Verwenden eines externen KMS für Extraktverschlüsselungsschlüssel

Anwendungsbereich: Tableau Cloud

Viele Unternehmen benötigen eine direkte Kontrolle über die Verschlüsselungsschlüssel, die ihre geschäftskritischen Daten schützen. Mithilfe eines externen Schlüsselverwaltungsdiensts (key management service, KMS) wird dieses Problem gelöst, indem Kunden die Kontrolle über ihre Verschlüsselungsschlüssel bei einem vertrauenswürdigen externen Schlüsselverwaltungsanbieter behalten können. Durch die direkte Kontrolle über Verschlüsselungsschlüssel verbessert die Verwendung eines externen KMS die Sicherheitslage für Unternehmen erheblich, insbesondere für diejenigen, die sich Sorgen über einen unbefugten Zugriff auf diese kritischen Schlüssel machen.

Darüber hinaus ist für viele Unternehmen die Möglichkeit, ihre Verschlüsselungsschlüssel extern zu kontrollieren, entscheidend, um verschiedene regulatorische und Compliance-Anforderungen zu erfüllen. Und die direkte Kontrolle über Verschlüsselungsschlüssel hilft Unternehmen bei der Aufrechterhaltung der Datenhoheit, was für rechtliche und geografische Überlegungen zur Datenspeicherung und zum Datenzugriff wichtig ist.

Seit Oktober 2025 bietet Tableau Cloud externe Schlüsselverwaltung ausschließlich über das KMS Amazon Web Services (AWS) an.

Hinweis: Das Feature „Externes KMS“ ist nur in Tableau Cloud mit Tableau+, Tableau Enterprise oder Advanced Management verfügbar.

Die Schlüsselhierarchie

Der Verschlüsselungsprozess bei Verwendung eines externen KMS folgt einer eindeutigen Schlüsselhierarchie, um die Datensicherheit zu gewährleisten und es Kunden zu ermöglichen, die direkte Kontrolle über ihre Verschlüsselungsschlüssel zu behalten.

Die Schlüsselhierarchie bei Verwendung eines externen KMS sieht folgendermaßen aus:

  • Primärer Kundenschlüssel (Customer Master Key, CMK): Der CMK ist der Wurzelschlüssel in der Hierarchie, der vom Kunden innerhalb des AWS-KMS erstellt und gesteuert wird. Die Liste der Schlüssel in Tableau ist eine Liste der CMKs im AWS-KMS.
  • Schlüsselverschlüsselnder Schlüssel (Key-Encrypting Key, KEK): KEKs stammen vom CMK ab und werden verwendet, um die datenverschlüsselnden Schlüssel (DEKs) zu verschlüsseln.
  • Datenverschlüsselnder Schlüssel (Data-Encrypting Key, DEK): DEKs stammen von den KEKs ab und sind Schlüssel auf der untersten Ebene in der Hierarchie. Die DEKs sind die Schlüssel, die direkt zum Ver- und Entschlüsseln von Extrakten verwendet werden.

Schlüsselzustände in Tableau Cloud

Bei Verwendung eines externen KMS haben die Schlüssel in Tableau die folgenden Zustände und Funktionen:

  • Ausstehend – Sie haben den Schlüssel generiert, verwenden ihn aber noch nicht. Er kann erst zum Schreiben oder Lesen von Extrakten verwendet werden, nachdem Sie ihn aktiviert haben.
  • Aktiv – Der Schlüssel wird zum Schreiben von Extrakten und zum Lesen der von ihm geschriebenen Extrakte verwendet.
  • Archiviert – Der Schlüssel war in der Vergangenheit aktiv, wurde aber durch einen neueren Schlüssel ersetzt. Er wird nicht zum Schreiben von Extrakten verwendet, sondern zum Lesen von Extrakten, die er geschrieben hat.
  • Deaktiviert – Der Schlüssel war in der Vergangenheit aktiv und wurde dann archiviert. Er wird nicht zum Lesen oder Schreiben von Extrakten verwendet.

