Kiracı şifrelemesini yapılandırma

Kiracı yöneticileri kiracı şifreleme ayarlarını yapılandırabilir. Varsayılan olarak yeni bir kiracı, kiracıdaki içeriği şifrelemek için Qlik Dahili KMS bileşenini kullanır. Kuruluşunuz kiracı verilerini şifrelemek için kendi müşteri tarafından yönetilen anahtarını (CMK) kullanmak isterse, kiracı şifrelemesini desteklenen bir anahtar sağlayıcıdan bir CMK kullanmak üzere yapılandırabilirsiniz.

Qlik Cloud, Amazon Web Services (AWS) Anahtar Yönetim Hizmeti uygulamasından (KMS) bir CMK kullanmayı destekler. Müşteriler, AWS KMS anahtar politikası tanımı aracılığıyla aynı anahtarı birden çok kiracı için kullanmayı seçebilir, ancak bu önerilen bir en iyi uygulama değildir. CMK ve AWS KMS entegrasyonu, AWS KMS API'sinin şifreleme bağlamını kullanarak kiracı başına şifrelemeyi korur, ancak şifrelemeyi her kiracı için ayrı olarak yapılandırmalısınız. Kiracıları birden çok son kullanıcılı kuruluşlar için kullanılmak üzere etkinleştiren müşterilerin veya iş ortaklarının son kullanıcı kuruluşu başına ayrı anahtarlar uygulaması gerekir.

CMK uygulamasına hem yeni hem de mevcut kiracılarla kullanabilirsiniz. Anahtar sağlayıcıyı CMK öğenizi kullanacak şekilde değiştirdikten sonra, kiracıdaki tüm bekleyen veriler bu anahtarlar kullanılarak şifrelenecek ve şifresi çözülecektir.

CMK önkoşulları

Qlik Cloud ile CMK kullanmak için bir AWS hesabınız ve AWS KMS anahtarınız olması gerekir. AWS KMS hesabı kurma ve AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. AWS Anahtar Yönetim Hizmeti (KMS).

AWS öğesindeki kurulumu tamamladıktan sonra, AWS KMS anahtarınızı kullanmak için kiracıdaki anahtar sağlayıcıyı değiştirebilirsiniz.

Kiracıda yeni bir anahtar sağlayıcı oluşturma

Anahtar sağlayıcıyı oluşturmadan önce AWS KMS anahtarınızın ve politikanızın AWS KMS içinde doğru şekilde yapılandırıldığından emin olun. bk. AWS Anahtar Yönetim Hizmeti (KMS). Qlik Cloud şu anahtar sağlayıcıyları destekler:

Qlik Dahili KMS (bu, Qlik tarafından yönetilen anahtarları kullanan KMS bileşenidir)
AWS KMS

Aşağıdakileri yapın:

Yönetim Konsolu içinde, Ayarlar'a gidin.
Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
Yeni kart oluştur seçeneğine tıklayın.
Anahtar sağlayıcı tarafından istenen parametreleri girin.
- Ana anahtar sağlayıcı: AWS KMS ana anahtar sağlayıcısı mevcut tek seçenektir.
- KMS anahtarı ARN'si: KMS anahtar ARN'si veya diğer ad ARN'si. Anahtar ARN'si, bir KMS anahtarının Amazon Resource Name (ARN) değeridir. Takma ad ARN'si, AWS KMS takma adının Amazon Resource Name (ARN) değeridir (oluşturulurken AWS KMS anahtarına verilen kolay ad). Daha fazla bilgi için bk. Önemli sağlayıcı etkinlikleri Bir KMS anahtarının anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini veya anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.
- Başlık: Yeni anahtar sağlayıcıyı tanımlayan bir başlık.
- Açıklama: İsteğe bağlı
Anahtar sağlayıcı yapılandırmasını ekleyip daha sonra kullanmak üzere kaydetmek veya anahtar geçişini şimdi başlatmak isteyip istemediğinizi seçin.

