Ana içeriğe geç Tamamlayıcı içeriğe geç
Qlik Kaynakları

Kiracı şifrelemesini yapılandırma

Kuruluşunuzun AWS Anahtar Yönetimi Hizmeti (KMS) anahtarlarını kullanarak Qlik Cloud içinde kiracı şifrelemesi ayarlayın.

Kiracı yöneticileri kiracı şifreleme ayarlarını yapılandırabilir. Varsayılan olarak yeni bir kiracı, kiracıdaki içeriği şifrelemek için Qlik Dahili KMS bileşenini kullanır. Kuruluşunuz kiracı verilerini şifrelemek için kendi müşteri tarafından yönetilen anahtarını (CMK) kullanmak isterse, kiracı şifrelemesini desteklenen bir anahtar sağlayıcıdan bir CMK kullanmak üzere yapılandırabilirsiniz.

Qlik Cloud, Amazon Web Services (AWS) Anahtar Yönetim Hizmeti uygulamasından (KMS) bir CMK kullanmayı destekler. Müşteriler, AWS KMS anahtar politikası tanımı aracılığıyla aynı anahtarı birden çok kiracı için kullanmayı seçebilir, ancak bu önerilen bir en iyi uygulama değildir. CMK ve AWS KMS entegrasyonu, AWS KMS API'sinin şifreleme bağlamını kullanarak kiracı başına şifrelemeyi korur, ancak şifrelemeyi her kiracı için ayrı olarak yapılandırmalısınız. Kiracıları birden çok son kullanıcılı kuruluşlar için kullanılmak üzere etkinleştiren müşterilerin veya iş ortaklarının son kullanıcı kuruluşu başına ayrı anahtarlar uygulaması gerekir.

Uyarı notuCMK uygulamasına hem yeni hem de mevcut kiracılarla kullanabilirsiniz. Anahtar sağlayıcıyı CMK öğenizi kullanacak şekilde değiştirdikten sonra, kiracıdaki tüm bekleyen veriler bu anahtarlar kullanılarak şifrelenecek ve şifresi çözülecektir.

CMK önkoşulları

Qlik Cloud ile CMK kullanmak için bir AWS hesabınız ve AWS KMS anahtarınız olması gerekir. AWS KMS hesabı kurma ve AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. AWS Anahtar Yönetim Hizmeti (KMS).

AWS öğesindeki kurulumu tamamladıktan sonra, AWS KMS anahtarınızı kullanmak için kiracıdaki anahtar sağlayıcıyı değiştirebilirsiniz.

Kiracıda yeni bir anahtar sağlayıcı oluşturma

Anahtar sağlayıcıyı oluşturmadan önce AWS KMS anahtarınızın ve politikanızın AWS KMS içinde doğru şekilde yapılandırıldığından emin olun. bk. AWS Anahtar Yönetim Hizmeti (KMS). Qlik Cloud şu anahtar sağlayıcıyları destekler:

  • Qlik Dahili KMS (bu, Qlik tarafından yönetilen anahtarları kullanan KMS bileşenidir)

  • AWS KMS

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.

  2. Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.

  3. Yeni kart oluştur seçeneğine tıklayın.

  4. Anahtar sağlayıcı tarafından istenen parametreleri girin.

    • Ana anahtar sağlayıcı: AWS KMS ana anahtar sağlayıcısı mevcut tek seçenektir.
    • KMS anahtarı ARN'si: KMS anahtar ARN'si veya diğer ad ARN'si. Anahtar ARN'si, bir KMS anahtarının Amazon Resource Name (ARN) değeridir. Takma ad ARN'si, AWS KMS takma adının Amazon Resource Name (ARN) değeridir (oluşturulurken AWS KMS anahtarına verilen kolay ad). Daha fazla bilgi için bk. Önemli sağlayıcı etkinlikleri Bir KMS anahtarının anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini veya anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.
    • Başlık: Yeni anahtar sağlayıcıyı tanımlayan bir başlık.
    • Açıklama: İsteğe bağlı

      • Anahtar sağlayıcı kartı oluşturma

      Ana anahtar sağlayıcı oluşturma

  5. Anahtar sağlayıcı yapılandırmasını ekleyip daha sonra kullanmak üzere kaydetmek veya anahtar geçişini şimdi başlatmak isteyip istemediğinizi seçin.

Uyarı notuKiracınız CMK öğesi için yapılandırıldıktan sonra, CMK öğenizi devre dışı bırakır veya silerseniz kiracı verilerinin şifresi bu anahtarlar kullanılarak çözülemez. Devre dışı bırakılan bir anahtar yeniden etkinleştirilirse, verilere yeniden erişim elde edilir. Anahtar silinirse, verilere erişim kalıcı olarak kaybolur. Daha fazla bilgi için bk. AWS KMS içinde anahtar yönetimi.

