Utilizar un KMS externo para las claves de cifrado de extracciones

Se aplica a: Tableau Cloud

Muchas organizaciones necesitan un control directo sobre las claves de cifrado que protegen sus datos críticos para el negocio. El uso de un servicio de administración de claves (KMS) externo soluciona este problema al permitir que los clientes mantengan el control de sus claves de cifrado con un proveedor externo de administración de claves de confianza. Al proporcionar un control directo sobre las claves de cifrado, el uso de un KMS externo mejora significativamente la postura de seguridad para las organizaciones, especialmente para aquellas preocupadas por el acceso no autorizado a estas claves críticas.

Además, para muchas organizaciones, la capacidad de controlar sus claves de cifrado externamente es crucial para cumplir con varios mandatos regulatorios y de cumplimiento. Además, el control directo de las claves de cifrado ayuda a las organizaciones a mantener la soberanía de los datos, lo cual es importante para las consideraciones legales y geográficas del almacenamiento y el acceso a los datos.

A partir de octubre de 2025, Tableau Cloud ofrece administración de claves externa exclusivamente a través del KMS de Amazon Web Services (AWS).

Nota: La funcionalidad de KMS externo solo está disponible en Tableau Cloud con Tableau+, Tableau Enterprise o Advanced Management.

La jerarquía de claves

El proceso de cifrado cuando se utiliza un KMS externo sigue una jerarquía de claves distinta para garantizar la seguridad de los datos y permitir a los clientes mantener un control directo sobre sus claves de cifrado.

La jerarquía de claves cuando se utiliza un KMS externo es:

  • Clave maestra de cliente (CMK): la CMK es la clave raíz en la jerarquía, creada y controlada por el cliente dentro de AWS KMS. La lista de claves de Tableau es una lista de las CMK de AWS KMS.
  • Clave de cifrado de claves (KEK): las KEK descienden de la CMK y se usan para cifrar las claves de cifrado de datos (DEK).
  • Clave de cifrado de datos (DEK): las DEK descienden de las KEK y son las claves de nivel más bajo de la jerarquía. Las DEK son las claves que se utilizan directamente para cifrar y descifrar extracciones.

Estados de claves en Tableau Cloud

Cuando se usa un KMS externo, las claves en Tableau tienen los siguientes estados y capacidades:

  • Pendiente: Se ha generado la clave, pero aún no la está usando. No se puede usar para escribir ni leer extracciones hasta que la active.
  • Activa: La clave se usa para escribir extracciones y para leer las extracciones que escribió.
  • Archivada: La clave estuvo activa en el pasado, pero fue reemplazada por una clave posterior. No se está usando para escribir extracciones, pero se está usando para leer extracciones que escribió.
  • Desactivada: La clave estaba activa y luego archivada en el pasado. No se está usando para leer o escribir extracciones.

Referencia rápida de estado y capacidad

Estado de la clavePuede escribir/cifrar extraccionesPuede leer/descifrar extracciones
Pendiente  
Active
Archivada 
Desactivada  

Descripción general de la configuración

Los pasos a nivel de resumen para usar AWS KMS con Tableau son los siguientes:

  • AWS KMS: Cree la clave maestra de cliente (CMK).
  • Tableau Cloud: habilite el cifrado de extracciones (o migre desde claves de cifrado administradas por el cliente, que utilizan el KMS de Salesforce).
  • Tableau Cloud: genere una clave en Tableau mediante el ARN de la clave maestra de cliente de AWS KMS.
  • AWS KMS: agregue el JSON de la directiva de claves de Tableau a la directiva de la clave maestra del cliente de AWS.
  • Tableau Cloud: active la clave.

