerna för nyckelutfärdarmigreringen har följts. Validering utförs också automatiskt innan en nyckelutfärdarmigrering påbörjas.

  1. I Hanteringskonsol går du till Inställningar.
  2. Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
  3. Klicka på ellipsen på nyckelutfärdarkortet.
  4. Välj Validera.

Radera en nyckelutfärdare

Alla nyckelutfärdare undantaget den förinställda Qlik-nyckelutfärdaren kan tas bort om de är inaktiva.

  1. I Hanteringskonsol går du till Inställningar.
  2. Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
  3. Klicka på ellipsen på nyckelutfärdarkortet.
  4. Välj Ta bort.

Nyckelutfärdarhändelser

Du kan verifiera ändringarna för krypteringsnyckelutfärdaren på sidan Händelser i Hanteringskonsol. Händelseloggen registrerar följande krypteringshändelsetyper:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

Händelser i AWS KMS loggas till AWS CloudTrail under Händelsehistorik. Sök efter Händelsenamnen: Encrypt, GenerateDatakey eller Decrypt.

Qliks krypterings-API och kopplingar

Förutom att konfigurera klientorganisationens kryptering via Hanteringskonsolen tillhandahåller Qlik flera andra sätt att hantera nyckelutfärdarlivscykler.

AWS Nyckelhanteringstjänst (KMS)

Qlik Cloud stöder användning av en kundhanterad nyckel (CMK)- Amazon refererar till detta som en AWS KMS-nyckel eller KMS-nyckel-från AWS KMS för att kryptera eller dekryptera dina klientdata.

Nedan finns de allmänna steg som krävs för att upprätta AWS för användning med CMK. Du måste skapa ett AWS KMS-konto, skapa din AWS KMS-nyckel och konfigurera din nyckelpolicy för användning med Qlik Cloud CMK. När du har slutfört konfigurationen i AWS KMS kan du ändra nyckelutfärdaren i din Qlik Cloud-klient för att använda en AWS KMS-nyckel. Se Skapa en ny nyckelutfärdare i klientorganisationen.

Skapa ett AWS-konto

Gå till Amazon Web Services och skapa ett konto.

Skapa en symmetrisk AWS KMS-nyckel

I AWS skapar du en nyckel med hjälp av AWS KMS Hanteringskonsolen eller via AWS KMS-API med hjälp av kommandot CreateKey. När du konfigurerar din multiregionsnyckel måste du tänka på att det finns begränsningar avseende vilka regioner som kan väljas som reservregioner, beroende på regionen för primärnyckeln.

  • AWS Region— Välj den region där din Qlik Cloud-klient finns. Qlik Cloud-regioner som stöds och deras respektive AWS-reservregionkoder finns nedan. Multiregionsnycklar stöds.

    Namn primär region Kod primär region Säkerhetskopiera regionnamn Säkerhetskopiera regionkod
    USA Norra Virginia us-east-1 USA Ohio us-east-2
    Europa Irland eu-west-1 Europa Paris eu-west-3
    Europa Frankfurt eu-central-1 Europa Milano eu-south-1
    Europa London eu-west-2 Europa Spanien eu-south-2
    Asien och Stillahavsområdet Singapore ap-southeast-1 Asien och Stillahavsområdet Seoul ap-northeast-2
    Asien och Stillahavsområdet Sydney ap-southeast-2 Asien och Stillahavsområdet Melbourne ap-southeast-4
    Anteckning om varningFör att säkerställa korrekt konfigurering av en multiregionsnyckel för användning i Qlik Cloud måste du skapa nyckelparet enligt ovanstående diagram över reservregioner i AWS KMS-konsolen.
    Anteckning om Qlik Sense Enterprise SaaS GovernmentFör regionerna Qlik Cloud Government (us-gov-west-1 ellerus-gov-east-1) krävs ingen nyckelkopiekonfiguration för att registrera en CMK.
  • Nyckeltyp– Symmetrisk. CMK stöder inte asymmetriska nycklar.