Kiracıdaki anahtar sağlayıcıyı değiştirme

Anahtar sağlayıcıyı Qlik KMS'den AWS KMS'ye, AWS KMS'den başka bir AWS KMS'ye değiştirebilir veya AWS KMS'den Qlik KMS'ye geri dönebilirsiniz. Anahtar geçişi süreci boyunca kiracı, kullanıcılar üzerinde herhangi bir etki yaratmadan her zamanki gibi çalışmaya devam edecektir.

Uyarı notuHIPAA ile ilgili bir İş Ortağı Anlaşması (BAA) yürürlükteyse ve HIPAA'ya tabi PHI depoluyorsanız AWS KMS'den Qlik KMS'ye geri dönemezsiniz. Şu anda kullanılmakta olan AWS anahtarının değiştirilmesi gerekiyorsa yeni bir AWS anahtarı oluşturmalı ve bu anahtara geçiş yapmalısınız.

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
  2. Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
  3. Geçiş yapmak istediğiniz anahtar sağlayıcısının kartındaki üç noktaya tıklayın.
  4. Geçiş'i seçin.
  5. Anahtar sağlayıcıyı değiştir diyalog penceresinde mevcut anahtarın değiştirilmesini onaylamak için onay kutusunu seçin ve Anahtar sağlayıcıyı değiştir'e tıklayın. Başarılı bir geçişin ardından, geçişi yapılan anahtar sağlayıcısı etkin hale gelecektir.
Bilgi notuAnahtar geçişinin durumu her 15 dakikada bir güncellenir. Geçişler, kiracıdaki notlar, uygulamalar, otomasyonlar, uyarılar, olay günlükleri vb. gibi yapıların sayısına bağlı olarak genellikle 24 saate kadar sürebilir. Geçiş işleminiz 24 saatten uzun sürüyorsa lütfen Qlik Desteği'nde bir bilet oluşturun.
Bilgi notu Şifreleme anahtarı sağlayıcı değişikliğini Yönetim etkinlik merkezindeki Olaylar sayfasında doğrulayabilirsiniz.Geçişle ilgili şifreleme olay türleri hakkında daha fazla bilgi için bk. Önemli sağlayıcı etkinlikleri.

Anahtar sağlayıcıyı doğrulama

AWS anahtar sağlayıcısını dilediğiniz zaman doğrulayabilirsiniz. Doğrulama, tüm sağlık kontrollerini tamamlar ve anahtar sağlayıcı geçişi için gereken tanımlanmış kurallara uyulduğunu doğrular. Doğrulama ayrıca herhangi bir anahtar sağlayıcı geçişi başlamadan önce otomatik olarak gerçekleştirilir.

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
  2. Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
  3. Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
  4. Doğrulama öğesini seçin.

Anahtar sağlayıcıyı silme

Varsayılan Qlik anahtar sağlayıcısı dışında herhangi bir anahtar sağlayıcısı etkin değilse silinebilir.

Aşağıdakileri yapın:

  1. Yönetim etkinlik merkezindeki Ayarlar bölümüne gidin.
  2. Kiracı şifrelemesi bölümünde, Anahtar sağlayıcısını yönetme'ye tıklayın.
  3. Anahtar sağlayıcı kartındaki üç noktaya tıklayın.
  4. Sil'i seçin.

Önemli sağlayıcı etkinlikleri

Şifreleme anahtarı sağlayıcı değişikliklerini Yönetim etkinlik merkezindeki Olaylar sayfasında doğrulayabilirsiniz. Olay günlüğü şu şifreleme olay türlerini yakalar:

  • com.qlik.v1.encryption.keyprovider.created
  • com.qlik.v1.encryption.keyprovider.updated
  • com.qlik.v1.encryption.keyprovider.deleted
  • com.qlik.v1.encryption.keyprovider-migration.triggered
  • com.qlik.v1.encryption.keyprovider-migration.finished
  • com.qlik.v1.encryption.keyprovider-migration.progressed

AWS KMS içindeki olaylar Olay Geçmişi altındaki AWS CloudTrail'a kaydedilir. Olay Adları'nı arayın: Encrypt, GenerateDatakey veya Decrypt.

Qlik şifreleme API'si ve bağlayıcıları

Yönetim etkinlik merkezi üzerinden kiracı şifrelemesini yapılandırmanın yanı sıra Qlik, anahtar sağlayıcı yaşam döngülerini yönetmek için birkaç yöntem daha sunar.

