Ana içeriğe geç Tamamlayıcı içeriğe geç

Kiracı şifrelemesini yapılandırma

Kiracı yöneticileri kiracı şifreleme ayarlarını yapılandırabilir. Varsayılan olarak yeni bir kiracı, kiracıdaki içeriği şifrelemek için Qlik Dahili KMS bileşenini kullanır. Kuruluşunuz kiracı verilerini şifrelemek için kendi müşteri tarafından yönetilen anahtarını (CMK) kullanmak isterse, kiracı şifrelemesini desteklenen bir anahtar sağlayıcıdan bir CMK kullanmak üzere yapılandırabilirsiniz.

Qlik Cloud, Amazon Web Services (AWS) Anahtar Yönetim Hizmeti uygulamasından (KMS) bir CMK kullanmayı destekler. Müşteriler, AWS KMS anahtar politikası tanımı aracılığıyla aynı anahtarı birden çok kiracı için kullanmayı seçebilir, ancak bu önerilen bir en iyi uygulama değildir. CMK ve AWS KMS entegrasyonu, AWS KMS API'sinin şifreleme bağlamını kullanarak kiracı başına şifrelemeyi korur, ancak şifrelemeyi her kiracı için ayrı olarak yapılandırmalısınız. Kiracıları birden çok son kullanıcılı kuruluşlar için kullanılmak üzere etkinleştiren müşterilerin veya iş ortaklarının son kullanıcı kuruluşu başına ayrı anahtarlar uygulaması gerekir.

Uyarı notuBoş olan kiracılarla (yeni veya mevcut kiracılar) yalnızca CMK kullanabilirsiniz. Kiracı şifrelemesi ayarlanırken kiracı herhangi bir veri, uygulama ya da içerik içermemelidir. Ancak IdP bileşeninizi kiracı şifrelemesini yapılandırmadan önce kurabilirsiniz. Şifreleme ayarlarınızı kiracınız oluşturulduktan hemen sonra ve kullanılmadan önce yapılandırmanız özellikle önerilir. CMK bileşeninizde kullanmak üzere anahtar sağlayıcınızı değiştirdikten sonra kiracıdaki tüm beklemedeki verilerin şifrelemesi ve şifre çözmesi bu anahtarlar kullanılarak yapılır. Şifreleme için Qlik Dahili KMS anahtarları kullanmaya geri dönemezsiniz.

CMK önkoşulları

Qlik Cloud ile CMK kullanmak için bir AWS hesabınız ve AWS KMS anahtarınız olması gerekir. AWS KMS hesabı kurma ve AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bkz. AWS Anahtar Yönetim Hizmeti (KMS).

AWS içinde kurulumu tamamladıktan sonra kiracıdaki anahtar sağlayıcıyı AWS KMS anahtarınızı kullanacak şekilde değiştirebilirsiniz.

Kiracıdaki anahtar sağlayıcıyı değiştirme

Anahtar sağlayıcıyı değiştirmeden önce AWS KMS anahtarınızın ve politikanızın AWS KMS içinde doğru şekilde yapılandırıldığından emin olun. Bkz. AWS Anahtar Yönetim Hizmeti (KMS). Qlik Cloud şu anahtar sağlayıcıyları destekler:

  • Qlik Dahili KMS (bu, Qlik tarafından yönetilen anahtarları kullanan KMS bileşenidir)

  • AWS KMS

Uyarı notuIdP ayarları dışında herhangi bir veri, uygulama veya içerik içermeyen boş, kullanılmayan bir kiracı kullandığınızda emin olun.
  1. Yönetim Konsolu'da, Yapılandırma > Ayarlar > Kiracı şifrelemesi altından Anahtar sağlayıcıyı değiştir'i seçin.

  2. Listeden ana anahtar sağlayıcıyı seçin; örneğin AWS KMS.

    Ana anahtar sağlayıcı seç

  3. Anahtar sağlayıcı için gereken parametreleri girip sonra Uygula'ya tıklayın. Örneğin AWS KMS için KMS anahtar ARN'sini veya takma ad ARN'sini girmelisiniz. Anahtar ARN'si, bir KMS anahtarının Amazon Resource Name (ARN) değeridir. Takma ad ARN'si, AWS KMS takma adının Amazon Resource Name (ARN) değeridir (oluşturulurken AWS KMS anahtarına verilen kolay ad). Daha fazla bilgi için bkz. KMS anahtar ARN'si ve takma ad ARN'si.