Detalles de configuración

Crear una clave maestra en AWS KMS

Las claves de cifrado de claves (KEK) y las claves de cifrado de datos (DEK) que utiliza Tableau se basan en las claves maestras de cliente (CMK) creadas en AWS KMS(El enlace se abre en una ventana nueva). Por tanto, debe tener una CMK en AWS KMS antes de que Tableau pueda generar KEK y DEK. Si necesita ayuda para crear una clave en AWS KMS, consulte con su experto en claves local.

El cuadro de diálogo de generación de claves de Tableau contiene un enlace al AWS KMS(El enlace se abre en una ventana nueva). Puede crear la clave maestra de AWS en ese punto del proceso o puede crearla antes de iniciar el proceso de generación de claves en Tableau.

Las claves de AWS se identifican de forma única mediante un nombre de recurso de Amazon (ARN). Se le solicitará que proporcione el ARN de CMK durante el proceso de generación de claves de Tableau. Los ARN clave tienen el formato siguiente:

arn:aws:kms:us-east-2:123456789012:key/12345678-90ab-cdef-1234-567890abcdef

Habilitar el cifrado de extracciones con un KMS externo

Nota: Una vez que habilita el cifrado, no puede deshabilitarlo fácilmente. Del mismo modo, el cambio de claves de cifrado administradas por el cliente (mediante el KMS de Salesforce) a un KMS externo es permanente y no se puede deshacer sin la ayuda de su administrador de cuentas.

Para habilitar un KMS externo:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione Cifrar extracciones.
  5. Seleccione Usar un KMS externo.
  6. Seleccione Generar clave.
    • Si migra del KMS de Salesforce a un KMS externo, lea la advertencia y luego seleccione Cambiar a KMS externo.

Generar una clave

Debe generar una clave y, a continuación, activarla para escribir extracciones cifradas. Si ya tiene una clave activa, genere otra clave como primer paso para reemplazar la clave activa actualmente.

Para generar una clave en Tableau:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione Generar clave.
  5. Si está generando la primera clave para un sitio, verá el cuadro de diálogo Configurar AWS KMS. Si ya tiene una clave activa, continúe primero con el cuadro de diálogo de confirmación Generar clave.
  6. Seleccione Iniciar AWS KMS. Se le solicitará que inicie sesión en AWS si aún no lo ha hecho.
  7. En AWS KMS, cree una nueva clave o busque una existente, luego copie el ARN de la clave.
  8. Vuelva al cuadro de diálogo Configurar AWS KMS de Tableau y pegue el ARN de la clave en el campo ARN de la clave de AWS.
  9. Opcionalmente, introduzca una Descripción.
  10. Seleccione Siguiente (o Habilitar cifrado, si esta es la primera clave para el sitio).
  11. Seleccione Listo para agregar el JSON de directiva de claves a AWS KMS más adelante, o siga los pasos de Utilizar un KMS externo para las claves de cifrado de extracciones para hacerlo ahora.

La clave no se puede utilizar para leer ni escribir extracciones hasta que agregue la directiva de claves JSON a la directiva de AWS KMS y, a continuación, la active.

Agregar directiva de claves JSON a la directiva de claves de KMS

Una clave recién generada tiene el estado Pendiente y no se puede utilizar para escribir o leer extracciones hasta que agregue el JSON de directiva de claves a la directiva de AWS KMS y luego la active.

Para ver el JSON de directiva de claves, continúe desde el proceso Generar una clave.

O, si no va a continuar a partir de ese proceso:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú de acciones (...) junto a la clave Pendiente correspondiente.
  5. Seleccione Directiva de claves.

Para agregar el JSON de directiva de claves a la directiva de AWS KMS, debe copiar el objeto Statement relevante de Tableau al JSON de directiva en AWS KMS. Solo necesita una parte del texto JSON completo. Seleccionar Copiar directiva de claves, pegar en un editor de texto y editar el JSON allí puede ser más fácil que trabajar en el cuadro de diálogo.