AWS Anahtar Yönetim Hizmeti (KMS)

Qlik Cloud, kiracı verilerinizde şifreleme ve şifre çözme işlemi için AWS KMS bileşeninden müşteri tarafından yönetilen bir anahtarı (CMK) (Amazon bunu bir AWS KMS anahtarı veya bir KMS anahtarı olarak adlandırır) destekler.

AWS bileşenini CMK ile kullanmak üzere ayarlamak için genel adımları aşağıda bulabilirsiniz. Bir AWS KMS hesabı oluşturmalı, AWS KMS anahtarınızı oluşturmalı ve anahtar politikanızı Qlik Cloud CMK ile kullanılmak üzere yapılandırmalısınız. AWS KMS öğesinde kurulumu tamamladıktan sonra, Qlik Cloud kiracınızdaki anahtar sağlayıcıyı bir AWS KMS anahtarı kullanacak şekilde değiştirebilirsiniz. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.

AWS hesabı oluşturma

Amazon Web Services uygulamasına gidin ve bir hesap oluşturun.

Simetrik bir AWS KMS anahtarı oluşturun

AWS içinde AWS KMS Yönetim Konsolu'nu kullanarak veya AWS KMS API'si aracılığıyla CreateKey komutunu kullanarak bir anahtar oluşturun. Çok bölgeli anahtarınızı yapılandırırken birincil anahtarın bölgesine göre yedek bölgeleri olarak hangi bölgelerin seçilebileceğine dair sınırlamalar olduğunu unutmayın.

  • AWS BölgesiQlik Cloud kiracınızın barındırıldığı bölgeyi seçin. Desteklenen Qlik Cloud bölgeleri ve bunların ilişkili AWS yedek bölgesi kodları aşağıda listelenmiştir. Çok bölgeli anahtarlar desteklenir.

    Birincil bölge adı Birincil bölge kodu Yedek bölge adı Yedek bölge kodu
    ABD Doğu (Kuzey Virginia) us-east-1 ABD Doğu (Ohio) us-east-2
    Avrupa (İrlanda) eu-west-1 Avrupa (Paris) eu-west-3
    Avrupa (Londra) eu-west-2 Avrupa (İspanya) eu-south-2
    Avrupa (Frankfurt) eu-central-1 Avrupa (Milano) eu-south-1
    Avrupa (İsveç) eu-north-1 Yok Yok
    Asya-Pasifik (Singapur) ap-southeast-1 Asya Pasifik (Seul) ap-northeast-2
    Asya-Pasifik (Sidney) ap-southeast-2 Asya Pasifik (Melbourne) ap-southeast-4
    Japonya (Tokyo) ap-northeast-1 Japonya (Osaka) ap-northeast-3

    eu-north-1 İsveç bölgesinin kendine özgü veri aktarım politikası nedeniyle bir yedek bölgesi yoktur.

    Uyarı notuQlik Cloud içinde çok bölgeli anahtar kullanımının doğru şekilde desteklenmesini sağlamak için anahtar eşleştirmesini, AWS KMS konsolunda yukarıdaki yedekleme bölgesi grafiğine göre oluşturmanız gerekir.
    Qlik Cloud Yönetimi notuQlik Cloud Government bölgeleri (us-gov-west-1 veya us-gov-east-1), bir CMK kaydetmek için yinelenen anahtar yapılandırması gerektirmez.

  • Anahtar Türü—Simetrik. CMK asimetrik anahtarları desteklemez.

  • Anahtar Kullanımı—Şifreleme ve Şifre Çözme

Anahtar oluşturma sırasındaki diğer ayarlar şunları içerir:

  • Anahtar takma adı girme

  • Anahtarı yönetebilecek Kimlik ve Erişim Yönetimi (IAM) kullanıcılarını ve rollerini tanımlama

  • Anahtar kriptolama işlemlerinde kullanabilecek IAM kullanıcılarını ve rollerini seçme

  • Anahtar politikasını yapılandırma.

AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bk. Anahtar oluşturma.

AWS KMS anahtar politikasını yapılandırma

Anahtar politikası AWS KMS anahtarına erişimi denetler. Her anahtarın kendi politikası vardır. Anahtar politikası AWS KMS anahtarınızı Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanmak için gereken minimum bilgiyi ve izinleri içermelidir. AWS KMS Yönetimi Konsolu'nu kullanarak bir anahtar oluşturduğunuzda, AWS KMS, anahtar oluşturma sırasındaki seçimlerinizi temel alan deyimlerle varsayılan bir anahtar politikası oluşturur. Bu deyimler, anahtarı yönetebilecek ve kriptolama işlemlerinde kullanabilecek hesabınızdaki IAM kullanıcılarını ve rollerini belirler.

