Einrichten des Aktivitätsprotokolls

Das Aktivitätsprotokoll enthält detaillierte Ereignisse zu Ihrer Tableau-Bereitstellung, die Sie für Compliance-, Überwachungs- und Prüfungszwecke verwenden können. Sie müssen die folgenden Schritte ausführen, um das Aktivitätsprotokoll zu verwenden.

Voraussetzungen

Zum Verwenden des Aktivitätsprotokolls müssen Sie über Folgendes verfügen:

  • Tableau Cloud mit Advanced Management

  • AWS-Konto (Amazon Web Services)

    • Sie benötigen Ihr eigenes AWS-Konto, um diese Schritte auszuführen.
    • Sie benötigen außerdem die AWS-Kontonummer von Tableau (061095916136 ) in Schritt 3 unten, um das Aktivitätsprotokoll in Ihrem Amazon Simple Storage Service (S3)-Bucket abzurufen.
  • Amazon S3-Bucket (Simple Storage Service) zum Empfangen von Daten

  • AWS KMS-Schlüssel (Key Management Service) für eine einzelne Region für den Amazon S3-Bucket, den Sie während der Einrichtung erstellen.

Schritt 1: Erstellen eines AWS-Kontos

Wenn Sie noch kein AWS-Konto (Amazon Web Services) besitzen, können Sie sich auf der AWS-Website für AWS registrieren(Link wird in neuem Fenster geöffnet).

Schritt 2: Erstellen eines Amazon S3-Buckets und Einrichten von Berechtigungen

  1. Erstellen Sie einen Amazon S3-Bucket, um Ihre Protokolldaten empfangen zu können. Weitere Informationen finden Sie unter Erstellen eines Buckets(Link wird in neuem Fenster geöffnet) auf der AWS-Website.

  2. Konfigurieren Sie den Amazon S3-Bucket mit den folgenden Einstellungen:

    1. Wählen Sie unter Object Ownership (Objektbesitz) die Option Deaktivierte ACLs (empfohlen) aus. Diese Einstellung stellt sicher, dass der Bucket-Eigentümer der Eigentümer aller Objekte ist, die in ihn geschrieben werden.

    2. Wählen Sie unter Bucket-Versionierung die Option Aktivieren aus. Die Bucket-Versionierung muss aktiviert sein, um Objekte zu replizieren.

    3. Wählen Sie unter Standardverschlüsselung die Einstellung Aktivieren aus.

    4. Wählen Sie AWS Key Management Service (SSE-KMS) aus.

    5. Wählen Sie AWS KMS-Schlüssel-ARN eingeben aus.

    6. Klicken Sie auf die Schaltfläche Schlüssel erstellen, die angezeigt wird, um einen neuen AWS KMS-Schlüssel zu erstellen.

      Hinweis: KMS-Schlüssel für mehrere Regionen werden nicht unterstützt.

    7. Wählen Sie den Typ Symmetrischer Schlüssel und Schlüsselnutzung verschlüsseln und entschlüsseln aus.

    8. Benennen Sie den Schlüssel mit einem Alias und klicken Sie sich dann bis auf die Seite Überprüfen durch.

    9. Fügen Sie die folgende Anweisung zur Anweisungsliste innerhalb der Schlüsselrichtlinie hinzu, um Tableau Zugriff zum Verschlüsseln von Objekten im S3-Bucket zu gewähren.

      Hinweis: Diese Anweisung erlaubt es der Tableau-IAM-Rolle, die im Amazon S3-Bucket abgelegten Objekte zu verschlüsseln. "kms:GenerateDataKey" wird verwendet, um einen Datenschlüssel zum Verschlüsseln von Objektrepliken zu generieren. "kms:Encrypt" wird verwendet, um die im S3-Ziel-Bucket erstellten Objektrepliken zu verschlüsseln. "Resource: "*"" gewährt der Replikationsrolle die Berechtigung nur für den KMS-Schlüssel und erlaubt es der Rolle nicht, ihre Berechtigungen zu erhöhen. Weitere Informationen finden Sie auf der AWS-Website unter Schützen von Daten durch serverseitige Verschlüsselung mit AWS Key Management Service (SSE-KMS)(Link wird in neuem Fenster geöffnet).