Desde el texto JSON, copie el objeto en la matriz Statement. A continuación, en la directiva de la clave AWS KMS, agregue el texto copiado a la matriz Statement, siguiendo la sintaxis JSON estándar. (Es probable que tenga que añadir una coma al final de la declaración de AWS KMS existente antes de añadir el nuevo JSON).

Ejemplo:

La parte resaltada es la sección que se debe agregar a la directiva de AWS KMS:

{
    "Version": "2012-10-17",
    "Id": "sfdc-key-access-policy",
    "Statement": [

        {
            "Sid": "AllowSalesforceShieldKeyBroker1234567890abc",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:sts::123456789abc:assumed-role/EkmAwsKmsAccessRole/1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ12"
            },
            "Action": [
                "kms:GenerateDataKey*",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:EncryptionContext:sf-auth": "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQ"
                }
            }
        }

    ]
}

Activar una clave

Active una clave para usarla para leer y escribir nuevas extracciones. La acción Activar clave solo está disponible en una clave Pendiente.

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú de acciones (...) junto a la clave Pendiente correspondiente.
  5. Seleccione Activar clave....

Si ya tiene una clave activa, al activar una nueva clave se cambia la clave existente al estado a Archivada. Una clave archivada solo se utiliza para leer extractos que escribió. La nueva clave se activará y se usará para escribir nuevas extracciones y leer las extracciones que escribió.

Nota: Después de habilitar el cifrado y activar la primera clave en un sitio, Tableau Cloud crea un trabajo en segundo plano de cifrado de extracciones para cada extracción en su sitio. Estos trabajos se establecen con la prioridad más baja, lo que significa que se ejecutan solo cuando hay recursos adicionales. Los trabajos de actualización de extracciones existentes se ejecutan antes de que las extracciones se cifren.

Otras acciones

Archivar una clave

Las claves archivadas pueden leer las extracciones que escribieron, pero no se utilizan para escribir nuevas extracciones. La única forma de archivar una clave es activando una nueva clave. Consulte Activar una clave.

Desactivar una clave

Desactiva una clave archivada para inutilizarla para leer o escribir extracciones. Es posible que desee hacer esto si la clave ya no es segura. La acción Desactivar clave solo está disponible en una clave archivada.

Al desactivar una clave, no se puede usar para leer las extracciones que escribió (a diferencia de una clave archivada, que puede leer las extracciones que escribió). Esto significa que parte del contenido basado en extracciones podría dejar de funcionar si no se ha cifrado con una clave activa. Si necesita conservar el acceso a contenido basado en extracciones que utiliza la clave anterior, asegúrese de que las extracciones se actualizan con una clave activa antes de desactivar la antigua.

Nota: Puede restaurar una clave desactivada si es necesario. Al restaurar una clave, cambiará su valor de Desactivada a Archivada. Consulte Restaurar una clave.

Para desactivar una clave:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú Acciones (...) junto a la clave archivada correspondiente.
  5. Seleccione Desactivar clave....
  6. Escriba “Desactivar esta clave” en el campo de texto para confirmar la acción.
  7. Seleccione Desactivar clave.

Restaurar una clave

Restaurar una clave desactivada para que se pueda utilizar para leer las extracciones que escribió. La acción Restaurar clave solo está disponible en una clave Desactivada y la cambia a Archivada.

Al restaurar una clave al estado archivado, no se usará para escribir ninguna extracción. Solo se usa para leer las extracciones que escribió.

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú Acciones (...) junto a la clave Desactivada correspondiente.
  5. Seleccione Restaurar clave....
  6. Seleccione Restaurar clave.

Eliminar una clave

No puede eliminar claves en Tableau Cloud. Una clave solo puede archivarse (lo que conserva la capacidad de leer el contenido que escribió) o desactivar (que no puede leer ni escribir). Consulte Estados de claves en Tableau Cloud.

