Konfigurera kryptering för klientorganisation
Konfigurera kryptering av klientorganisation i Qlik Cloud med din organisations AWS Key Management Service-nycklar (KMS).
Klientorganisationsadministratörer kan konfigurera inställningarna för kryptering för klientorganisation. Som standard använder en ny klientorganisation Qlik Intern KMS för att kryptera innehåll i klientorganisationen. Om din organisation vill använda sin egen kundhanterade nyckel (CMK) för att kryptera klientdata, kan du konfigurera klientkryptering för att använda en CMK från en nyckelleverantör som stöds.
Qlik Cloud har stöd med hjälp av en CMK från Amazon Web Services (AWS) Nyckelhanteringstjänst (KMS). Kunder kan välja att använda samma nyckel för flera klienter genom nyckelpolicydefinitionen AWS KMS, även om detta inte rekommenderas som bästa praxis. Integrationen av CMK och AWS KMS bibehålls per klientkryptering med hjälp av API-krypteringskontexten i AWS KMS, men du måste konfigurera kryptering för varje enskild klient. Kunder eller partner som gör det möjligt för flera slutanvändarorganisationer att använda klienter, måste implementera individuella nycklar per slutanvändarorganisation.
CMK förutsättningar
Du måste ha ett AWS-konto och AWS KMS-nyckel att för att använda CMK med Qlik Cloud. Mer information om hur du upprättar ett AWS KMS-konto och skapar en AWS KMS-nyckel finns i AWS Nyckelhanteringstjänst (KMS)
När du har slutfört konfigurationen i AWS kan du ändra nyckelutfärdaren i klienten för att använda din AWS KMS-nyckel.
Skapa en ny nyckelutfärdare i klientorganisationen
Innan du skapar nyckelutfärdaren ska du verifiera att din AWS KMS-nyckel har konfigurerats korrekt i AWS KMS. Se AWS Nyckelhanteringstjänst (KMS). Qlik Cloud stöder följande nyckelleverantörer:
-
Qlik intern KMS (detta är standard KMS med hjälp av Qlik-hanterade nycklar)
-
AWS KMS
Gör följande:
-
Gå till Inställningar i aktivitetscentret för Administration.
-
Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
-
Klicka på Skapa nytt-kortet.
-
Ange de parametrar som krävs av nyckelutfärdaren.
- Huvudnyckelutfärdare: AWS KMS-huvudnyckelutfärdaren är det enda tillgängliga alternativet.
- KMS-nyckelns ARN: KMS-nyckelns ARN eller alias-ARN. Nyckel-ARN är en KMS-nyckels Amazon Resource Name (ARN). Alias-ARN är Amazon Resource Name (ARN) för AWS KMS-aliaset (det användarvänliga namnet som angavs för AWS KMS-nyckeln när nyckeln skapades). Mer information finns i "NyckelutfärdarhändelserInformation om hur du hittar nyckel-ARN eller alias-ARN för en KMS-nyckel finns i Hitta nyckel-ID och nyckel-ARN eller Hitta aliasnamn och alias-ARN.
- Rubrik: en rubrik för att identifiera den nya nyckelutfärdaren.
- Beskrivning: valfritt
-
Välj om du vill lägga till nyckelutfärdarkonfigurationen och spara den för framtida användning eller starta nyckelmigreringen nu.
Ändra nyckelleverantören i klienten
Du kan ändra nyckelleverantören från Qlik KMS till AWS KMS, från AWS KMS till ett annat AWS KMS eller återgå till Qlik KMS från AWS KMS. Under nyckelns migreringsprocess fortsätter klientorganisationen att fungera som vanligt och användarna påverkas inte.
Gör följande:
- Gå till Inställningar i aktivitetscentret för Administration.
- Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
- Klicka på ellipsen på kortet till den nyckelleverantör som du vill migrera till.
- Välj Migrera.
- I dialogrutan Ändra nyckelleverantör väljer du kryssrutan för att bekräfta bytet av den nuvarande nyckeln och klickar på Ändra nyckelleverantör. När migreringen har slutförts blir den migrerade nyckelleverantören aktiv.