    KMS anahtarı ARN'sini yapılandır

     

    İpucu notuBir KMS anahtarının anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için bkz. Anahtar kimliğini veya anahtar ARN'sini bulma veya Takma adı veya takma ad ARN'sini bulma.
  4. Anahtar sağlayıcıyı değiştirmek istediğinizi doğrulayın ve Değiştir'e tıklayın.


    Yeni bir anahtar sağlayıcıya geçmeyi onaylayın

  5. İşlemi tamamlamak için Bitti'ye tıklayın.

Uyarı notuKiracınız CMK için yapılandırıldıktan sonra CMK bileşeninizi devre dışı bırakır veya silerseniz kiracı verilerinin şifresi bu anahtarlar kullanılarak çözülemez. Devre dışı bırakılan bir anahtar yeniden etkinleştirilirse, verilere yeniden erişim elde edilir. Anahtar silinirse, verilere erişim kalıcı olarak kaybolur. Daha fazla bilgi için bkz. AWS KMS içinde anahtar yönetimi.
Bilgi notu
  • Şifreleme anahtarı sağlayıcı değişikliğini Yönetim Konsolu içindeki Olaylar sayfasında doğrulayabilirsiniz. Olay günlüğü şu şifreleme olay türünü yakalar: com.qlik.v1.encryption.keyprovider.created.
  • AWS KMS içindeki olaylar Olay Geçmişi altındaki AWS CloudTrail'a kaydedilir. Olay Adları'nı arayın: GenerateDatakey veya Decrypt.

AWS Anahtar Yönetim Hizmeti (KMS)

Qlik Cloud, kiracı verilerinizde şifreleme ve şifre çözme işlemi için AWS KMS bileşeninden müşteri tarafından yönetilen bir anahtarı (CMK) (Amazon bunu bir AWS KMS anahtarı veya bir KMS anahtarı olarak adlandırır) destekler.

AWS bileşenini CMK ile kullanmak üzere ayarlamak için genel adımları aşağıda bulabilirsiniz. Bir AWS KMS hesabı oluşturmalı, AWS KMS anahtarınızı oluşturmalı ve anahtar politikanızı Qlik Cloud CMK ile kullanılmak üzere yapılandırmalısınız. AWS KMS içinde kurulumu tamamladığınızda, Qlik Cloud kiracınızdaki anahtar sağlayıcınızı bir AWS KMS anahtarını kullanacak şekilde değiştirebilirsiniz. Bkz. Kiracıdaki anahtar sağlayıcıyı değiştirme.

AWS hesabı oluşturma

Amazon Web Services uygulamasına gidin ve bir hesap oluşturun.

Bilgi notuAWS KMS hesabınız Qlik Cloud kiracınız ile aynı bölgede olmalıdır.

Simetrik bir AWS KMS anahtarı oluşturun

AWS içinde AWS KMS Yönetim Konsolu'nu kullanarak veya AWS KMS API'si aracılığıyla CreateKey komutunu kullanarak bir anahtar oluşturun. Anahtarınızı oluştururken bu ayarları aşağıdaki gibi yapılandırın:

  • AWS BölgesiQlik Cloud kiracınızın barındırıldığı bölgeyi seçin. Desteklenen Qlik Cloud bölgeleri ve bunların ilişkili AWS bölge adları aşağıda listelenmiştir. Şu anda yalnızca tek bölgeli anahtarlar desteklenmektedir.

    • Kuzey ve Güney Amerika (ABD)us-east-1

    • Avrupa (İrlanda)eu-west-1

    • Asya Pasifik 1 (Singapur)ap-southeast-1

    • Asya Pasifik 2 (Avustralya)ap-southeast-2

    • GovCloud (USA)-us-gov-west-1

    • Qlik Sense Enterprise SaaS Government notuGovCloud bölgesi FIPS ile uyumludur. Bu nedenle AWS GovCloud'da, Müşteri Tarafından Yönetilen Anahtarlar'ı kullanmak da varsayılan FIPS ile uyumludur.
  • Anahtar Türü—Simetrik. CMK asimetrik anahtarları desteklemez.