Kurzübersicht zu Status und Funktion

SchlüsselstatusKann Extrakte schreiben/verschlüsselnKann Extrakte lesen/entschlüsseln
Ausstehend  
Aktiv
Archiviert 
Deaktiviert  

Setup-Übersicht

Die zusammengefassten Schritte zur Verwendung von AWS KMS mit Tableau lauten:

  • AWS KMS: Erstellen Sie den primären Kundenschlüssel (Customer Master Key, CMK).
  • Tableau Cloud: Aktivieren Sie die Extraktverschlüsselung (oder migrieren Sie von kundenverwalteten Verschlüsselungsschlüsseln, die Salesforce KMS verwenden).
  • Tableau Cloud: Generieren Sie einen Schlüssel in Tableau, indem Sie den ARN des primären Kundenschlüssels aus AWS KMS verwenden.
  • AWS KMS: Fügen Sie die JSON der Tableau-Schlüsselrichtlinie zur Richtlinie des primären AWS-Kundenschlüssels hinzu.
  • Tableau Cloud: Aktivieren Sie den Schlüssel.

Details zur Einrichtung

Erstellen eines primären Schlüssels im AWS KMS

Die von Tableau verwendeten Key Encrypting Keys (KEKs) und Data Encrypting Keys (DEKs) basieren auf Customer Master Keys (CMKs), die Sie im AWS KMS(Link wird in neuem Fenster geöffnet) erstellen. Daher benötigen Sie einen CMK im AWS KMS, bevor Tableau KEKs und DEKs generieren kann. Wenn Sie Hilfe beim Erstellen eines Schlüssels in AWS KMS benötigen, wenden Sie sich an Ihren lokalen Schlüsselexperten.

Das Dialogfeld „Schlüsselgenerierung von Tableau“ enthält einen Link zu AWS KMS(Link wird in neuem Fenster geöffnet). Sie können den AWS-Hauptschlüssel an diesem Punkt im Prozess erstellen oder Sie können ihn erstellen, bevor Sie den Schlüsselgenerierungsprozess in Tableau starten.

AWS-Schlüssel werden durch einen Amazon-Ressourcennamen (ARN) eindeutig identifiziert. Sie werden während des Generierungsprozesses des Tableau-Schlüssels aufgefordert, den CMK-ARN anzugeben. Schlüssel-ARNs sind wie folgt formatiert:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Aktivieren der Extraktverschlüsselung mit einem externen KMS

Hinweis: Wenn Sie die Verschlüsselung einmal aktiviert haben, können Sie sie nicht einfach deaktivieren. Ebenso ist der Wechsel von kundenverwalteten Verschlüsselungsschlüsseln (unter Verwendung des Salesforce-KMS) zu einem externen KMS dauerhaft und kann ohne die Hilfe Ihres Account Managers nicht rückgängig gemacht werden.

So aktivieren Sie einen externen KMS:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung die Option Extrakte verschlüsseln aus.
  5. Wählen Sie Externen KMS verwenden aus.
  6. Wählen Sie Schlüssel generieren aus.
    • Wenn Sie von einem Salesforce-KMS zu einem externen KMS migrieren, lesen Sie die Warnung und wählen Sie dann Zu externem KMS wechseln aus.

Generieren eines Schlüssels

Sie müssen einen Schlüssel generieren und ihn dann aktivieren, um verschlüsselte Extrakte schreiben zu können. Wenn Sie bereits über einen aktiven Schlüssel verfügen, generieren Sie als ersten Schritt einen weiteren Schlüssel, um den derzeit aktiven Schlüssel zu ersetzen.

So generieren Sie einen Schlüssel in Tableau:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung die Option Schlüssel generieren aus.
  5. Wenn Sie den ersten Schlüssel für eine Site generieren, wird das Dialogfeld Konfigurieren des AWS KMS angezeigt. Wenn Sie bereits über einen aktiven Schlüssel verfügen, durchlaufen Sie zuerst das Dialogfeld zur Bestätigung des Schlüssels generieren.
  6. Wählen Sie AWS KMS starten aus. Sie werden zur AWS-Anmeldung aufgefordert, sofern Sie noch nicht angemeldet sind.
  7. Erstellen Sie im AWS KMS einen neuen Schlüssel oder suchen Sie einen vorhandenen, und kopieren Sie dann den Schlüssel-ARN.
  8. Kehren Sie zum Tableau-Dialogfeld Konfigurieren des AWS KMS zurück und fügen Sie den Schlüssel-ARN in das Feld Schlüssel-ARN von AWS ein.
  9. Geben Sie optional eine Beschreibung ein.
  10. Wählen Sie Weiter aus (oder Verschlüsselung aktivieren, falls dies der erste Schlüssel für die Site ist).
  11. Wählen Sie Fertig aus, um die Schlüsselrichtlinien-JSON später zum AWS KMS hinzuzufügen, oder folgen Sie den Anweisungen unter Verwenden eines externen KMS für Extraktverschlüsselungsschlüssel, um dies jetzt zu tun.