Anahtarı Qlik Cloud CMK ile kullanmak için gereken izinleri ve parametreleri eklemek için varsayılan anahtar politikasını düzenlemelisiniz. Bunlar aşağıdakileri içerir:

  • Qlik bileşeninin AWS proxy hesaplarına ve gerekli IAM rollerine, bir veri anahtarı oluşturmak ve AWS KMS anahtarınızı kullanarak verilerde şifreleme ve şifre çözme işlemleri yapmak için izin verme. CMK anahtarlarını Qlik Application Automation ile kullanmak için anahtar politikasına ayrı IAM rolleri eklenmelidir.

  • Qlik Cloud Kiracı Kimliğinizi tanımlama. Kiracı kimliği, şifreleme bağlamı olarak kullanılır. AWS KMS, kimlik doğrulamalı şifrelemeyi desteklemek için şifreleme bağlamını kimliği doğrulanmış ek veri (AAD) olarak kullanır. Bu, bir kiracının başka bir kiracının şifre anahtarlarıyla şifre çözemeyeceği anlamına gelir. bk. Şifreleme bağlamı. Aynı KMS anahtarını birden çok kiracı için kullanıyorsanız, her kiracının Kiracı Kimliğini anahtar politikasına dahil etmelisiniz.

Aşağıdakileri yapın:

  1. Müşterinizin AWS hesabının ve IAM kullanıcılarının ve rollerinin doğru olduğundan ve politikayı içerdiğinden emin olun; bk. Örnek AWS KMS anahtar politikası. Politikanız başka deyimler de içerebilir.

  2. Aşağıdaki gerekli Qlik Cloud kod parçacığını kopyalayın ve anahtar politikanıza ekleyin. Qlik Cloud Government abonelikleri için Qlik Cloud Government kod parçacığını kopyalayın.

    3. Qlik Cloud kod parçacığı

    
               
        {
            "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
            "Effect": "Allow",
            "Principal": {        
                "AWS": [
                    "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                    "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                    "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:TenantId": [
                        "QLIK_TENANT_ID"
                    ]
                }
            }
        }

    Qlik Cloud Government kod parçacığı

    [
    {
        "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:GenerateDataKey"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:TenantId": [
                    "QLIK_TENANT_ID"
                ]
            }
        }
    },
    {
        "Sid": "Enable KMS Key policy for proxy account",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
            ]
        },
        "Action": "kms:DescribeKey",
        "Resource": "*"
    }
]

  3. EncryptionContext dizesinde, QLIK_TENANT_ID değişkenini Qlik Cloud Kiracı Kimliği ile değiştirin.

    4. İpucu notu Kiracı Kimliğinizi bulmak için herhangi bir etkinlik merkezinden kullanıcı profilinizi, sonra Hakkında'yı seçin. Kiracı Kimliği'nin altından kimlik dizesini seçip kopyalayın. Yönetim etkinlik merkezinde Ayarlar > Kiracı altında Görünen ad'ı veya Takma konak adı'nı kullanmayın.
  4. Anahtar politikasını kaydedin.

AWS KMS anahtar politikaları hakkında daha fazla bilgi için bk. KMS'deki anahtar politikaları.

Örnek AWS KMS anahtar politikası

Aşağıdaki örnek anahtar politikası Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanılacak temel gereksinimleri içerir.

  1. Müşteri hesabı ve anahtarı yönetebilecek ve kullanabilecek IAM kullanıcıları ve rolleri.

  2. Anahtar kriptografik işlemler için kullanmasına izin verilen Qlik hesapları ve IAM rolleri: Encrypt, Decrypt ve GenerateDataKey.

  3. Anahtarı Uygulama Otomasyonu ile kullanmasına izin verilen Qlik hesapları ve Uygulama Otomasyonu IAM rolleri.

  4. Qlik Cloud kiracı kimlik numaranızı (TenantID) tanımlayan şifreleme bağlamı.

Politika örneğinde seçilen bölüm (B, C ve D) Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar için gerekli olan parametreleri tanımlar.