Validera nyckelutfärdaren
Du kan när som helst validera en AWS-nyckelutfärdare Med valideringen slutförs alla rimlighetskontroller och verifieras att de definierade nödvändiga reglerna för nyckelutfärdarmigreringen har följts. Validering utförs också automatiskt innan en nyckelutfärdarmigrering påbörjas.
Gör följande:
- Gå till Inställningar i aktivitetscentret för Administration.
- Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
- Klicka på ellipsen på nyckelutfärdarkortet.
- Välj Validera.
Radera en nyckelutfärdare
Alla nyckelutfärdare undantaget den förinställda Qlik-nyckelutfärdaren kan tas bort om de är inaktiva.
Gör följande:
- Gå till Inställningar i aktivitetscentret för Administration.
- Under Klientorganisationskryptering klickar du på Ändra nyckelutfärdare.
- Klicka på ellipsen på nyckelutfärdarkortet.
- Välj Ta bort.
Nyckelutfärdarhändelser
Du kan verifiera ändringarna av krypteringsnyckelleverantör på sidan Händelser i aktivitetscentret för Administration. Händelseloggen registrerar följande typer av krypteringshändelser:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
Händelser i AWS KMS loggas till AWS CloudTrail under Händelsehistorik. Söka efter Händelsenamn: Encrypt, GenerateDatakey eller Decrypt.
Qliks krypterings-API och kopplingar
Förutom att konfigurera klientorganisationens kryptering via aktivitetscenter för Administration erbjuder Qlik flera andra sätt att hantera nyckelleverantörslivscykler.
- Ett krypterings-API för att hantera nyckelutfärdare programmatiskt. Se referensdokumentationen för API:t på qlik.dev.
- En AWS KMS Qlik programautomatisering koppling med vilken du kan konfigurera huvudleverantörerna i AWS. Se Så här kommer du igång med AmazonKMS-kopplingen.
- Qlik Platform Operations-kopplingen och QCS-kopplingen, som är tillgängliga som ett kodfritt, Qlik-internt alternativ för att enkelt hantera nyckelutfärdare genom att manipulera kopplingsblock i ett logiskt flöde. Se Översikt över kopplingar till Qlik Platform Operations och Kopplingar för programautomatisering.
AWS Nyckelhanteringstjänst (KMS)
Qlik Cloud stöder användning av en kundhanterad nyckel (CMK)- Amazon refererar till detta som en AWS KMS-nyckel eller KMS-nyckel-från AWS KMS för att kryptera eller dekryptera dina klientdata.
Nedan finns de allmänna steg som krävs för att upprätta AWS för användning med CMK. Du måste skapa ett AWS KMS-konto, skapa din AWS KMS-nyckel och konfigurera din nyckelpolicy för användning med Qlik Cloud CMK. När du har slutfört konfigurationen i AWS KMS kan du ändra nyckelutfärdaren i din Qlik Cloud-klient för att använda en AWS KMS-nyckel. Se Skapa en ny nyckelutfärdare i klientorganisationen.
Skapa ett AWS-konto
Gå till Amazon Web Services och skapa ett konto.
Skapa en symmetrisk AWS KMS-nyckel
I AWS skapar du en nyckel med hjälp av AWS KMS Hanteringskonsolen eller via AWS KMS-API med hjälp av kommandot CreateKey. När du konfigurerar din multiregionsnyckel måste du tänka på att det finns begränsningar avseende vilka regioner som kan väljas som reservregioner, beroende på regionen för primärnyckeln.
-
AWS Region— Välj den region där din Qlik Cloud-klient finns. Qlik Cloud-regioner som stöds och deras respektive AWS-reservregionkoder finns nedan. Multiregionsnycklar stöds.