Der Schlüssel kann erst zum Lesen oder Schreiben von Extrakten verwendet werden, wenn Sie die Schlüsselrichtlinien-JSON zur AWS KMS-Richtlinie hinzufügen und sie dann aktivieren.

Hinzufügen der Schlüsselrichtlinien-JSON zur KMS-Schlüsselrichtlinie

Ein neu generierter Schlüssel hat den Status Ausstehendund kann erst zum Schreiben oder Lesen von Extrakten verwendet werden, wenn Sie die Schlüsselrichtlinien-JSON zur AWS KMS-Richtlinie hinzufügen und sie dann aktivieren.

Um die Schlüsselrichtlinien-JSON anzuzeigen, fahren Sie mit dem Prozess zum Generieren eines Schlüssels fort.

Oder, wenn Sie diesen Prozess nicht fortsetzen:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden ausstehenden Schlüssel aus.
  5. Wählen Sie Schlüsselrichtlinie aus.

Um die Schlüsselrichtlinien-JSON zur AWS KMS-Richtlinie hinzuzufügen, müssen Sie das entsprechende Statement-Objekt aus Tableau in die Richtlinien-JSON im AWS KMS kopieren. Sie benötigen nur einen Teil des kompletten JSON-Textes. Es kann einfacher sein, die Option Schlüsselrichtlinie kopieren auszuwählen, sie in einen Texteditor einzufügen und die JSON dort zu bearbeiten, als im Dialogfeld zu arbeiten.

Kopieren Sie im JSON-Text das Objekt im Statement-Array. Fügen Sie dann in der Richtlinie des AWS KMS-Schlüssels den kopierten Text gemäß der standardmäßigen JSON-Syntax zum Anweisungsarray hinzu. (Sie müssen wahrscheinlich ein Komma am Ende der vorhandenen AWS KMS-Anweisung hinzufügen, bevor Sie die neue JSON hinzufügen.)

Beispiel:

Der hervorgehobene Teil ist der Abschnitt, der der AWS KMS-Richtlinie hinzugefügt werden muss:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Aktivieren eines Schlüssels

Aktivieren Sie eine Taste, um sie zum Lesen und Schreiben neuer Extrakte zu verwenden. Die Aktion Schlüssel aktivieren ist nur für einen ausstehenden Schlüssel verfügbar.

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden ausstehenden Schlüssel aus.
  5. Wählen Sie Schlüssel Aktivieren... aus.

Wenn Sie bereits über einen aktiven Schlüssel verfügen, wird durch die Aktivierung eines neuen Schlüssels der Status des vorhandenen Schlüssels in Archiviert geändert. Ein archivierter Schlüssel wird nur zum Lesen der Extrakte verwendet, die er geschrieben hat. Der neue Schlüssel wird aktiv und wird verwendet, um neue Extrakte zu schreiben und geschriebene Extrakte zu lesen.

Hinweis: Nachdem Sie die Verschlüsselung aktiviert und den ersten Schlüssel auf einer Site aktiviert haben, erstellt Tableau Cloud für jeden Extrakt auf Ihrer Site einen Hintergrundauftrag zur Extraktverschlüsselung. Diese Aufträge sind auf die niedrigste Priorität festgelegt, was bedeutet, dass sie erst ausgeführt werden, wenn zusätzliche Ressourcen vorhanden sind. Vorhandene Extraktaktualisierungsaufträge werden ausgeführt, bevor die Extrakte verschlüsselt werden.

Weitere Aktionen

Archivieren eines Schlüssels

Archivierte Schlüssel können die von ihnen geschriebenen Extrakte lesen, werden jedoch nicht zum Schreiben neuer Extrakte verwendet. Die einzige Möglichkeit, einen Schlüssel zu archivieren, besteht darin, einen neuen Schlüssel zu aktivieren. Siehe Aktivieren eines Schlüssels.