Kiracınız CMK öğesi için yapılandırıldıktan sonra, CMK öğenizi devre dışı bırakır veya silerseniz kiracı verilerinin şifresi bu anahtarlar kullanılarak çözülemez. Devre dışı bırakılan bir anahtar yeniden etkinleştirilirse, verilere yeniden erişim elde edilir. Anahtar silinirse, verilere erişim kalıcı olarak kaybolur. Daha fazla bilgi için bk. AWS KMS içinde anahtar yönetimi.

Kiracıdaki anahtar sağlayıcıyı değiştirme

Anahtar sağlayıcıyı Qlik KMS'den AWS KMS'ye, AWS KMS'den başka bir AWS KMS'ye değiştirebilir veya AWS KMS'den Qlik KMS'ye geri dönebilirsiniz. Anahtar geçişi süreci boyunca kiracı, kullanıcılar üzerinde herhangi bir etki yaratmadan her zamanki gibi çalışmaya devam edecektir.

HIPAA ile ilgili bir İş Ortağı Anlaşması (BAA) yürürlükteyse ve HIPAA'ya tabi PHI depoluyorsanız AWS KMS'den Qlik KMS'ye geri dönemezsiniz. Şu anda kullanılmakta olan AWS anahtarının değiştirilmesi gerekiyorsa yeni bir AWS anahtarı oluşturmalı ve bu anahtara geçiş yapmalısınız.

Qlik Application Automation çalıştırma günlükleri anahtar geçişi sırasında kalıcı olarak temizlenir. Bu, otomasyonlarınız için geçmiş günlük bilgilerini listeleyemeyeceğiniz anlamına gelir:

Günlük dışa aktarmayı çalıştır
Çıktı bölmesi
Blok bölmesi başına
Kronolojik bölme

Aşağıdakiler önemli bir geçişle devam eder:

Otomasyon çalıştırma başlığı
Otomasyon hata günlüğü

Aşağıdakileri yapın:

Yönetim Konsolu içinde, Ayarlar'a gidin.
Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
Geçiş yapmak istediğiniz anahtar sağlayıcısının kartındaki üç noktaya tıklayın.
Geçiş'i seçin.
Anahtar sağlayıcıyı değiştir diyalog penceresinde mevcut anahtarın değiştirilmesini onaylamak için onay kutusunu seçin ve Anahtar sağlayıcıyı değiştir'e tıklayın. Başarılı bir geçişin ardından, geçişi yapılan anahtar sağlayıcısı etkin hale gelecektir.

Anahtar geçişinin durumu her 15 dakikada bir güncellenir. Geçişler, kiracıdaki notlar, uygulamalar, otomasyonlar, uyarılar, olay günlükleri vb. gibi yapıların sayısına bağlı olarak genellikle 24 saate kadar sürebilir. Geçiş işleminiz 24 saatten uzun sürüyorsa lütfen Qlik Desteği'nde bir bilet oluşturun.

Şifreleme anahtarı sağlayıcı değişikliğini Yönetim Konsolu içindeki Olaylar sayfasında doğrulayabilirsiniz. Geçişle ilgili şifreleme olay türleri hakkında daha fazla bilgi için bk. Önemli sağlayıcı etkinlikleri.

Anahtar sağlayıcıyı doğrulama

AWS anahtar sağlayıcısını dilediğiniz zaman doğrulayabilirsiniz. Doğrulama, tüm sağlık kontrollerini tamamlar ve anahtar sağlayıcı geçişi için gereken tanımlanmış kurallara uyulduğunu doğrular. Doğrulama ayrıca herhangi bir anahtar sağlayıcı geçişi başlamadan önce otomatik olarak gerçekleştirilir.

Aşağıdakileri yapın:

Yönetim Konsolu içinde, Ayarlar'a gidin.
Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
Doğrulama öğesini seçin.

Anahtar sağlayıcıyı silme

Varsayılan Qlik anahtar sağlayıcısı dışında herhangi bir anahtar sağlayıcısı etkin değilse silinebilir.

