Configurar registro de actividad

El Registro de actividad contiene eventos detallados para su implementación de Tableau que puede usar para fines de cumplimiento, supervisión y auditoría. Debe completar los siguientes pasos para usar el Registro de actividad.

Requisitos previos

Para usar el registro de actividad, debe contar con lo siguiente:

  • Tableau Cloud con Advanced Management

  • Cuenta de Amazon Web Services (AWS)

    • Necesitará su propia cuenta de AWS para completar estos pasos.
    • También necesitará el número de cuenta de Tableau AWS (061095916136) en el Paso 3 a continuación, para recibir el registro de actividad en su depósito de Amazon Simple Storage Service (S3).
  • Depósito de Amazon Simple Storage Service (S3) para recibir datos

  • Clave de una sola región de AWS Key Management Service (KMS) para el depósito de Amazon S3 que crea durante la configuración.

Paso 1: Crear una cuenta de AWS

Si aún no tiene una cuenta de Amazon Web Services (AWS), puede registrarse para obtener una cuenta de AWS(El enlace se abre en una ventana nueva) en el sitio web de AWS.

Paso 2: Crear un depósito de Amazon S3 y configurar permisos

  1. Cree un depósito de Amazon S3 para recibir sus datos de registro. Para obtener más información, consulte Crear un depósito(El enlace se abre en una ventana nueva) en el sitio web de AWS.

  2. Configure el depósito de Amazon S3 con la siguiente configuración:

    1. En Propiedad del objeto, seleccione ACL deshabilitadas (recomendado). Esto garantiza que el propietario del depósito sea el propietario de todos los objetos escritos en él.

    2. En Control de versiones del depósito, seleccione Habilitar. El control de versiones del depósito debe estar habilitado para replicar objetos.

    3. En Cifrado predeterminado, seleccione Habilitar.

    4. Elija Servicio de administración de claves de AWS (SSE-KMS).

    5. Elija Indicar el ARN de la clave de AWS KMS.

    6. Haga clic en el botón Crear clave que aparece para crear una nueva clave de AWS Key Management Service (KMS).

      Nota: No se admiten las claves multirregionales de KMS.

    7. Seleccione el tipo Clave simétrica y Uso de la clave de cifrado y descifrado.

    8. Nombre la clave con un alias y luego haga clic hasta la página Revisar.

    9. Agregue la siguiente declaración a la lista de declaraciones dentro de la directiva de claves, para dar acceso a Tableau para cifrar objetos en el depósito S3.

      Nota: Esta declaración permite que el rol de IAM de Tableau cifre los objetos colocados en el depósito de Amazon S3. “kms:GenerateDataKey” se utiliza para generar una clave de datos para cifrar réplicas de objetos. “kms:Encrypt” se usa para cifrar las réplicas de objetos creadas en el depósito S3 de destino. “Recurso”: “*” otorga permiso para la clave KMS solo al rol de replicación y no permite que el rol eleve sus permisos. Para obtener más información, consulte Protección de datos mediante el cifrado del lado del servidor con AWS Key Management Service (SSE-KMS)(El enlace se abre en una ventana nueva) en el sitio web de AWS.

      {

      "Sid": "AllowTableauS3ReplicationSourceRoleToUseTheKey",

      "Effect": "Allow",

      "Principal": {

      "AWS": "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "kms:GenerateDataKey",

      "kms:Encrypt"

      ],

      "Resource": "*"

      }

    10. Haga clic en Finalizar para crear la clave KMS.

    11. Haga clic en Crear depósito para crear el depósito de Amazon S3.

  3. Actualice los permisos en la directiva de depósito de Amazon S3.

    1. Abra el depósito de Amazon S3 y haga clic en la pestaña Permisos.

    2. Ubique la sección Directiva del depósito y haga clic en Editar.

    3. Agregue lo siguiente a la Lista de declaraciones en la directiva del depósito. Reemplace S3-BUCKET-NAME con el nombre del depósito.

      Nota: Esta declaración permite que el rol de IAM de Tableau replique objetos en el depósito. Usando "*" y "<path> /*" otorga acceso a todos los prefijos en el depósito especificado y la ruta en el depósito, respectivamente. Los permisos "s3:ReplicateObject" y "s3:ReplicateDelete" son los permisos mínimos necesarios para replicar objetos y eliminar marcadores correctamente. Consulte Otorgar permisos cuando los depósitos de origen y destino pertenecen a diferentes cuentas de AWS(El enlace se abre en una ventana nueva) en el sitio web de AWS.

    4. {

      "Sid": "TableauS3ReplicationRoleAccess",

      "Effect": "Allow",

      "Principal": {

      "AWS":

      "arn:aws:iam::061095916136:role/prod-replication-rule-role"

      },

      "Action": [

      "s3:ReplicateObject",

      "s3:ReplicateDelete"

      ],

      "Resource": [

      "arn:aws:s3:::S3-BUCKET-NAME",

      "arn:aws:s3:::S3-BUCKET-NAME/*"

      ]

      }

    5. Opcional. Si su depósito de destino tiene una directiva que restringe el acceso a través de un punto de enlace de Amazon Virtual Private Cloud (VPC), debe cambiar la directiva del depósito además de TableauS3ReplicationRoleAccess que acaba de agregar. Para obtener más información, consulte ¿Cómo puedo restringir el acceso a mi depósito de Amazon S3 mediante direcciones IP o puntos de enlace de la VPC específicos?(El enlace se abre en una ventana nueva) en el sitio web de AWS.