Nota: Si deshabilita la clave maestra de cliente (CMK) en AWS KMS, las claves de Tableau descendientes de él dejarán de funcionar para el cifrado o descifrado. Del mismo modo, si elimina la cláusula generada por Tableau de la directiva del CMK en AWS KMS, las claves de Tableau descendientes de ella dejarán de funcionar.

Consulte Directiva de claves

El cuadro de diálogo Directiva de claves muestra el JSON de directiva clave para agregar a la directiva de la clave AWS KMS. El JSON de directiva de claves se puede agregar durante el proceso Generar una clave o más adelante.

Para obtener más información, consulte Utilizar un KMS externo para las claves de cifrado de extracciones.

Para ver la directiva que debe agregarse a la directiva de la clave AWS KMS:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú de acciones (...) junto a la clave adecuada.
  5. Seleccione Directiva de claves.

Consultar el historial de claves

Cada fila de la tabla de historial de claves muestra un evento, el estado de la clave después del evento y la fecha y hora del evento.

Para ver el historial de una clave:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú de acciones (...) junto a la clave adecuada.
  5. Seleccione Historial de claves.

Probar la configuración

Utilice la acción Probar configuración en una clave pendiente para determinar si se puede activar. Use la acción Probar configuración en claves con otros estados para ver si funcionan, deberían funcionar o no.

Para probar la configuración de una clave:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, seleccione el menú de acciones (...) junto a la clave adecuada.
  5. Seleccione Probar configuración...

Éxito:

  • La clave se puede utilizar para cifrar extracciones. Si la clave está pendiente, puede activarla de forma segura. Si la clave ya está activa, está funcionando.

Errores:

  • POLICY_DENIED: el KMS externo no tiene una política que permita esta clave. Confirme que ha copiado la directiva de esta clave en el KMS externo.
  • KEY_NOT_FOUND: no se encontró la clave o la clave está desactivada en Tableau. Confirme el ARN y la directiva de la clave de AWS KMS.
  • UNKNOWN: se ha producido un error desconocido. Asegúrese de que la clave no esté desactivada en AWS KMS y vuelva a intentarlo.

Nota: Si deshabilita la clave maestra de cliente (CMK) en AWS KMS, las claves de Tableau descendientes de él dejarán de funcionar para el cifrado o descifrado. Del mismo modo, si elimina la cláusula generada por Tableau de la directiva del CMK en AWS KMS, las claves de Tableau descendientes de ella dejarán de funcionar.

Migrar de claves de cifrado administradas por el cliente a KMS externo

Nota: El cambio de las claves de cifrado administradas por el cliente a un KMS externo es permanente y no se puede deshacer sin la ayuda de su administrador de cuenta.

Migrar de claves de cifrado administradas por el cliente (que utilizan el KMS de Salesforce) a un KMS externo es simple, pero es permanente y no se puede deshacer sin la ayuda de su administrador de cuentas. Tras el cambio, administrará sus claves en el KMS externo en lugar del KMS de Salesforce. Asegúrese de comprender cómo realizar funciones clave básicas en el KMS externo antes de migrar de claves de cifrado administradas por el cliente a un KMS externo.

Después de la migración, la clave derivada del KMS externo escribirá nuevas extracciones. La clave KMS de Salesforce seguirá leyendo las extracciones que escribió hasta que se actualicen con la clave externa basada en KMS.

Para obtener más información sobre las claves de cifrado administradas por el cliente y el KMS de Salesforce, consulte Claves de cifrado administradas por el cliente(El enlace se abre en una ventana nueva).

Para migrar de claves de cifrado administradas por el cliente a un KMS externo:

  1. Inicie sesión en su sitio de Tableau Cloud.
  2. Seleccione Configuración en el panel de navegación izquierdo
  3. Seleccione la pestaña Seguridad.
  4. En la sección Cifrado de extracciones, cambie la selección de Usar el KMS de Salesforce a Usar un KMS externo.
  5. Lea la advertencia y, a continuación, seleccione Cambiar a KMS externo.
Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!