Aşağıdakileri yapın:

Yönetim Konsolu içinde, Ayarlar'a gidin.
Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
Sil'i seçin.

Önemli sağlayıcı etkinlikleri

Şifreleme anahtarı sağlayıcı değişiklikleri Yönetim Konsolu içindeki Olaylar sayfasında doğrulayabilirsiniz. Olay günlüğü şu şifreleme olay türlerini yakalar:

com.qlik.v1.encryption.keyprovider.created
com.qlik.v1.encryption.keyprovider.updated
com.qlik.v1.encryption.keyprovider.deleted
com.qlik.v1.encryption.keyprovider-migration.triggered
com.qlik.v1.encryption.keyprovider-migration.finished
com.qlik.v1.encryption.keyprovider-migration.progressed

AWS KMS içindeki olaylar Olay Geçmişi altındaki AWS CloudTrail'a kaydedilir. Olay Adları'nı arayın: Encrypt, GenerateDatakey veya Decrypt.

Qlik şifreleme API'si ve bağlayıcıları

Yönetim Konsolu üzerinden kiracı şifrelemesini yapılandırmanın yanı sıra Qlik, anahtar sağlayıcı yaşam döngülerini yönetmek için birkaç yöntem daha sunar.

Anahtar sağlayıcıları programlı olarak yönetmek için şifreleme API'si. qlik.dev adresindeki API referans belgelerine bakın.
AWS'deki anahtar sağlayıcıları yapılandırmanıza olanak tanıyan bir AWS KMS Qlik Application Automation Bağlayıcısı. Bk. Amazon KMS bağlayıcısını kullanmaya başlama.
Qlik Platform Operasyonları Bağlayıcısı ve QCS Bağlayıcısı, mantıksal bir akıştaki bağlayıcı bloklarını manipüle ederek anahtar sağlayıcıları kolayca yönetmek için kodsuz, Qlik'e özgü bir seçenek olarak sunulur. Bkz. Qlik Platform Operations bağlayıcısına genel bakış ve Uygulama Otomasyonu bağlayıcıları.

AWS Anahtar Yönetim Hizmeti (KMS)

Qlik Cloud, kiracı verilerinizde şifreleme ve şifre çözme işlemi için AWS KMS bileşeninden müşteri tarafından yönetilen bir anahtarı (CMK) (Amazon bunu bir AWS KMS anahtarı veya bir KMS anahtarı olarak adlandırır) destekler.

AWS bileşenini CMK ile kullanmak üzere ayarlamak için genel adımları aşağıda bulabilirsiniz. Bir AWS KMS hesabı oluşturmalı, AWS KMS anahtarınızı oluşturmalı ve anahtar politikanızı Qlik Cloud CMK ile kullanılmak üzere yapılandırmalısınız. AWS KMS öğesinde kurulumu tamamladıktan sonra, Qlik Cloud kiracınızdaki anahtar sağlayıcıyı bir AWS KMS anahtarı kullanacak şekilde değiştirebilirsiniz. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.

AWS hesabı oluşturma

Amazon Web Services uygulamasına gidin ve bir hesap oluşturun.

Simetrik bir AWS KMS anahtarı oluşturun

AWS içinde AWS KMS Yönetim Konsolu'nu kullanarak veya AWS KMS API'si aracılığıyla CreateKey komutunu kullanarak bir anahtar oluşturun. Çok bölgeli anahtarınızı yapılandırırken birincil anahtarın bölgesine göre yedek bölgeleri olarak hangi bölgelerin seçilebileceğine dair sınırlamalar olduğunu unutmayın.

AWS Bölgesi—Qlik Cloud kiracınızın barındırıldığı bölgeyi seçin. Desteklenen Qlik Cloud bölgeleri ve bunların ilişkili AWS yedek bölgesi kodları aşağıda listelenmiştir. Çok bölgeli anahtarlar desteklenir.

