Kiracı şifrelemesini yapılandırma
Kuruluşunuzun AWS Anahtar Yönetimi Hizmeti (KMS) anahtarlarını kullanarak Qlik Cloud içinde kiracı şifrelemesi ayarlayın.
Kiracı yöneticileri kiracı şifreleme ayarlarını yapılandırabilir.
Qlik Cloud, Amazon Web Services (AWS) Anahtar Yönetim Hizmeti uygulamasından (KMS) bir CMK kullanmayı destekler. Müşteriler, AWS KMS anahtar politikası tanımı aracılığıyla aynı anahtarı birden çok kiracı için kullanmayı seçebilir, ancak bu önerilen bir en iyi uygulama değildir. CMK ve AWS KMS entegrasyonu, AWS KMS API'sinin şifreleme bağlamını kullanarak kiracı başına şifrelemeyi korur, ancak şifrelemeyi her kiracı için ayrı olarak yapılandırmalısınız. Kiracıları birden çok son kullanıcılı kuruluşlar için kullanılmak üzere etkinleştiren müşterilerin veya iş ortaklarının son kullanıcı kuruluşu başına ayrı anahtarlar uygulaması gerekir.
CMK önkoşulları
Qlik Cloud ile CMK kullanmak için bir AWS hesabınız ve AWS KMS anahtarınız olması gerekir. AWS KMS hesabı kurma ve AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. AWS Anahtar Yönetim Hizmeti (KMS).
AWS öğesindeki kurulumu tamamladıktan sonra, AWS KMS anahtarınızı kullanmak için kiracıdaki anahtar sağlayıcıyı değiştirebilirsiniz.
Kiracıda yeni bir anahtar sağlayıcı oluşturma
Anahtar sağlayıcıyı oluşturmadan önce AWS KMS anahtarınızın ve politikanızın AWS KMS içinde doğru şekilde yapılandırıldığından emin olun. bk. AWS Anahtar Yönetim Hizmeti (KMS). Qlik Cloud şu anahtar sağlayıcıyları destekler:
-
Qlik Dahili KMS (bu, Qlik tarafından yönetilen anahtarları kullanan KMS bileşenidir)
-
AWS KMS
Aşağıdakileri yapın:
-
Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
-
Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
-
Yeni kart oluştur seçeneğine tıklayın.
-
Anahtar sağlayıcı tarafından istenen parametreleri girin.
- Ana anahtar sağlayıcı: AWS KMS ana anahtar sağlayıcısı mevcut tek seçenektir.
- KMS anahtarı ARN'si: KMS anahtar ARN'si veya diğer ad ARN'si. Anahtar ARN'si, bir KMS anahtarının Amazon Resource Name (ARN) değeridir. Takma ad ARN'si, AWS KMS takma adının Amazon Resource Name (ARN) değeridir (oluşturulurken AWS KMS anahtarına verilen kolay ad). Daha fazla bilgi için bk. Önemli sağlayıcı etkinlikleri Bir KMS anahtarının anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini veya anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.
- Başlık: Yeni anahtar sağlayıcıyı tanımlayan bir başlık.
- Açıklama: İsteğe bağlı
-
Anahtar sağlayıcı yapılandırmasını ekleyip daha sonra kullanmak üzere kaydetmek veya anahtar geçişini şimdi başlatmak isteyip istemediğinizi seçin.
Kiracıdaki anahtar sağlayıcıyı değiştirme
Anahtar sağlayıcıyı Qlik KMS'den AWS KMS'ye, AWS KMS'den başka bir AWS KMS'ye değiştirebilir veya AWS KMS'den Qlik KMS'ye geri dönebilirsiniz. Anahtar geçişi süreci boyunca kiracı, kullanıcılar üzerinde herhangi bir etki yaratmadan her zamanki gibi çalışmaya devam edecektir.
Aşağıdakileri yapın:
- Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
- Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
- Geçiş yapmak istediğiniz anahtar sağlayıcısının kartındaki üç noktaya tıklayın.
- Geçiş'i seçin.
- Anahtar sağlayıcıyı değiştir diyalog penceresinde mevcut anahtarın değiştirilmesini onaylamak için onay kutusunu seçin ve Anahtar sağlayıcıyı değiştir'e tıklayın. Başarılı bir geçişin ardından, geçişi yapılan anahtar sağlayıcısı etkin hale gelecektir.
Anahtar sağlayıcıyı doğrulama
AWS anahtar sağlayıcısını dilediğiniz zaman doğrulayabilirsiniz. Doğrulama, tüm sağlık kontrollerini tamamlar ve anahtar sağlayıcı geçişi için gereken tanımlanmış kurallara uyulduğunu doğrular. Doğrulama ayrıca herhangi bir anahtar sağlayıcı geçişi başlamadan önce otomatik olarak gerçekleştirilir.