Namn primär region Kod primär region Säkerhetskopiera regionnamn Säkerhetskopiera regionkod Östra USA (Norra Virginia) us-east-1 Östra USA (Ohio) us-east-2 Europa (Irland) eu-west-1 Europa (Paris) eu-west-3 Europa (London) eu-west-2 Europa (Spanien) eu-south-2 Europa (Frankfurt) eu-central-1 Europa (Milano) eu-south-1 Europa (Sverige) eu-north-1 ej tillämpligt ej tillämpligt Asien och Stillahavsområdet (Singapore) ap-southeast-1 Asien och Stillahavsområdet (Seoul) ap-northeast-2 Asien och Stillahavsområdet (Sydney) ap-southeast-2 Asien och Stillahavsområdet (Melbourne) ap-southeast-4 Japan (Tokyo) ap-northeast-1 Japan (Osaka) ap-northeast-3 Indien (Mumbai) ap-south-1 Indien (Hyderabad) ap-south-2 Regionen eu-north-1 Sverige har inte någon backup-region på grund av sin specifika policy för datatransitering.
Anteckning om varningFör att säkerställa korrekt konfigurering av en multiregionsnyckel för användning i Qlik Cloud måste du skapa nyckelparet enligt ovanstående diagram över reservregioner i AWS KMS-konsolen.Information om Qlik Cloud GovernmentFör regionerna Qlik Cloud Government (us-gov-west-1 ellerus-gov-east-1) krävs ingen nyckelkopiekonfiguration för att registrera en CMK. -
Nyckeltyp– Symmetrisk. CMK stöder inte asymmetriska nycklar.
-
Nyckelanvändning– Kryptera och dekryptera
Andra inställningar under skapande av nyckel innefattar:
-
Ange ett nyckelalias
-
Definiera Identity and Access Management (IAM) -användarna och de roller som kan administrera nyckeln
-
Välja IAM-användarna och roller som kan använda nyckeln vid kryptografiska åtgärder
-
Konfigurera nyckelpolicyn.
Mer information om hur du skapar en AWS KMS-nyckel finns i Skapa nycklar.
KonfigureraAWS KMS nyckelpolicyn
Nyckelpolicyn styr åtkomst till AWS KMS-nyckeln. Varje nyckel har sin egen policy. Nyckelpolicyn måste innehålla den grundläggande information och de behörigheter som krävs för att använda din AWS KMS-nyckel med Qlik Cloud Kundhanterade nycklar. När du skapar en nyckel med hjälp av AWS KMSHanteringskonsolen, skapar AWS KMS en standardnyckelpolicy med uppgifter som baseras på dina val under skapandet av nyckeln. Dessa uppgifter bestämmer de IAM-användare och roller på ditt konto som kan administrera nyckeln och använda nyckeln vid kryptografiska åtgärder.
Du måste redigera standardnyckelpolicyn för att lägga till de behörigheter och parametrar som krävs för att använda nyckeln med Qlik Cloud CMK. Dessa inkluderar:
-
Tillåta Qliks AWS-proxykonton och obligatoriska IAM-roller att generera en datanyckel, kryptera och dekryptera data med din AWS KMS -nyckel. Separata IAM-roller måste läggas till i nyckelpolicyn för att använda CMKs med Qlik programautomatisering.
-
Identifiera ditt Qlik Cloud-klient-ID. Klient-ID används som krypteringskontexten. AWS KMS använder krypteringskontexten som ytterligare autentiserade data (AAD) för att stödja autentiserad kryptering. Detta innebär att en klient inte kan dekryptera en annan klients chiffernycklar. Se Krypteringskontext. Om du använder samma KMS-nyckel för flera klienter, måste du inkludera klient-ID för varje klient i nyckelpolicyn.
Gör följande:
- Se till att ditt AWS-kundkonto och IAM-användare och roller är korrekta och inkluderad i policyn, se ExempelAWS KMS-nyckelpolicy. Din policy kan även inkludera andra uppgifter.
-
Kopiera det obligatoriska Qlik Cloud-kodavsnittet nedan och lägg till detta i din nyckelpolicy. För Qlik Cloud Government-prenumerationer kopierar du Qlik Cloud Government-kodavsnittet.