Birincil bölge adı	Birincil bölge kodu	Yedek bölge adı	Yedek bölge kodu
ABD Kuzey Virginia	us-east-1	ABD Ohio	us-east-2
Avrupa İrlanda	eu-west-1	Avrupa Paris	eu-west-3
Avrupa Frankfurt	eu-central-1	Avrupa Milano	eu-south-1
Avrupa Londra	eu-west-2	Avrupa İspanya	eu-south-2
Asya-Pasifik Singapur	ap-southeast-1	Asya Pasifik Seul	ap-northeast-2
Asya-Pasifik Sidney	ap-southeast-2	Asya-Pasifik Melbourne	ap-southeast-4
Japonya (Tokyo)	ap-northeast-1	Japonya (Osaka)	ap-northeast-3

Qlik Cloud içinde çok bölgeli anahtar kullanımının doğru şekilde desteklenmesini sağlamak için anahtar eşleştirmesini, AWS KMS konsolunda yukarıdaki yedekleme bölgesi grafiğine göre oluşturmanız gerekir.

Qlik Cloud Government bölgeleri (us-gov-west-1 veya us-gov-east-1), bir CMK kaydetmek için yinelenen anahtar yapılandırması gerektirmez.

Anahtar Türü—Simetrik. CMK asimetrik anahtarları desteklemez.
Anahtar Kullanımı—Şifreleme ve Şifre Çözme

Anahtar oluşturma sırasındaki diğer ayarlar şunları içerir:

Anahtar takma adı girme
Anahtarı yönetebilecek Kimlik ve Erişim Yönetimi (IAM) kullanıcılarını ve rollerini tanımlama
Anahtar kriptolama işlemlerinde kullanabilecek IAM kullanıcılarını ve rollerini seçme
Anahtar politikasını yapılandırma.

AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. Anahtar oluşturma.

AWS KMS anahtar politikasını yapılandırma

Anahtar politikası AWS KMS anahtarına erişimi denetler. Her anahtarın kendi politikası vardır. Anahtar politikası AWS KMS anahtarınızı Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanmak için gereken minimum bilgiyi ve izinleri içermelidir. AWS KMS Yönetimi Konsolu'nu kullanarak bir anahtar oluşturduğunuzda, AWS KMS, anahtar oluşturma sırasındaki seçimlerinizi temel alan deyimlerle varsayılan bir anahtar politikası oluşturur. Bu deyimler, anahtarı yönetebilecek ve kriptolama işlemlerinde kullanabilecek hesabınızdaki IAM kullanıcılarını ve rollerini belirler.

Anahtarı Qlik Cloud CMK ile kullanmak için gereken izinleri ve parametreleri eklemek için varsayılan anahtar politikasını düzenlemelisiniz. Bunlar aşağıdakileri içerir:

Qlik bileşeninin AWS proxy hesaplarına ve gerekli IAM rollerine, bir veri anahtarı oluşturmak ve AWS KMS anahtarınızı kullanarak verilerde şifreleme ve şifre çözme işlemleri yapmak için izin verme. CMK anahtarlarını Qlik Application Automation ile kullanmak için anahtar politikasına ayrı IAM rolleri eklenmelidir.
Qlik Cloud Kiracı Kimliğinizi tanımlama. Kiracı kimliği, şifreleme bağlamı olarak kullanılır. AWS KMS, kimlik doğrulamalı şifrelemeyi desteklemek için şifreleme bağlamını kimliği doğrulanmış ek veri (AAD) olarak kullanır. Bu, bir kiracının başka bir kiracının şifre anahtarlarıyla şifre çözemeyeceği anlamına gelir. bk. Şifreleme bağlamı. Aynı KMS anahtarını birden çok kiracı için kullanıyorsanız, her kiracının Kiracı Kimliğini anahtar politikasına dahil etmelisiniz.

Aşağıdakileri yapın:

Müşterinizin AWS hesabının ve IAM kullanıcılarının ve rollerinin doğru olduğundan ve politikayı içerdiğinden emin olun; bk. Örnek AWS KMS anahtar politikası. Politikanız başka deyimler de içerebilir.
Aşağıdaki gerekli Qlik Cloud kod parçacığını kopyalayın ve anahtar politikanıza ekleyin. Qlik Cloud Government abonelikleri için Qlik Cloud Government kod parçacığını kopyalayın.