AWS KMS anahtar politikası örneği

Örnek anahtar politikası

KMS anahtar ARN'si ve takma ad ARN'si

Amazon Resource Name (ARN), KMS anahtarı için benzersiz, tam betimlenmiş bir tanımlayıcıdır. Şifreleme Bağlamı'nı (TenantID), AWS hesabını, Bölgeyi ve anahtar kimliğini içerir. ARN, AWS Anahtar Yönetim Hizmeti içinde bir AWS KMS anahtarı oluşturduğunuzda oluşturulur. Qlik Cloud içinde, Yönetim etkinlik merkezindeki ana anahtar sağlayıcıyı AWS KMS anahtarınızı kullanacak şekilde değiştirdiğinizde, Qlik şifreleme hizmetini AWS KMS anahtarınıza bağlamak için anahtar ARN'sini veya takma ad ARN'sini sağlamalısınız. bk. Kiracıda yeni bir anahtar sağlayıcı oluşturma.

AWS Anahtar Yönetim Hizmeti içinde A) AWS KMS anahtar ARN'si ve B) Takma ad ARN'si

AWS KMS anahtar ARN'si ve takma ad ARN'si

ARN şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Aşağıda geçerli bir ARN anahtarının bir örneği verilmiştir:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Takma ad ARN'si şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Aşağıda geçerli bir takma ad ARN'sinin örneği verilmiştir; burada CMK-Example-Alias takma addır:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

KMS anahtarınızın anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bk. Anahtar kimliğini ve anahtar ARN'sini bulma ya da Takma adı veya takma ad ARN'sini bulma.

AWS KMS Olağanüstü Durum Kurtarma (DR) için Çok Bölgeli Anahtar

Çok bölgeli anahtarlar, birincil bölgede bir kesinti yaşansa bile şifrelenmiş verilere erişmeye ve onları işlemeye devam etmenize izin verir. Anahtarın yinelemesini oluşturarak yedek bölgesinde verileri şifreleyebilirsiniz ve yedekteki şifrelenen veriler daha sonra geri yüklendiğinde birincil bölgede şifreleri çözülebilir.

AWS KMS içinde çok bölgeli anahtar oluşturmak için şu adımları takip edin:

  1. AWS Yönetim Konsolu'nda Anahtar oluştur üzerine tıklayın.

    2. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.

  2. 1. Adımda anahtar yapılandırmanızı ayarlayacaksınız. Gelişmiş seçenekler kısmında, Anahtar materyali kaynağı için KMS öğesini ve Bölgesellik kısmında Çok bölgeli anahtar öğesini seçin. Devam etmek için İleri'ye tıklayın.

    3. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.

  3. 2. Adımda anahtar için bir Takma isim ekleyeceksiniz. Ad ekledikten sonra açıklama ve etiket eklemeyi seçebilirsiniz. Devam etmek için İleri'ye tıklayın.

    4. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.

  4. 3. Adımda anahtarı yönetebilecek IAM kullanıcılarını ve rollerini seçebilirsiniz. Devam etmek için İleri'ye tıklayın.

    5. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.

  5. 4. Adımda KMS anahtarını kullanabilecek IAM kullanıcı rollerini seçebilirsiniz. Devam etmek için İleri'ye tıklayın.

    6. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.

  6. 5. Adımda yapılandırma ayrıntılarını gözden geçireceksiniz. Bölgeselliğin Çok bölgeli anahtar olarak ayarlandığından emin olun.

    7. CMK anahtarı oluşturma bağlantısı veren düğme ile AWS Yönetim Konsolu.


Anahtar politikası, KMS eylemi DescribeKey dahil olmak üzere Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile çok bölgeli anahtarı kullanmak için tüm gereklilikleri içerir. DescribeKey hakkında daha fazla bilgi için bk. AWS KMS DescribeKey.

{ "Version": "2012-10-17", "Id": "key-consolepolicy-3", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::857519135519:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:TenantId": [ "QLIK_TENANT_ID" ] } } }, { "Sid": "Enable KMS Key policy for proxy account", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::338144066592:role/byok-encryption-proxy-role", "arn:aws:iam::634246602378:role/byok-automations-proxy-role", "arn:aws:iam::634246602378:role/byok-encryption-proxy-role", "arn:aws:iam::338144066592:role/byok-automations-proxy-role" ] }, "Action": "kms:DescribeKey", "Resource": "*" } ] }
Uyarı notuAWS KMS, oluşturulduktan sonra anahtar türünü değiştirmeyi desteklemez, yani tek bölgeli anahtar, çok bölgeli veya tersi yönde değiştirilemez. Mevcut anahtarınız zaten çok bölgeli olarak yapılandırılmışsa politikayı değiştirebilir ve yineleme bölgelerini güncelleyebilirsiniz.

Bu sayfa size yardımcı oldu mu?

Bu sayfa veya içeriği ile ilgili bir sorun; bir yazım hatası, eksik bir adım veya teknik bir hata bulursanız, bize bildirin, düzeltelim!

Geri bildiriminizi buradan iletin