Deaktivieren eines Schlüssels

Deaktivieren Sie einen archivierten Schlüssel, um ihn für das Lesen oder Schreiben von Extrakten unbrauchbar zu machen. Dies kann hilfreich sein, wenn der Schlüssel kompromittiert wurde. Die Aktion Schlüssel deaktivieren ist nur für einen archivierten Schlüssel verfügbar.

Wenn Sie einen Schlüssel deaktivieren, kann dieser nicht zum Lesen von Extrakten verwendet werden, die er geschrieben hat (im Gegensatz zu einem archivierten Schlüssel, der geschriebene Extrakte lesen kann). Das bedeutet, dass einige extraktbasierte Inhalte möglicherweise nicht mehr funktionieren, wenn sie nicht mit einem aktiven Schlüssel verschlüsselt wurden. Wenn Sie den Zugriff auf extraktbasierte Inhalte beibehalten müssen, die den alten Schlüssel verwenden, stellen Sie sicher, dass die Extrakte mit einem aktiven Schlüssel aktualisiert werden, bevor Sie den alten Schlüssel deaktivieren.

Hinweis: Sie können bei Bedarf einen deaktivierten Schlüssel wiederherstellen. Wenn Sie einen Schlüssel wiederherstellen, wird dieser von Deaktiviert in Archiviert geändert. Siehe Wiederherstellen eines Schlüssels.

So deaktivieren Sie einen Schlüssel:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden archivierten Schlüssel aus.
  5. Wählen Sie Schlüssel deaktivieren... aus.
  6. Geben Sie „Diesen Schlüssel deaktivieren“ in das Textfeld ein, um Ihre Aktion zu bestätigen.
  7. Wählen Sie Schlüssel deaktivieren aus.

Wiederherstellen eines Schlüssels

Stellen Sie einen deaktivierten Schlüssel wieder her, um ihn zum Lesen von geschriebenen Extrakten nutzbar zu machen. Die Aktion Schlüssel wiederherstellen ist nur für einen deaktivierten Schlüssel verfügbar und ändert diesen in Archiviert.

Wenn Sie einen Schlüssel im archivierten Zustand wiederherstellen, wird er nicht zum Schreiben von Extrakten verwendet. Er wird nur zum Lesen von Extrakten verwendet, die er geschrieben hat.

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden deaktivierten Schlüssel aus.
  5. Wählen Sie Schlüssel wiederherstellen... aus.
  6. Wählen Sie Schlüssel wiederherstellen aus.

Löschen eines Schlüssels

Schlüssel können in Tableau Cloud nicht gelöscht werden. Ein Schlüssel kann nur archiviert (sodass die Fähigkeit erhalten bleibt, die von ihm geschriebenen Inhalte zu lesen) oder deaktiviert werden (sodass er weder lesen noch schreiben kann). Siehe Schlüsselzustände in Tableau Cloud.

Hinweis: Wenn Sie den CMK (Customer Master Key, primärer Kundenschlüssel) in AWS KMS deaktivieren, funktionieren die von ihm abgeleiteten Tableau-Schlüssel nicht mehr für die Verschlüsselung oder Entschlüsselung. Wenn Sie die von Tableau generierte Klausel aus der CMK-Richtlinie im AWS KMS entfernen, funktionieren die von ihr abstammenden Tableau-Schlüssel nicht mehr.

Ansehen der Schlüsselrichtlinie

Im Dialogfeld „Schlüsselrichtlinie“ wird die Schlüsselrichtlinien-JSON zum Hinzufügen zur Richtlinie des AWS KMS-Schlüssels angezeigt. Die Schlüsselrichtlinien-JSON kann während des Prozesses zum Generieren eines Schlüssels oder später hinzugefügt werden.

Weitere Informationen finden Sie unter Verwenden eines externen KMS für Extraktverschlüsselungsschlüssel.

So zeigen Sie die Richtlinie an, die der Richtlinie des AWS KMS-Schlüssels hinzugefügt werden sollte:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden Schlüssel aus.
  5. Wählen Sie Schlüsselrichtlinie aus.

Ansehen des Schlüsselverlaufs

In jeder Zeile der Schlüsselverlaufstabelle werden ein Ereignis, der Schlüsselstatus nach dem Ereignis sowie das Datum und die Uhrzeit des Ereignisses angezeigt.