  • Nyckelanvändning– Kryptera och dekryptera

Andra inställningar under skapande av nyckel innefattar:

  • Ange ett nyckelalias

  • Definiera Identity and Access Management (IAM) -användarna och de roller som kan administrera nyckeln

  • Välja IAM-användarna och roller som kan använda nyckeln vid kryptografiska åtgärder

  • Konfigurera nyckelpolicyn.

Mer information om hur du skapar en AWS KMS-nyckel finns i Skapa nycklar.

KonfigureraAWS KMS nyckelpolicyn

Nyckelpolicyn styr åtkomst till AWS KMS-nyckeln. Varje nyckel har sin egen policy. Nyckelpolicyn måste innehålla den grundläggande information och de behörigheter som krävs för att använda din AWS KMS-nyckel med Qlik Cloud Kundhanterade nycklar. När du skapar en nyckel med hjälp av AWS KMSHanteringskonsolen, skapar AWS KMS en standardnyckelpolicy med uppgifter som baseras på dina val under skapandet av nyckeln. Dessa uppgifter bestämmer de IAM-användare och roller på ditt konto som kan administrera nyckeln och använda nyckeln vid kryptografiska åtgärder.

Du måste redigera standardnyckelpolicyn för att lägga till de behörigheter och parametrar som krävs för att använda nyckeln med Qlik Cloud CMK. Dessa inkluderar:

  • Tillåta Qliks AWS-proxykonton och obligatoriska IAM-roller att generera en datanyckel, kryptera och dekryptera data med din AWS KMS -nyckel. Separata IAM-roller måste läggas till i nyckelpolicyn för att använda CMKs med Qlik programautomatisering.

  • Identifiera ditt Qlik Cloud-klient-ID. Klient-ID används som krypteringskontexten. AWS KMS använder krypteringskontexten som ytterligare autentiserade data (AAD) för att stödja autentiserad kryptering. Detta innebär att en klient inte kan dekryptera en annan klients chiffernycklar. Se Krypteringskontext. Om du använder samma KMS-nyckel för flera klienter, måste du inkludera klient-ID för varje klient i nyckelpolicyn.

  1. Se till att ditt AWS-kundkonto och IAM-användare och roller är korrekta och inkluderad i policyn, se ExempelAWS KMS-nyckelpolicy. Din policy kan även inkludera andra uppgifter.
  2. Kopiera det obligatoriska Qlik Cloud-kodavsnittet nedan och lägg till detta i din nyckelpolicy. För Qlik Cloud Government-prenumerationer kopierar du Qlik Cloud Government-kodavsnittet.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    [
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        },
        {
            "Sid": "Enable KMS Key policy for proxy account",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                    "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                    "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                ]
            },
            "Action": "kms:DescribeKey",
            "Resource": "*"
        }
    ]
  4. I strängen EncryptionContext, ersätter du QLIK_TENANT_ID med ditt Qlik Cloud-klient-ID.

  5. Anteckning om tipsFör att hitta ditt Tenant-ID väljer du din användarprofil från hubben i din Qlik Cloud-klientorganisation och väljer sedan About. Markera och kopiera ID-strängen under Tenant-ID. Använd inte Visningsnamn eller Alias-värdnamn i Hanteringskonsol under Inställningar > Klientorganisation.
  6. Spara nyckelpolicyn.

Mer information om AWS KMS-nyckelpolicyer finns i Nyckelpolicyer i KMS.

ExempelAWS KMS-nyckelpolicy

Följande exempel på nyckelpolicy inkluderar de grundläggande kraven för användning med Qlik Cloud Kundhanterade nycklar.

  1. Kundkontot, IAM-användare och roller som kan administrera och använda nyckeln.

  2. Qlik-konton och IAM-roller som har behörighet att använda nyckeln för kryptografiska åtgärder: Encrypt, Decrypt och GenerateDataKey.