  • Anahtar Kullanımı—Şifreleme ve Şifre Çözme

Anahtar oluşturma sırasındaki diğer ayarlar şunları içerir:

  • Anahtar takma adı girme

  • Anahtarı yönetebilecek IAM kullanıcılarını ve rollerini tanımlama

  • Anahtar kriptolama işlemlerinde kullanabilecek IAM kullanıcılarını ve rollerini seçme

  • Anahtar politikasını yapılandırma.

AWS KMS anahtarı oluşturma hakkında daha fazla bilgi için bkz. Anahtar oluşturma.

AWS KMS anahtar politikasını yapılandırma

Anahtar politikası AWS KMS anahtarına erişimi denetler. Her anahtarın kendi politikası vardır. Anahtar politikası AWS KMS anahtarınızı Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanmak için gereken minimum bilgiyi ve izinleri içermelidir. AWS KMS Yönetimi Konsolu'nu kullanarak bir anahtar oluşturduğunuzda, AWS KMS, anahtar oluşturma sırasındaki seçimlerinizi temel alan deyimlerle varsayılan bir anahtar politikası oluşturur. Bu deyimler, anahtarı yönetebilecek ve kriptolama işlemlerinde kullanabilecek hesabınızdaki IAM kullanıcılarını ve rollerini belirler.

Anahtarı Qlik Cloud CMK ile kullanmak için gereken izinleri ve parametreleri eklemek için varsayılan anahtar politikasını düzenlemelisiniz. Bunlar aşağıdakileri içerir:

  • Qlik bileşeninin AWS proxy hesaplarına ve gerekli IAM rollerine, bir veri anahtarı oluşturmak ve AWS KMS anahtarınızı kullanarak verilerde şifreleme ve şifre çözme işlemleri yapmak için izin verme. CMK anahtarlarını Qlik Application Automation ile kullanmak için anahtar politikasına ayrı IAM rolleri eklenmelidir.

  • Qlik Cloud Kiracı Kimliğinizi tanımlama. Kiracı kimliği, şifreleme bağlamı olarak kullanılır. AWS KMS, kimlik doğrulamalı şifrelemeyi desteklemek için şifreleme bağlamını kimliği doğrulanmış ek veri (AAD) olarak kullanır. Bu, bir kiracının başka bir kiracının şifre anahtarlarıyla şifre çözemeyeceği anlamına gelir. Bkz. Şifreleme bağlamı. Aynı KMS anahtarını birden çok kiracı için kullanıyorsanız, her kiracının Kiracı Kimliğini anahtar politikasına dahil etmelisiniz.

  1. Müşterinizin AWS hesabının ve IAM kullanıcılarının ve rollerinin doğru olduğundan ve politikayı içerdiğinden emin olun; bkz. Örnek AWS KMS anahtar politikası. Politikanız başka deyimler de içerebilir.
  2. Aşağıdaki gerekli Qlik Cloud kod parçacığını kopyalayın ve anahtar politikanıza ekleyin. Qlik Cloud Government abonelikleri için Qlik Cloud Government kod parçacığını kopyalayın.

  3. 
                   
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws:iam::338144066592:role/byok-encryption-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-encryption-proxy-role",
                        "arn:aws:iam::338144066592:role/byok-automations-proxy-role",
                        "arn:aws:iam::634246602378:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    
                    
            {
                "Sid": "Enable Qlik's proxy roles to use the Customer's AWS KMS key to encrypt and decrypt data for the Qlik cloud tenant",
                "Effect": "Allow",
                "Principal": {        
                    "AWS": [
                        "arn:aws-us-gov:iam::014729015091:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-encryption-proxy-role",
                        "arn:aws-us-gov:iam::014729015091:role/byok-automations-proxy-role",
                        "arn:aws-us-gov:iam::014734359703:role/byok-automations-proxy-role"
                    ]
                },
                "Action": [
                    "kms:Encrypt",
                    "kms:Decrypt",
                    "kms:GenerateDataKey"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "kms:EncryptionContext:TenantId": [
                            "QLIK_TENANT_ID"
                        ]
                    }
                }
            }
    Qlik Sense Enterprise SaaS Government notuQlik Cloud Government, Qlik Application Automation kullanımını desteklemez. Ancak Qlik Cloud Government anahtar politikası kod parçacığı, gelecekte potansiyel olarak Uygulama Otomasyonu desteği sunmak üzere proxy hesaplarını ve IAM rollerini etkinleştirmek için ARN içerir.
  4. EncryptionContext dizesinde, QLIK_TENANT_ID değişkenini Qlik Cloud Kiracı Kimliği ile değiştirin.