So zeigen Sie den Verlauf eines Schlüssels an:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden Schlüssel aus.
  5. Wählen Sie Schlüsselverlauf aus.

Testen der Konfiguration

Verwenden Sie die Aktion Konfiguration testen für einen ausstehenden Schlüssel, um zu bestimmen, ob er aktiviert werden kann. Verwenden Sie die Aktion Konfiguration testen für Schlüssel mit anderen Status, um anzuzeigen, ob sie funktionieren, funktionieren sollten oder nicht funktionieren.

So testen Sie die Konfiguration für einen Schlüssel:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Wählen Sie im Abschnitt Extraktverschlüsselung das Aktionsmenü (...) neben dem entsprechenden Schlüssel aus.
  5. Wählen Sie Konfiguration testen... aus.

Erfolg:

  • Der Schlüssel kann zum Verschlüsseln von Extrakten verwendet werden. Wenn der Schlüssel noch ausstehend ist, kann er sicher aktiviert werden. Wenn der Schlüssel bereits aktiv ist, funktioniert er.

Fehler:

  • POLICY_DENIED – Der externe KMS verfügt nicht über eine Richtlinie, die diesen Schlüssel zulässt. Vergewissern Sie sich, dass Sie die Richtlinie von diesem Schlüssel in den externen KMS kopiert haben.
  • KEY_NOT_FOUND – Der Schlüssel wurde nicht gefunden, oder der Schlüssel ist in Tableau deaktiviert. Bestätigen Sie den ARN und die Richtlinie des AWS KMS-Schlüssels.
  • UNKNOWN – Ein unbekannter Fehler ist aufgetreten. Stellen Sie sicher, dass der Schlüssel in AWS KMS nicht deaktiviert ist, und versuchen Sie es erneut.

Hinweis: Wenn Sie den CMK (Customer Master Key, primärer Kundenschlüssel) in AWS KMS deaktivieren, funktionieren die von ihm abgeleiteten Tableau-Schlüssel nicht mehr für die Verschlüsselung oder Entschlüsselung. Wenn Sie die von Tableau generierte Klausel aus der CMK-Richtlinie im AWS KMS entfernen, funktionieren die von ihr abstammenden Tableau-Schlüssel nicht mehr.

Migrieren von kundenverwalteten Verschlüsselungsschlüsseln zu externem KMS

Hinweis: Der Wechsel von kundenverwalteten Verschlüsselungsschlüsseln zu einem externen KMS ist dauerhaft und kann ohne die Hilfe Ihres Account Managers nicht rückgängig gemacht werden.

Die Migration von kundenverwalteten Verschlüsselungsschlüsseln (die das KMS von Salesforce verwenden) zu einem externen KMS ist einfach, aber dauerhaft und kann ohne die Hilfe Ihres Account Managers nicht rückgängig gemacht werden. Nach der Änderung werden Sie Ihre Schlüssel im externen KMS statt im KMS von Salesforce verwalten. Stellen Sie sicher, dass Sie verstehen, wie grundlegende Schlüsselfunktionen in einem externen KMS ausgeführt werden, bevor Sie von kundenverwalteten Verschlüsselungsschlüsseln zu einem externen KMS migrieren.

Nach der Migration schreibt der vom externen KMS abgeleitete Schlüssel neue Extrakte. Der Salesforce-KMS-Schlüssel liest so lange die von ihm geschriebenen Extrakte, bis die Extrakte mit dem externen KMS-basierten Schlüssel aktualisiert werden.

Weitere Informationen zu kundenverwalteten Verschlüsselungsschlüsseln und Salesforce KMS finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel(Link wird in neuem Fenster geöffnet).

So migrieren Sie von kundenverwalteten Verschlüsselungsschlüsseln zu einem externen KMS:

  1. Melden Sie sich bei Ihrer Tableau Cloud-Site an.
  2. Wählen Sie im linken Navigationsbereich Einstellungen aus.
  3. Wählen Sie die Registerkarte Sicherheit aus.
  4. Ändern Sie im Abschnitt Extraktverschlüsselung die Auswahl von Salesforce-KMS verwenden zu Externes KMS verwenden.
  5. Lesen Sie die Warnung und wählen Sie dann Zu externem KMS wechseln aus.
Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.