  3. De Qlik konton och Programautomatisering IAM-roller som har behörighet att använda nyckeln med Programautomatisering.

  4. Krypteringskontexten som identifierar ditt Qlik Cloud klientidentifieringsnummer (klient-ID)

Det valda avsnittet (B, C och D) i policyexempel identifierar de parametrar som krävs av Qlik Cloud Kundhanterade nycklar.

AWS KMS nyckelpolicyexempel

Exempel på nyckelpolicy

KMS nyckel-ARN och alias-ARN

Amazon Resource Name (ARN) är ett unikt och en fullständigt kvalificerad identifierare för KMS-nyckeln. Det inkluderar krypteringskontexten (klient-ID), AWS-konto, region och nyckel-ID. ARN skapas när du skapar en AWS KMS-nyckel i AWS Nyckelhanteringstjänst. I Qlik Cloud gäller att när du ändrar huvudnyckelleverantör i Hanteringskonsol för att använda din AWS KMS-nyckel, måste du ange nyckel-ARN eller alias-ARN för att ansluta Qlik-krypteringstjänsten till din AWS KMS-nyckel. Se Skapa en ny nyckelutfärdare i klientorganisationen.

A) AWS KMS-nyckel-ARN och B) Alias-ARN i AWS Nyckelhanteringstjänst

AWS KMS-nyckel ARN och alias-ARN

ARN använder formatet:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Följande är ett exempel på en giltig nyckel-ARN:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Alias-ARN använder formatet:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Följande är ett exempel på ett giltigt alias-ARN där CMK-Example-Alias är aliasnamnet:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

Mer information om hur du hittar nyckel-ARN eller alias ARN för din KMS-nyckel finns i Hitta nyckel-ID och nyckel-ARN eller Hitta aliasnamn och alias-ARN.

AWS KMS-multiregionsnyckel för katastrofåterställning (DR)

Multiregionsnycklar ger dig åtkomst och bearbetning av krypterade data när det har inträffat ett avbrott i en primär region. Genom att skapa en kopia av nyckeln kan du dekryptera data i reservregionen, och all data som krypterats i säkerhetskopian kan senare dekrypteras i den primära regionen när den har återställts.

Följ de här stegen för att skapa en multiregionnyckel i AWS KMS:

  1. AWS Hanteringskonsol klickar du på Skapa en nyckel.

  2. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.

  3. I steg 1 skapar du din nyckelkonfiguration. I avsnittet Avancerade alternativ väljer du KMS för ursprung för nyckelmaterial och i avsnittet Regionalitet väljer du Multiregionsnyckel. Klicka på Nästa för att fortsätta.

  4. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.

  5. I steg 2 lägger du till ett Alias för nyckeln. När du har lagt till ett namn kan du lägga till en beskrivning och taggar (valfritt) Klicka på Nästa för att fortsätta.

  6. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.

  7. I steg 3 kan du välja IAM-användare och de roller som kan administrera nyckeln Klicka på Nästa för att fortsätta.

  8. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.

  9. I steg 4 kan du välja IAM-användarroller som kan använda KMS-nyckeln. Klicka på Nästa för att fortsätta.

  10. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.

  11. I steg 5 granskar du konfigureringsinformationen. Kontrollera att Regionalitet är inställd till Multiregionsnyckel.

  12. AWS Hanteringskonsol med knapplänk för att skapa en CMK-nyckel.


I Nyckelpolicyn ingår alla krav för att använda multiregionsnyckel med Qlik Cloud Kundhanterade nycklar, inklusive KMS-åtgärden DescribeKey. Mer information om DescribeKey finns i AWS KMS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Anteckning om varningAWS KMS har inte stöd för att ändra nyckeltypen när den har skapats, vilket innebär att nycklar för enskilda regioner inte kan ändras till multiregionsnycklar eller tvärtom. Om din befintliga nyckel redan är konfigurerad för multiregion så kan du modifiera policyn och uppdatera de kopierade regionerna.

Var den här sidan till hjälp för dig?

Om du hittar några fel på denna sida eller i innehållet – ett stavfel, ett steg som saknas eller ett tekniskt fel – berätta för oss så att vi kan blir bättre!