-
I strängen EncryptionContext, ersätter du QLIK_TENANT_ID med ditt Qlik Cloud-klient-ID.
- Spara nyckelpolicyn.
Qlik Cloud-kodavsnitt
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Qlik Cloud Government-kodavsnitt
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
Mer information om AWS KMS-nyckelpolicyer finns i Nyckelpolicyer i KMS.
ExempelAWS KMS-nyckelpolicy
Följande exempel på nyckelpolicy inkluderar de grundläggande kraven för användning med Qlik Cloud Kundhanterade nycklar.
-
Kundkontot, IAM-användare och roller som kan administrera och använda nyckeln.
-
Qlik-konton och IAM-roller som har behörighet att använda nyckeln för kryptografiska åtgärder: Encrypt, Decrypt och GenerateDataKey.
-
De Qlik konton och Programautomatisering IAM-roller som har behörighet att använda nyckeln med Programautomatisering.
-
Krypteringskontexten som identifierar ditt Qlik Cloud klientidentifieringsnummer (klient-ID)
Det valda avsnittet (B, C och D) i policyexempel identifierar de parametrar som krävs av Qlik Cloud Kundhanterade nycklar.
KMS nyckel-ARN och alias-ARN
Amazon Resource Name (ARN) är ett unikt och en fullständigt kvalificerad identifierare för KMS-nyckeln. Det inkluderar krypteringskontexten (klient-ID), AWS-konto, region och nyckel-ID. ARN skapas när du skapar en AWS KMS-nyckel i AWS Nyckelhanteringstjänst. I Qlik Cloud gäller att när du ändrar huvudnyckelleverantör i aktivitetscentret för Administration för att använda din AWS KMS-nyckel, måste du ange nyckel-ARN eller alias-ARN för att koppla Qlik-krypteringstjänsten till din AWS KMS-nyckel. Se Skapa en ny nyckelutfärdare i klientorganisationen.
ARN använder formatet:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Följande är ett exempel på en giltig nyckel-ARN:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Alias-ARN använder formatet:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Följande är ett exempel på ett giltigt alias-ARN där CMK-Example-Alias är aliasnamnet:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
Mer information om hur du hittar nyckel-ARN eller alias ARN för din KMS-nyckel finns i Hitta nyckel-ID och nyckel-ARN eller Hitta aliasnamn och alias-ARN.
AWS KMS-multiregionsnyckel för katastrofåterställning (DR)
Multiregionsnycklar ger dig åtkomst och bearbetning av krypterade data när det har inträffat ett avbrott i en primär region. Genom att skapa en kopia av nyckeln kan du dekryptera data i reservregionen, och all data som krypterats i säkerhetskopian kan senare dekrypteras i den primära regionen när den har återställts.
Följ de här stegen för att skapa en multiregionnyckel i AWS KMS:
-
På AWS Hanteringskonsol klickar du på Skapa en nyckel.
-
I steg 1 skapar du din nyckelkonfiguration. I avsnittet Avancerade alternativ väljer du KMS för ursprung för nyckelmaterial och i avsnittet Regionalitet väljer du Multiregionsnyckel. Klicka på Nästa för att fortsätta.
-
I steg 2 lägger du till ett Alias för nyckeln. När du har lagt till ett namn kan du lägga till en beskrivning och taggar (valfritt) Klicka på Nästa för att fortsätta.
-
I steg 3 kan du välja IAM-användare och de roller som kan administrera nyckeln Klicka på Nästa för att fortsätta.
-
I steg 4 kan du välja IAM-användarroller som kan använda KMS-nyckeln. Klicka på Nästa för att fortsätta.
-
I steg 5 granskar du konfigureringsinformationen. Kontrollera att Regionalitet är inställd till Multiregionsnyckel.
I Nyckelpolicyn ingår alla krav för att använda multiregionsnyckel med Qlik Cloud Kundhanterade nycklar, inklusive KMS-åtgärden DescribeKey. Mer information om DescribeKey finns i AWS KMS DescribeKey.