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Klicken Sie auf Fertigstellen stellen, um den KMS-Schlüssel zu erstellen.

    11. Klicken Sie auf Bucket erstellen, um den Amazon S3-Bucket zu erstellen.

  3. Aktualisieren Sie Berechtigungen in der Amazon S3-Bucket-Richtlinie.

    1. Öffnen Sie den Amazon S3-Bucket und klicken Sie auf die Registerkarte Berechtigungen.

    2. Suchen Sie den Abschnitt Bucket-Richtlinie und klicken Sie auf Bearbeiten.

    3. Fügen Sie der Anweisungsliste in der Bucket-Richtlinie Folgendes hinzu. Ersetzen Sie S3-BUCKET-NAME durch den Namen des Buckets.

      Hinweis: Diese Anweisung erlaubt es der Tableau-IAM-Rolle, Objekte in den Bucket zu replizieren. Mit "*" und "<Pfad>/*" wird Zugriff auf alle Präfixe im angegebenen Bucket bzw. Pfad im Bucket gewährt. Die Berechtigungen "s3:ReplicateObject" und "s3:ReplicateDelete" sind die erforderlichen Mindestberechtigungen, um Objekte erfolgreich zu replizieren und Markierungen zu löschen. Informationen dazu erhalten Sie auf der AWS-Website unter Erteilen von Berechtigungen, wenn sich Quell- und Ziel-Buckets im Besitz verschiedener AWS-Konten befinden(Link wird in neuem Fenster geöffnet).

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. Optional. Wenn Ihr Ziel-Bucket über eine Richtlinie verfügt, die den Zugriff über einen Amazon Virtual Private Cloud (VPC)-Endpunkt einschränkt, müssen Sie die Bucket-Richtlinie zusätzlich zu dem TableauS3ReplicationRoleAccess ändern, den Sie gerade hinzugefügt haben. Weitere Informationen finden Sie unter Wie kann ich den Zugriff auf meinen Amazon S3-Bucket mithilfe bestimmter VPC-Endpunkte oder IP-Adressen einschränken?(Link wird in neuem Fenster geöffnet) auf der AWS-Website.

      Wenn die aktuelle Bucket-Richtlinie eine VPC-Einschränkung wie diese enthält:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Bearbeiten Sie dann die Liste "Bedingung", um Folgendes aufzunehmen:

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      Hinweis: Sie müssen die Rollen-ID "AROAQ4OMZWJUBZG3DRFW5" für die Tableau-IAM-Rolle verwenden.

      Die bearbeitete Richtlinie sollte folgendermaßen aussehen:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Diese Richtlinie lässt ausdrücklich die Tableau-IAM-Rolle ReplicateObject und ReplicateDelete zu und schließt die Rolle zusätzlich aus der bestehenden expliziten VPC-Deny-Anweisung aus.

    6. Klicken Sie auf Änderungen speichern.

Schritt 3: Konfigurieren von Tableau Cloud

  1. Navigieren Sie zu Ihrer Tableau-Site.

  2. Wählen Sie auf der Seite Einstellungen die Registerkarte Integrationen aus.

  3. Wählen Sie im Abschnitt Aktivitätsprotokoll die Schaltfläche Aktivieren aus.

  4. Geben Sie im Dialogfeld Verbindung einrichten die folgenden Informationen ein:

    1. Geben Sie im Feld AWS-Kontonummer Ihre 12-stellige AWS-Kontonummer ein. Dies ist die AWS-Kontonummer, die Ihrem Amazon S3-Bucket-Standort zugeordnet ist.

    2. Geben Sie im Feld S3-Bucket-Name den Namen des Amazon S3-Buckets ein, in dem die Aktivitätsprotokolldateien bereitgestellt werden sollen. Dies ist der Amazon S3-Bucket, den Sie in Schritt 2: Erstellen eines Amazon S3-Buckets und Einrichten von Berechtigungen. Dies muss ein gültiger Name gemäß den Anforderungen an AWS-Bucket-Namen sein.