  5. İpucu notuKiracı Kimliğinizi bulmak için, Qlik Cloud kiracınızın hub'ından kullanıcı profilinizi, sonra Hakkında'yı seçin. Kiracı Kimliği'nin altından kimlik dizesini seçip kopyalayın. Yönetim Konsolu içinde Ayarlar> Kiracı altında Görünen ad'ı veya Takma konak adını kullanmayın.
  6. Anahtar politikasını kaydedin.

AWS KMS anahtar politikaları hakkında daha fazla bilgi için bkz. KMS'deki anahtar politikaları.

Örnek AWS KMS anahtar politikası

Aşağıdaki örnek anahtar politikası Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar ile kullanılacak temel gereksinimleri içerir.

  1. Müşteri hesabı ve anahtarı yönetebilecek ve kullanabilecek IAM kullanıcıları ve rolleri.

  2. Anahtar kriptografik işlemler için kullanmasına izin verilen Qlik hesapları ve IAM rolleri: Encrypt, Decrypt ve GenerateDataKey.

  3. Anahtarı Uygulama Otomasyonu ile kullanmasına izin verilen Qlik hesapları ve Uygulama Otomasyonu IAM rolleri.

  4. Qlik Cloud kiracı kimlik numaranızı (TenantID) tanımlayan şifreleme bağlamı.

Politika örneğinde seçilen bölüm (B, C ve D) Qlik Cloud Müşteri Tarafından Yönetilen Anahtarlar için gerekli olan parametreleri tanımlar.

AWS KMS anahtar politikası örneği

Örnek anahtar politikası

KMS anahtar ARN'si ve takma ad ARN'si

Amazon Resource Name (ARN), KMS anahtarı için benzersiz, tam betimlenmiş bir tanımlayıcıdır. Şifreleme Bağlamı'nı (TenantID), AWS hesabını, Bölgeyi ve anahtar kimliğini içerir. ARN, AWS Anahtar Yönetim Hizmeti içinde bir AWS KMS anahtarı oluşturduğunuzda oluşturulur. Qlik Cloud içinde, Yönetim Konsolu içindeki ana anahtar sağlayıcıyı AWS KMS anahtarınızı kullanacak şekilde değiştirdiğinizde, Qlik şifreleme hizmetini AWS KMS anahtarınıza bağlamak için anahtar ARN'sini veya takma ad ARN'sini sağlamalısınız. Bkz. Kiracıdaki anahtar sağlayıcıyı değiştirme.

AWS Anahtar Yönetim Hizmeti içinde A) AWS KMS anahtar ARN'si ve B) Takma ad ARN'si

AWS KMS anahtar ARN'si ve takma ad ARN'si

ARN şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:key/<key-id>

Aşağıda geçerli bir ARN anahtarının bir örneği verilmiştir:

arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

Takma ad ARN'si şu formatı kullanır:

arn:<partition>:kms:<region>:<account-id>:alias/<alias-name>

Aşağıda geçerli bir takma ad ARN'sinin örneği verilmiştir; burada CMK-Example-Alias takma addır:

arn:aws:kms:us-east-1:111122223333:alias/CMK-Example-Alias

KMS anahtarınızın anahtar ARN'sini veya takma ad ARN'sini bulma hakkında daha fazla bilgi için key bkz. Anahtar kimliğini ve anahtar ARN'sini bulma veya Takma adı veya takma ad ARN'sini bulma.

Bu sayfa size yardımcı oldu mu?

Bu sayfa veya içeriği ile ilgili bir sorun; bir yazım hatası, eksik bir adım veya teknik bir hata bulursanız, bize bildirin, düzeltelim!