Qlik Cloud kod parçacığı


               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

Qlik Cloud Government kod parçacığı

[
    {
        "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:TenantId": [
                    "QLIK_TENANT_ID"
                ]
            }
        }
    },
    {
        "Sid": "Enable KMS Key policy for proxy account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": "kms:DescribeKey",
        "Resource": "*"
    }
]

EncryptionContext dizesinde, QLIK_TENANT_ID değişkenini Qlik Cloud Kiracı Kimliği ile değiştirin.

Kiracı Kimliğinizi bulmak için, Qlik Cloud kiracınızın hub'ından kullanıcı profilinizi, sonra Hakkında'yı seçin. Kiracı Kimliği'nin altından kimlik dizesini seçip kopyalayın. Yönetim Konsolu içinde Ayarlar> Kiracı altında Görünen ad'ı veya Takma konak adını kullanmayın.

Anahtar politikasını kaydedin.

AWS KMS anahtar politikaları hakkında daha fazla bilgi için bk. KMS'deki anahtar politikaları.

Örnek AWS KMS anahtar politikası

Aşağıdaki örnek anahtar politikası Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanılacak temel gereksinimleri içerir.

Müşteri hesabı ve anahtarı yönetebilecek ve kullanabilecek IAM kullanıcıları ve rolleri.
Anahtar kriptografik işlemler için kullanmasına izin verilen Qlik hesapları ve IAM rolleri: Encrypt, Decrypt ve GenerateDataKey.
Anahtarı Uygulama Otomasyonu ile kullanmasına izin verilen Qlik hesapları ve Uygulama Otomasyonu IAM rolleri.
Qlik Cloud kiracı kimlik numaranızı (TenantID) tanımlayan şifreleme bağlamı.

Politika örneğinde seçilen bölüm (B, C ve D) Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar için gerekli olan parametreleri tanımlar.

Örnek anahtar politikası — AWS KMS anahtar politikası örneği

KMS anahtar ARN'si ve takma ad ARN'si

Amazon Resource Name (ARN), KMS anahtarı için benzersiz, tam betimlenmiş bir tanımlayıcıdır. Şifreleme Bağlamı'nı (TenantID), AWS hesabını, Bölgeyi ve anahtar kimliğini içerir. ARN, AWS Anahtar Yönetim Hizmeti içinde bir AWS KMS anahtarı oluşturduğunuzda oluşturulur. Qlik Cloud içinde, Yönetim Konsolu içindeki ana anahtar sağlayıcıyı AWS KMS anahtarınızı kullanacak şekilde değiştirdiğinizde, Qlik şifreleme hizmetini AWS KMS anahtarınıza bağlamak için anahtar ARN'sini veya takma ad ARN'sini sağlamalısınız. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.

ARN şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Aşağıda geçerli bir ARN anahtarının bir örneği verilmiştir:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Takma ad ARN'si şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Aşağıda geçerli bir takma ad ARN'sinin örneği verilmiştir; burada CMK-Example-Alias takma addır:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

KMS anahtarınızın anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini ve anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.

AWS KMS Olağanüstü Durum Kurtarma (DR) için Çok Bölgeli Anahtar

Çok bölgeli anahtarlar, birincil bölgede bir kesinti yaşansa bile şifrelenmiş verilere erişmeye ve onları işlemeye devam etmenize izin verir. Anahtarın yinelemesini oluşturarak yedek bölgesinde verileri şifreleyebilirsiniz ve yedekteki şifrelenen veriler daha sonra geri yüklendiğinde birincil bölgede şifreleri çözülebilir.

AWS KMS içinde çok bölgeli anahtar oluşturmak için şu adımları takip edin:

AWS Yönetim Konsolu'nda Anahtar oluştur üzerine tıklayın.