    3. Geben Sie im Feld KMS-Schlüssel-ARN den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels ein, den Sie in Schritt 2: Erstellen eines Amazon S3-Buckets und Einrichten von Berechtigungen erstellt haben.Schritt 2: Erstellen eines Amazon S3-Buckets und Einrichten von Berechtigungen. Die Kontonummer im ARN muss mit der bereitgestellten AWS-Kontonummer übereinstimmen und ein gültiges Format haben (d. h. arn:aws:kms:<region>:<account-id>:key/<key-id>).

  5. Klicken Sie auf Absenden.

    In der Spalte "Verbindungsstatus" wird "Wird ausgeführt" angezeigt, während das System versucht, eine Textdatei in den Amazon S3-Ziel-Bucket zu replizieren, um die Verbindung zu testen.

    Nachdem die Datei erfolgreich in den Amazon S3-Ziel-Bucket repliziert wurde, steht in der Spalte "Verbindungsstatus" der Wert "Überprüfung ausstehend" und ein Widget zur Eingabe von "Inhalt der Testdatei" wird angezeigt. Möglicherweise müssen Sie die Seite aktualisieren, damit Aktualisierungen angezeigt werden.

Überprüfen der Replikation der Sicherheitsdatei

  1. Wechseln Sie in den Amazon S3-Ziel-Bucket und suchen Sie den Ordner, der mit siteLuid beginnt (der Rest des Namens ist die eindeutige ID der Site).

  2. Suchen Sie die Textdatei mit dem Namen SECURITY_VERIFICATION_FILE.txt.

  3. Laden Sie die Textdatei herunter und öffnen Sie sie.

  4. Kopieren Sie den in der Datei befindlichen Textinhalt.

  5. Kehren Sie auf die Seite Einstellungen zurück und fügen Sie den Textinhalt in das Eingabefeld Inhalt der Textdatei ein. Klicken Sie dann auf Absenden.

  6. Wenn der übermittelte Inhalt korrekt ist, ändert sich der Verbindungsstatus in Aktiv. Das Aktivitätsprotokoll ist jetzt aktiviert und Daten werden in den Amazon S3-Ziel-Bucket repliziert.

  7. Wenn der übermittelte Inhalt nicht korrekt ist, wird eine Fehlermeldung angezeigt. Überprüfen Sie, ob der Inhalt korrekt kopiert wurde, ohne zusätzliche Zeichen oder Leerzeichen.

Problembehebung

Die Sicherheitsüberprüfungsdatei wird nicht angezeigt?

Andere Einstellungen, die erforderlich sind, damit Protokolldateien den Amazon S3-Bucket erreichen

  • Für den Amazon S3-Bucket ist die Bucket-Versionierung aktiviert (unter Properties > Bucket Versioning).

  • Für den Amazon S3-Bucket ist Allen öffentlichen Zugriff blockieren aktiviert (unter Permissions > Block public access (bucket settings)).

  • Der Amazon S3-Bucket hat die folgenden ACL-Berechtigungen nur für "Bucket-Besitzer" (unter Berechtigungen > Zugriffssteuerungsliste (ACL)):

    • Objekte: Auflisten, Schreiben

    • Bucket-ACL: Lesen, Schreiben

  • Die KMS-Schlüsselberechtigungsrichtlinie enthält die Anweisung in Schritt 2: Erstellen eines Amazon S3-Buckets und Einrichten von Berechtigungen, Schritt 2.i. (Klicken Sie unter Eigenschaften > Standardverschlüsselung auf den ARN unter AWS KMS Key ARN, um zur KMS-Schlüsselrichtlinie zu gelangen).

  • Für den Amazon S3-Bucket ist die Standardverschlüsselung und der Bucket-Schlüssel aktiviert (unter Eigenschaften > Standardverschlüsselung).

  • Die Amazon S3-Bucket-Berechtigungsrichtlinie (unter Berechtigungen > Bucket-Richtlinie) stimmt genau mit der Richtlinie in der Anleitung überein. Stellen Sie sicher, dass Sie den Beispielwert "S3-BUCKET-NAME" durch den soeben erstellten Amazon S3-Bucket ersetzt haben.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.