Aşağıdakileri yapın:
- Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
- Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
- Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
- Doğrulama öğesini seçin.
Anahtar sağlayıcıyı silme
Varsayılan Qlik anahtar sağlayıcısı dışında herhangi bir anahtar sağlayıcısı etkin değilse silinebilir.
Aşağıdakileri yapın:
- Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
- Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
- Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
- Sil'i seçin.
Önemli sağlayıcı etkinlikleri
Şifreleme anahtarı sağlayıcı değişikliklerini Yönetim etkinlik merkezindeki Olaylar sayfasında doğrulayabilirsiniz. Olay günlüğü şu şifreleme olay türlerini yakalar:
- com.qlik.v1.encryption.keyprovider.created
- com.qlik.v1.encryption.keyprovider.updated
- com.qlik.v1.encryption.keyprovider.deleted
- com.qlik.v1.encryption.keyprovider-migration.triggered
- com.qlik.v1.encryption.keyprovider-migration.finished
- com.qlik.v1.encryption.keyprovider-migration.progressed
AWS KMS içindeki olaylar Olay Geçmişi altındaki AWS CloudTrail'a kaydedilir. Olay Adları'nı arayın: Encrypt, GenerateDatakey veya Decrypt.
Qlik şifreleme API'si ve bağlayıcıları
Yönetim etkinlik merkezi üzerinden kiracı şifrelemesini yapılandırmanın yanı sıra Qlik, anahtar sağlayıcı yaşam döngülerini yönetmek için birkaç yöntem daha sunar.
- Anahtar sağlayıcıları programlı olarak yönetmek için şifreleme API'si. qlik.dev adresindeki API referans belgelerine bakın.
- AWS'deki anahtar sağlayıcıları yapılandırmanıza olanak tanıyan bir AWS KMS Qlik Application Automation Bağlayıcısı. Bk. Amazon KMS bağlayıcısını kullanmaya başlama.
- Qlik Platform Operasyonları Bağlayıcısı ve QCS Bağlayıcısı, mantıksal bir akıştaki bağlayıcı bloklarını manipüle ederek anahtar sağlayıcıları kolayca yönetmek için kodsuz, Qlik'e özgü bir seçenek olarak sunulur. bk. Qlik Platform Operations bağlayıcısına genel bakış ve Uygulama Otomasyonu bağlayıcıları.
AWS Anahtar Yönetim Hizmeti (KMS)
Qlik Cloud, kiracı verilerinizde şifreleme ve şifre çözme işlemi için AWS KMS bileşeninden müşteri tarafından yönetilen bir anahtarı (CMK) (Amazon bunu bir AWS KMS anahtarı veya bir KMS anahtarı olarak adlandırır) destekler.
AWS bileşenini CMK ile kullanmak üzere ayarlamak için genel adımları aşağıda bulabilirsiniz. Bir AWS KMS hesabı oluşturmalı, AWS KMS anahtarınızı oluşturmalı ve anahtar politikanızı Qlik Cloud CMK ile kullanılmak üzere yapılandırmalısınız. AWS KMS öğesinde kurulumu tamamladıktan sonra, Qlik Cloud kiracınızdaki anahtar sağlayıcıyı bir AWS KMS anahtarı kullanacak şekilde değiştirebilirsiniz. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.
AWS hesabı oluşturma
Amazon Web Services uygulamasına gidin ve bir hesap oluşturun.
Simetrik bir AWS KMS anahtarı oluşturun
AWS içinde AWS KMS Yönetim Konsolu'nu kullanarak veya AWS KMS API'si aracılığıyla CreateKey komutunu kullanarak bir anahtar oluşturun. Çok bölgeli anahtarınızı yapılandırırken birincil anahtarın bölgesine göre yedek bölgeleri olarak hangi bölgelerin seçilebileceğine dair sınırlamalar olduğunu unutmayın.
-
AWS Bölgesi—Qlik Cloud kiracınızın barındırıldığı bölgeyi seçin. Desteklenen Qlik Cloud bölgeleri ve bunların ilişkili AWS yedek bölgesi kodları aşağıda listelenmiştir. Çok bölgeli anahtarlar desteklenir.