      Si la directiva de depósito actual contiene una restricción de VPC como esta:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Luego edite la lista de "Condición" para incluir lo siguiente:

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      }

      Nota: debe usar el ID de rol "AROAQ4OMZWJUBZG3DRFW5" para el rol de IAM de Tableau.

      La directiva editada debería parecerse a la siguiente:

      {

      "Sid": "Restricted VPC Access",

      "Effect": "Deny",

      "Principal": "*",

      "Action": "s3:",

      "Resource": [

      "arn:aws:s3:::<S3-BUCKET-NAME>",

      "arn:aws:s3:::<S3-BUCKET-NAME>/*"

      ],

      "Condition": {

      "StringNotLike": {

      "aws:userId": ["AROAQ4OMZWJUBZG3DRFW5:*"]

      },

      "StringNotEquals": {

      "aws:SourceVpc": "vpc-<ID>"

      }

      }

      }

      Esta directiva permite explícitamente que el rol de IAM de Tableau sea ReplicateObject y ReplicateDelete y, además, excluye el rol de la declaración de denegación de VPC explícita existente.

    6. Haga clic en Guardar cambios.

Paso 3: Configure Tableau Cloud

  1. Vaya a su sitio de Tableau.

  2. En la página Configuración, seleccione la pestaña Integraciones.

  3. En la sección Registro de actividad, seleccione el botón Habilitar.

  4. En el cuadro de diálogo Configurar conexión, indique lo siguiente:

    1. En el cuadro Número de cuenta de AWS, especifique el número de cuenta de AWS de 12 dígitos. Este es el número de cuenta de AWS asociado con la ubicación de su depósito de Amazon S3.

    2. En el cuadro Nombre del depósito de S3, especifique el nombre del depósito de Amazon S3 donde se enviarán los archivos del registro de actividad. Este es el depósito de Amazon S3 que creó en el Paso 2: Crear un depósito de Amazon S3 y configurar permisos. Debe ser un nombre válido de acuerdo con los requisitos de nombre de depósito de AWS.

    3. En el cuadro ARN de clave de KMS, especifique el nombre de recurso de Amazon (ARN) de la clave de KMS creada en el Paso 2: Crear un depósito de Amazon S3 y configurar permisos.Paso 2: Crear un depósito de Amazon S3 y configurar permisos. El número de cuenta en el ARN debe coincidir con el número de cuenta de AWS proporcionado y tener un formato válido (es decir: arn:aws:kms:<región>:<IDdeCuenta>:key/<IDdeClave>).

  5. Haga clic en Enviar.

    La columna de estado de la conexión mostrará En curso cuando el sistema intente replicar un archivo de texto en el depósito de Amazon S3 de destino para probar la conexión.

    Una vez que el archivo se haya replicado correctamente en el depósito de Amazon S3 de destino, la columna de estado de la conexión indicará Verificación pendiente y mostrará un widget para ingresar "Contenido del archivo de prueba". Es posible que deba actualizar la página para ver las actualizaciones.

Verificar la replicación del archivo de seguridad

  1. Vaya al depósito de destino de Amazon S3 y busque la carpeta que comienza con siteLuid (el resto del nombre es el identificador único del sitio).

  2. Encuentre el archivo de texto llamado SECURITY_VERIFICATION_FILE.txt.

  3. Descargue y abra el archivo de texto.

  4. Copie el contenido de texto en el archivo.

  5. Regrese a la página Configuración y pegue el contenido del texto en el campo de entrada Contenido del archivo de texto y luego haga clic en Enviar.

  6. Si el contenido enviado es correcto, el estado de la conexión cambia a Activo. El registro de actividad ahora está habilitado y los datos comenzarán a replicarse en el depósito de Amazon S3 de destino.

  7. Si el contenido enviado es incorrecto, se mostrará un mensaje de error. Compruebe que el contenido se haya copiado correctamente sin caracteres ni espacios adicionales.

Solución de problemas

¿No aparece el archivo de verificación de seguridad?

Otras configuraciones que se requieren para que los archivos de registro lleguen al depósito de Amazon S3

  • El depósito de Amazon S3 tiene habilitado el Control de versiones del depósito (en Propiedades > Control de versiones del depósito).

  • El depósito de Amazon S3 tiene activado Bloquear todo el acceso público (en Permisos > Bloquear acceso público (configuración del depósito)).

  • El depósito de Amazon S3 tiene los siguientes permisos de ACL solo para el "propietario del depósito" (en Permisos > Lista de control de acceso (ACL)):

    • Objetos: Listar, Escribir

    • ACL del depósito: lectura, escritura

  • La directiva de permisos de claves de KMS contiene la declaración del Paso 2: Crear un depósito de Amazon S3 y configurar permisos, paso 2. i. (en Propiedades > Cifrado predeterminado, haga clic en el ARN debajo del ARN de la clave de AWS KMS para ir a la directiva de claves de KMS).

  • El depósito de Amazon S3 tiene el cifrado predeterminado habilitado y la clave del depósito habilitada (en Propiedades > Cifrado predeterminado).

  • La directiva de permisos del depósito de Amazon S3 (en Permisos > Directiva del depósito) coincide exactamente con la de las instrucciones. Asegúrese de haber reemplazado el valor de ejemplo "S3-BUCKET-NAME" con el depósito de Amazon S3 que acaba de crear.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!