Birincil bölge adı Birincil bölge kodu Yedek bölge adı Yedek bölge kodu ABD Doğu (Kuzey Virginia) us-east-1 ABD Doğu (Ohio) us-east-2 Avrupa (İrlanda) eu-west-1 Avrupa (Paris) eu-west-3 Avrupa (Londra) eu-west-2 Avrupa (İspanya) eu-south-2 Avrupa (Frankfurt) eu-central-1 Avrupa (Milano) eu-south-1 Avrupa (İsveç) eu-north-1 Yok Yok Asya-Pasifik (Singapur) ap-southeast-1 Asya Pasifik (Seul) ap-northeast-2 Asya-Pasifik (Sidney) ap-southeast-2 Asya Pasifik (Melbourne) ap-southeast-4 Japonya (Tokyo) ap-northeast-1 Japonya (Osaka) ap-northeast-3 Hindistan (Mumbai) ap-south-1 Hindistan (Haydarabad) ap-south-2 eu-north-1 İsveç bölgesinin kendine özgü veri aktarım politikası nedeniyle bir yedek bölgesi yoktur.
Uyarı notuQlik Cloud içinde çok bölgeli anahtar kullanımının doğru şekilde desteklenmesini sağlamak için anahtar eşleştirmesini, AWS KMS konsolunda yukarıdaki yedekleme bölgesi grafiğine göre oluşturmanız gerekir.Qlik Cloud Yönetimi notuQlik Cloud Government bölgeleri (us-gov-west-1 veya us-gov-east-1), bir CMK kaydetmek için yinelenen anahtar yapılandırması gerektirmez. -
Anahtar Türü—Simetrik. CMK asimetrik anahtarları desteklemez.
-
Anahtar Kullanımı—Şifreleme ve Şifre Çözme
Anahtar oluşturma sırasındaki diğer ayarlar şunları içerir:
-
Anahtar takma adı girme
-
Anahtarı yönetebilecek Kimlik ve Erişim Yönetimi (IAM) kullanıcılarını ve rollerini tanımlama
-
Anahtar kriptolama işlemlerinde kullanabilecek IAM kullanıcılarını ve rollerini seçme
-
Anahtar politikasını yapılandırma.
AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. Anahtar oluşturma.
AWS KMS anahtar politikasını yapılandırma
Anahtar politikası AWS KMS anahtarına erişimi denetler. Her anahtarın kendi politikası vardır. Anahtar politikası AWS KMS anahtarınızı Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanmak için gereken minimum bilgiyi ve izinleri içermelidir. AWS KMS Yönetimi Konsolu'nu kullanarak bir anahtar oluşturduğunuzda, AWS KMS, anahtar oluşturma sırasındaki seçimlerinizi temel alan deyimlerle varsayılan bir anahtar politikası oluşturur. Bu deyimler, anahtarı yönetebilecek ve kriptolama işlemlerinde kullanabilecek hesabınızdaki IAM kullanıcılarını ve rollerini belirler.
Anahtarı Qlik Cloud CMK ile kullanmak için gereken izinleri ve parametreleri eklemek için varsayılan anahtar politikasını düzenlemelisiniz. Bunlar aşağıdakileri içerir:
-
Qlik bileşeninin AWS proxy hesaplarına ve gerekli IAM rollerine, bir veri anahtarı oluşturmak ve AWS KMS anahtarınızı kullanarak verilerde şifreleme ve şifre çözme işlemleri yapmak için izin verme. CMK anahtarlarını Qlik Application Automation ile kullanmak için anahtar politikasına ayrı IAM rolleri eklenmelidir.
-
Qlik Cloud Kiracı Kimliğinizi tanımlama. Kiracı kimliği, şifreleme bağlamı olarak kullanılır. AWS KMS, kimlik doğrulamalı şifrelemeyi desteklemek için şifreleme bağlamını kimliği doğrulanmış ek veri (AAD) olarak kullanır. Bu, bir kiracının başka bir kiracının şifre anahtarlarıyla şifre çözemeyeceği anlamına gelir. bk. Şifreleme bağlamı. Aynı KMS anahtarını birden çok kiracı için kullanıyorsanız, her kiracının Kiracı Kimliğini anahtar politikasına dahil etmelisiniz.
Aşağıdakileri yapın:
- Müşterinizin AWS hesabının ve IAM kullanıcılarının ve rollerinin doğru olduğundan ve politikayı içerdiğinden emin olun; bk. Örnek AWS KMS anahtar politikası. Politikanız başka deyimler de içerebilir.
-
Aşağıdaki gerekli Qlik Cloud kod parçacığını kopyalayın ve anahtar politikanıza ekleyin. Qlik Cloud Government abonelikleri için Qlik Cloud Government kod parçacığını kopyalayın.
-
EncryptionContext dizesinde, QLIK_TENANT_ID değişkenini Qlik Cloud Kiracı Kimliği ile değiştirin.
- Anahtar politikasını kaydedin.
Qlik Cloud kod parçacığı
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
"arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
"arn:aws:iam::338144066592:role/byok-automations-proxy-role",
"arn:aws:iam::634246602378:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
}
Qlik Cloud Government kod parçacığı
[
{
"Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:TenantId": [
"QLIK_TENANT_ID"
]
}
}
},
{
"Sid": "Enable KMS Key policy for proxy account",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
"arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
"arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
]
},
"Action": "kms:DescribeKey",
"Resource": "*"
}
]
AWS KMS anahtar politikaları hakkında daha fazla bilgi için bk. KMS'deki anahtar politikaları.
Örnek AWS KMS anahtar politikası
Aşağıdaki örnek anahtar politikası Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanılacak temel gereksinimleri içerir.
-
Müşteri hesabı ve anahtarı yönetebilecek ve kullanabilecek IAM kullanıcıları ve rolleri.
-
Anahtar kriptografik işlemler için kullanmasına izin verilen Qlik hesapları ve IAM rolleri: Encrypt, Decrypt ve GenerateDataKey.
-
Anahtarı Uygulama Otomasyonu ile kullanmasına izin verilen Qlik hesapları ve Uygulama Otomasyonu IAM rolleri.
-
Qlik Cloud kiracı kimlik numaranızı (TenantID) tanımlayan şifreleme bağlamı.
Politika örneğinde seçilen bölüm (B, C ve D) Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar için gerekli olan parametreleri tanımlar.
KMS anahtar ARN'si ve takma ad ARN'si
Amazon Resource Name (ARN), KMS anahtarı için benzersiz, tam betimlenmiş bir tanımlayıcıdır. Şifreleme Bağlamı'nı (TenantID), AWS hesabını, Bölgeyi ve anahtar kimliğini içerir. ARN, AWS Anahtar Yönetim Hizmeti içinde bir AWS KMS anahtarı oluşturduğunuzda oluşturulur. Qlik Cloud içinde, Yönetim etkinlik merkezindeki ana anahtar sağlayıcıyı AWS KMS anahtarınızı kullanacak şekilde değiştirdiğinizde, Qlik şifreleme hizmetini AWS KMS anahtarınıza bağlamak için anahtar ARN'sini veya takma ad ARN'sini sağlamalısınız. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.
ARN şu formatı kullanır:
arn:<partition>:kms:<region>:<account-id>:key/<key-id>
Aşağıda geçerli bir ARN anahtarının bir örneği verilmiştir:
arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Takma ad ARN'si şu formatı kullanır:
arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>
Aşağıda geçerli bir takma ad ARN'sinin örneği verilmiştir; burada CMK-Example-Alias takma addır:
arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias
KMS anahtarınızın anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini ve anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.
AWS KMS Olağanüstü Durum Kurtarma (DR) için Çok Bölgeli Anahtar
Çok bölgeli anahtarlar, birincil bölgede bir kesinti yaşansa bile şifrelenmiş verilere erişmeye ve onları işlemeye devam etmenize izin verir. Anahtarın yinelemesini oluşturarak yedek bölgesinde verileri şifreleyebilirsiniz ve yedekteki şifrelenen veriler daha sonra geri yüklendiğinde birincil bölgede şifreleri çözülebilir.
AWS KMS içinde çok bölgeli anahtar oluşturmak için şu adımları takip edin:
-
AWS Yönetim Konsolu'nda Anahtar oluştur üzerine tıklayın.
-
1. Adımda anahtar yapılandırmanızı ayarlayacaksınız. Gelişmiş seçenekler kısmında, Anahtar materyali kaynağı için KMS öğesini ve Bölgesellik kısmında Çok bölgeli anahtar öğesini seçin. Devam etmek için İleri'ye tıklayın.
-
2. Adımda anahtar için bir Takma isim ekleyeceksiniz. Ad ekledikten sonra açıklama ve etiket eklemeyi seçebilirsiniz. Devam etmek için İleri'ye tıklayın.
-
3. Adımda anahtarı yönetebilecek IAM kullanıcılarını ve rollerini seçebilirsiniz. Devam etmek için İleri'ye tıklayın.
-
4. Adımda KMS anahtarını kullanabilecek IAM kullanıcı rollerini seçebilirsiniz. Devam etmek için İleri'ye tıklayın.
-
5. Adımda yapılandırma ayrıntılarını gözden geçireceksiniz. Bölgeselliğin Çok bölgeli anahtar olarak ayarlandığından emin olun.
Anahtar politikası, KMS eylemi DescribeKey dahil olmak üzere Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile çok bölgeli anahtarı kullanmak için tüm gereklilikleri içerir. DescribeKey hakkında daha fazla bilgi için bk. AWS KMS DescribeKey.